Kako namestiti Splunk Log Analyzer na CentOS 7

Splunk je zmogljiva, robustna in popolnoma integrirana programska oprema za upravljanje dnevnikov podjetij v realnem času za zbiranje, shranjevanje, iskanje, diagnosticiranje in poročanje o vseh dnevnikih in strojno ustvarjenih podatkih, vključno s strukturiranimi, nestrukturiranimi in zapletenimi večvrstičnimi dnevniki aplikacij.

Omogoča vam hitro, ponavljajoče se zbiranje, shranjevanje, indeksiranje, iskanje, povezovanje, vizualizacijo, analizo in poročanje o vseh dnevniških ali strojno generiranih podatkih za prepoznavanje in reševanje operativnih in varnostnih vprašanj.

Poleg tega splunk podpira široko paleto primerov uporabe upravljanja dnevnikov, kot so konsolidacija in hramba dnevnikov, varnost, odpravljanje težav z operacijami IT, odpravljanje težav z aplikacijami ter poročanje o skladnosti in še veliko več.

  • Je enostavno prilagodljiv in popolnoma integriran.
  • Podpira lokalne in oddaljene vire podatkov.
  • Omogoča indeksiranje podatkov stroja.
  • Podpira iskanje in povezovanje vseh podatkov.
  • Omogoča vrtanje navzdol in navzgor ter obračanje podatkov.
  • Podpira spremljanje in opozarjanje.
  • Podpira tudi poročila in nadzorne plošče za vizualizacijo.
  • Omogoča prilagodljiv dostop do relacijskih zbirk podatkov, podatkov, ločenih s polji v datotekah z vrednostmi, ločenimi z vejicami (.CSV), ali do drugih podatkovnih shramb podjetij, kot sta Hadoop ali NoSQL.
  • Podpira široko paleto primerov uporabe upravljanja dnevnikov in še veliko več.

V tem članku bomo pokazali, kako namestiti najnovejšo različico analizatorja dnevnikov Splunk in kako dodati datoteko dnevnika (vir podatkov) in po njej iskati dogodke v CentOS 7 (deluje tudi pri distribuciji RHEL).

  1. Strežnik RHEL 7 z minimalno namestitvijo.
  2. Najmanj 12 GB RAM -a

  1. Linode VPS z minimalno namestitvijo CentOS 7.

Namestite Splunk Log Analyzer za spremljanje dnevnikov CentOS 7

1. Pojdite na spletno mesto splunk, ustvarite račun in na strani za prenos Splunk Enterprise prenesite najnovejšo razpoložljivo različico vašega sistema. Paketi RPM so na voljo za Red Hat, CentOS in podobne različice Linuxa.

Druga možnost je, da ga naložite neposredno prek spletnega brskalnika ali dobite povezavo za prenos in uporabite wget commandv, da paket poberete v ukazni vrstici, kot je prikazano.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Ko naložite paket, z upraviteljem paketov RPM, kot je prikazano, namestite Splunk Enterprise RPM v privzeti imenik /opt /splunk.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Nato zaženite storitev z vmesnikom ukazne vrstice (CLI) Splunk Enterprise.

# /opt/splunk/bin/./splunk start

Preberite licenčni sporazum SPLUNK PROGRAMSKE OPREME s pritiskom na Enter. Ko ga preberete, vas bo vprašal Ali se strinjate s to licenco? Za nadaljevanje vnesite Y .

Do you agree with this license? [y/n]: y

Nato ustvarite poverilnice za skrbniški račun, vaše geslo mora vsebovati najmanj 8 znakov ASCII za tiskanje.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Če so vse nameščene datoteke nedotaknjene in so bila opravljena vsa predhodna preverjanja, se bo zagnal demon strežnika splunk (splunkd), ustvaril se bo 2048 -bitni zasebni ključ RSA in lahko dostopate do spletnega vmesnika splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Nato odprite vrata 8000, na katerih posluša strežnik Splunk, v požarnem zidu z uporabo požarnega zidu-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Odprite spletni brskalnik in vnesite naslednji URL za dostop do splunk spletnega vmesnika.

http://SERVER_IP:8000

Za prijavo uporabite Uporabniško ime: skrbnik in geslo, ki ste ga ustvarili med namestitvijo.

7. Po uspešni prijavi boste pristali na splinski skrbniški konzoli, prikazani na naslednjem posnetku zaslona. Če želite spremljati datoteko dnevnika, na primer /var/log/secure , kliknite Dodaj podatke.

8. Nato kliknite Monitor, da dodate podatke iz datoteke.

9. V naslednjem vmesniku izberite Datoteke in imeniki.

10. Nato nastavite primerek za spremljanje datotek in imenikov za podatke. Če želite spremljati vse predmete v imeniku, izberite imenik. Če želite spremljati eno datoteko, jo izberite. Kliknite Prebrskaj, da izberete vir podatkov.

11. Prikazal vam se bo seznam imenikov v vašem root (/) imeniku, pomaknite se do datoteke dnevnika, ki jo želite spremljati (/var/log/secure) in kliknite Izberi.

12. Ko izberete vir podatkov, izberite Neprekinjeno spremljanje za ogled te datoteke dnevnika in kliknite Naprej, da nastavite vrsto vira.

13. Nato nastavite vrsto vira za vir podatkov. Za našo preskusno datoteko (/var/log/secure) moramo izbrati Operacijski sistem → linux_secure; s tem splunk ve, da datoteka vsebuje sporočila, povezana z varnostjo, iz sistema Linux. Nato kliknite Naprej za nadaljevanje.

14. Za ta vnos podatkov lahko poljubno nastavite dodatne vhodne parametre. V kontekstu aplikacije izberite Iskanje in poročanje. Nato kliknite Pregled. Po pregledu kliknite Pošlji.

15. Zdaj je vaš vnos datoteke uspešno ustvarjen. Če želite poiskati svoje podatke, kliknite Začni iskanje.

16. Če si želite ogledati vse vnose podatkov, pojdite v Nastavitve → Podatki → Vnosi podatkov. Nato kliknite vrsto, ki si jo želite ogledati, na primer Datoteke in imeniki.

17. Sledijo dodatni ukazi za upravljanje (ponovni zagon ali ustavitev) demona splunk.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Od zdaj naprej lahko dodate več virov podatkov (lokalnih ali oddaljenih s pomočjo posrednika Splunk), raziščete svoje podatke in/ali namestite aplikacije Splunk za izboljšanje privzete funkcionalnosti. Več lahko storite tako, da preberete splunk dokumentacijo na uradni spletni strani.

Domača stran Splunk: https://www.splunk.com/

To je to zaenkrat! Splunk je zmogljiva, robustna in popolnoma integrirana programska oprema za upravljanje dnevnikov podjetij v realnem času. V tem članku smo pokazali, kako namestiti najnovejšo različico analizatorja dnevnikov Splunk na CentOS 7. Če imate kakršna koli vprašanja ali misli, ki jih želite deliti, uporabite spodnji obrazec za komentarje, da nas kontaktirate.