Wéi installéiere ech Splunk Log Analyzer op CentOS 7


Splunk ass eng mächteg, robust a voll integréiert Software fir Echtzäit Enterprise Log Management fir all Log a Maschinn generéiert Daten ze sammelen, späicheren, sichen, diagnostizéieren a berichten, inklusiv strukturéiert, onstrukturéiert a komplex Multi-Line Applikatioun Logbicher.

Et erlaabt Iech ze sammelen, späicheren, indexéieren, sichen, korreléieren, visualiséieren, analyséieren a berichten iwwer all Logdaten oder Maschinn-generéiert Daten séier an op eng widderhuelend Manéier, fir operationell a Sécherheetsprobleemer z'identifizéieren an ze léisen.

Zousätzlech ënnerstëtzt Splunk eng breet Palette vu Logverwaltungsgebrauchsfäll wéi Logkonsolidéierung a Retentioun, Sécherheet, IT-Operatiounen Troubleshooting, Applikatioun Troubleshooting souwéi Compliance Berichterstattung a sou vill méi.

  • Et ass einfach skalierbar a voll integréiert.
  • Ënnerstëtzt souwuel lokal a Ferndatenquellen.
  • Erlaabt d'Indexéiere vun Maschinndaten.
  • Ënnerstëtzt d'Sich an d'Korrelatioun vun all Donnéeën.
  • Erlaabt Iech d'Drill erof an erop an iwwer d'Donnéeën ze pivotéieren.
  • Ënnerstëtzt Iwwerwaachung an Alarm.
  • Ënnerstëtzt och Berichter an Dashboards fir Visualiséierung.
  • Gitt e flexibelen Zougang zu relational Datenbanken, Feld ofgrenzt Daten a komma-getrennten Wäerter (.CSV) Dateien oder zu anere Firmendatengeschäfter wéi Hadoop oder NoSQL.
  • Ënnerstëtzt eng breet Palette vu Logverwaltungsfäll a vill méi.

An dësem Artikel wäerte mir weisen wéi Dir déi lescht Versioun vum Splunk Log Analyser installéiere wëllt a wéi Dir eng Logdatei (Datenquell) addéiere kënnt an duerch se no Eventer am CentOS 7 sichen (schafft och op RHEL Verdeelung).

  1. E RHEL 7 Server mat minimaler Installatioun.
  2. Minimum 12GB RAM

  1. Linode VPS mat CentOS 7 minimal Installatioun.

Installéiert Splunk Log Analyzer fir CentOS 7 Logbicher ze iwwerwaachen

1. Gitt op d'Splunk Websäit, erstellt e Kont a gräift déi lescht verfügbar Versioun fir Äre System vun der Splunk Enterprise Download Säit. RPM Packagen si verfügbar fir Red Hat, CentOS, an ähnlech Versioune vu Linux.

Alternativ kënnt Dir et direkt iwwer de Webbrowser eroflueden oder den Downloadlink kréien, a benotzt wget commandv fir de Package iwwer d'Kommandozeil ze gräifen wéi gewisen.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Wann Dir de Package erofgelueden hutt, installéiert de Splunk Enterprise RPM am Standardverzeechnes /opt/splunk mam RPM Package Manager wéi gewisen.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Als nächst benotzt d'Splunk Enterprise Kommandozeil Interface (CLI) fir de Service ze starten.

# /opt/splunk/bin/./splunk start 

Liest duerch d'SPLUNK SOFTWARE LICENSE OVERTREGE andeems Dir Enter dréckt. Wann Dir et fäerdeg gelies hutt, gitt Dir gefrot Sidd Dir mat dëser Lizenz averstanen? Gitt Y fir weider.

Do you agree with this license? [y/n]: y

Dann erstellt Umeldungsinformatiounen fir den Administratorkonto, Äert Passwuert muss mindestens 8 Gesamtdruckbaren ASCII Charakter(en) enthalen.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Wann all installéiert Dateien intakt sinn an all virleefeg Kontrollen passéiert sinn, gëtt de Splunk Server Daemon (splunkd) gestart, en 2048 Bit RSA private Schlëssel gëtt generéiert an Dir kënnt op d'Splunk Web Interface kommen.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Als nächst, öffnen den Hafen 8000 op deen de Splunk Server lauschtert, an Ärer Firewall mat der Firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Öffnen e Webbrowser a gitt déi folgend URL fir op d'Splunk Webinterface ze kommen.

http://SERVER_IP:8000   

Fir unzemellen, benotzt Benotzernumm: admin an d'Passwuert dat Dir während dem Installatiounsprozess erstallt hutt.

7. No engem erfollegräiche Login wäert Dir an der splunk Administratiounskonsole landen déi an der folgender Screenshot gewise gëtt. Fir eng Logdatei ze iwwerwaachen, zum Beispill /var/log/secure, klickt op Add Data.

8. Da klickt op Monitor fir Daten aus enger Datei ze addéieren.

9. Vun der nächster Interface, wielt Dateien & Verzeichnungen.

10. Da setup d'Instanz fir Dateien an Verzeichnisser fir Daten ze iwwerwaachen. Fir all Objeten an engem Verzeechnes ze iwwerwaachen, wielt de Verzeichnis. Fir eng eenzeg Datei ze iwwerwaachen, wielt se. Klickt op Browsen fir d'Datequell ze wielen.

11. Eng Lëscht vun Verzeichnisser an Ärem root(/) Verzeichnis gëtt Iech gewisen, navigéiert op d'Logdatei déi Dir wëllt iwwerwaachen (/var/log/secure) a klickt Wielt.

12. Nodeems Dir d'Datequell gewielt hutt, wielt Kontinuéierlech Monitor fir dës Logdatei ze kucken a klickt op Next fir d'Quelltyp ze setzen.

13. Nächst, setzen d'Quelltyp fir Är Datequell. Fir eis Testprotokolldatei (/var/log/secure), musse mir Betribssystem → linux_secure auswielen; dëst léisst Splunk wëssen datt d'Datei Sécherheetsbezunnen Messagen aus engem Linux System enthält. Da klickt op Next fir weiderzemaachen.

14. Dir kënnt optional zousätzlech Input Parameteren fir dës Donnéeën Input Formatioun. Ënner App Kontext, wielt Sich & Berichterstattung. Da klickt Iwwerpréiwung. Nodeems Dir iwwerpréift hutt, klickt op Submit.

15. Elo ass Äre Fichier Input erfollegräich geschaf ginn. Klickt op Start Sich fir Är Donnéeën ze sichen.

16. Fir all Är Dateinputen ze gesinn, gitt op Parameteren → Data → Data Inputs. Da klickt op den Typ deen Dir wëllt gesinn zum Beispill Dateien & Verzeichnungen.

17. Déi folgend sinn zousätzlech Kommandoen fir de Splunk-Daemon ze verwalten (neustarten oder stoppen).

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Vun elo un kënnt Dir méi Datequellen addéieren (lokal oder Fern mat Splunk Forwarder), Är Donnéeën entdecken an/oder Splunk Apps installéieren fir seng Standardfunktionalitéit ze verbesseren. Dir kënnt méi maachen andeems Dir d'Splunk Dokumentatioun op der offizieller Websäit liest.

Splunk Homepage: https://www.splunk.com/

Dat ass et fir elo! Splunk ass eng mächteg, robust a voll integréiert, Echtzäit Enterprise Log Management Software. An dësem Artikel hu mir gewisen, wéi Dir déi lescht Versioun vum Splunk Log Analyser op CentOS installéiere kënnt 7. Wann Dir Froen oder Gedanken hutt fir ze deelen, benotzt de Kommentarformular hei ënnen fir eis z'erreechen.