Recherche de site Web

Comment installer Splunk Log Analyzer sur CentOS 7


Splunk est un logiciel puissant, robuste et entièrement intégré pour la gestion des journaux d'entreprise en temps réel afin de collecter, stocker, rechercher, diagnostiquer et rapporter tous les journaux et données générées par la machine, y compris les données structurées, non structurées et complexes. journaux d'applications multilignes.

Il vous permet de collecter, stocker, indexer, rechercher, corréler, visualiser, analyser et créer des rapports sur toutes les données de journal ou données générées par machine rapidement et de manière reproductible, pour identifier et résoudre les problèmes opérationnels et de sécurité.

De plus, splunk prend en charge un large éventail de cas d'utilisation de gestion des journaux, tels que la consolidation et la conservation des journaux, la sécurité, le dépannage des opérations informatiques, le dépannage des applications ainsi que les rapports de conformité et bien plus encore.

Caractéristiques de Splunk :

  • Il est facilement évolutif et entièrement intégré.
  • Prend en charge les sources de données locales et distantes.
  • Permet d'indexer les données de la machine.
  • Prend en charge la recherche et la corrélation de toutes les données.
  • Vous permet d’explorer les données vers le bas et vers le haut et de les parcourir.
  • Prend en charge la surveillance et les alertes.
  • Prend également en charge les rapports et les tableaux de bord pour la visualisation.
  • Fournit un accès flexible aux bases de données relationnelles, aux données délimitées par des champs dans des fichiers de valeurs séparées par des virgules (.CSV) ou à d'autres magasins de données d'entreprise tels que Hadoop ou NoSQL.
  • Prend en charge un large éventail de cas d’utilisation de gestion des journaux et bien plus encore.

Dans cet article, nous montrerons comment installer la dernière version de l'analyseur de journaux Splunk et comment ajouter un fichier journal (source de données) et y rechercher des événements dans CentOS 7 . (fonctionne également sur la distribution RHEL).

Configuration recommandée:

  1. Un serveur CentOS 7 ou RHEL 7 avec installation minimale.
  2. 12 Go de RAM minimum

Environnement de test :

  1. Linode VPS avec installation minimale de CentOS 7.

Installez Splunk Log Analyzer pour surveiller les journaux CentOS 7

1. Accédez au site Web de Splunk, créez un compte et récupérez la dernière version disponible pour votre système sur la page de téléchargement de Splunk Enterprise. Les packages RPM sont disponibles pour Red Hat, CentOS et des versions similaires de Linux.

Alternativement, vous pouvez le télécharger directement via le navigateur Web ou obtenir le lien de téléchargement et utiliser wget commandv pour récupérer le package via la ligne de commande, comme indiqué.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Une fois que vous avez téléchargé le package, installez le RPM Splunk Enterprise dans le répertoire par défaut /opt/splunk à l'aide du gestionnaire de packages RPM, comme indiqué. .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Ensuite, utilisez l'interface de ligne de commande (CLI) Splunk Enterprise pour démarrer le service.

/opt/splunk/bin/./splunk start 

Lisez le CONTRAT DE LICENCE DU LOGICIEL SPLUNK en appuyant sur Entrée. Une fois que vous aurez fini de le lire, il vous sera demandé : Êtes-vous d'accord avec cette licence ? Entrez Y pour continuer.

Do you agree with this license? [y/n]: y

Créez ensuite les informations d'identification pour le compte administrateur, votre mot de passe doit contenir au moins 8 caractères ASCII imprimables au total.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Si tous les fichiers installés sont intacts et que toutes les vérifications préliminaires ont réussi, le démon du serveur splunk (splunkd) sera démarré, une clé privée RSA de 2 048 bits sera générée et vous peut accéder à l’interface Web de Splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Ensuite, ouvrez le port 8000 sur lequel le serveur Splunk écoute, dans votre pare-feu à l'aide du pare-feu-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Ouvrez un navigateur Web et saisissez l'URL suivante pour accéder à l'interface Web de Splunk.

http://SERVER_IP:8000   

Pour vous connecter, utilisez le nom d'utilisateur : admin et le mot de passe que vous avez créé lors du processus d'installation.

7. Après une connexion réussie, vous atterrirez dans la console d'administration Splunk illustrée dans la capture d'écran suivante. Pour surveiller un fichier journal, par exemple /var/log/secure, cliquez sur Ajouter des données.

8. Cliquez ensuite sur Surveiller pour ajouter les données d'un fichier.

9. Dans l'interface suivante, choisissez Fichiers et répertoires.

10. Configurez ensuite l'instance pour surveiller les fichiers et répertoires pour les données. Pour surveiller tous les objets d'un répertoire, sélectionnez le répertoire. Pour surveiller un seul fichier, sélectionnez-le. Cliquez sur Parcourir pour sélectionner la source de données.

11. Une liste de répertoires dans votre répertoire root(/) vous sera présentée, accédez au fichier journal que vous souhaitez surveiller (/var/log /secure) et cliquez sur Sélectionner.

12. Après avoir sélectionné la source de données, sélectionnez Surveiller en continu pour regarder ce fichier journal et cliquez sur Suivant pour définir le type de source.

13. Ensuite, définissez le type de source pour votre source de données. Pour notre fichier journal de test (/var/log/secure), nous devons sélectionner Système d'exploitation→linux_secure ; cela permet à Splunk de savoir que le fichier contient des messages liés à la sécurité provenant d'un système Linux. Cliquez ensuite sur Suivant pour continuer.

14. Vous pouvez éventuellement définir des paramètres d'entrée supplémentaires pour cette saisie de données. Sous Contexte de l'application, sélectionnez Recherche et rapports. Cliquez ensuite sur Vérifier. Après examen, cliquez sur Envoyer.

15. Votre entrée de fichier a maintenant été créée avec succès. Cliquez sur Lancer la recherche pour rechercher vos données.

16. Pour afficher toutes vos entrées de données, accédez à Paramètres→Données→Entrées de données. Cliquez ensuite sur le type que vous souhaitez afficher, par exemple Fichiers et répertoires.

17. Voici des commandes supplémentaires pour gérer (redémarrer ou arrêter) le démon splunk.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

À partir de maintenant, vous pouvez ajouter plus de sources de données (locales ou distantes à l'aide de Splunk Forwarder), explorer vos données et/ou installer des applications Splunk pour améliorer leurs fonctionnalités par défaut. Vous pouvez faire plus en lisant la documentation splunk fournie sur le site officiel.

Page d'accueil de Splunk : https://www.splunk.com/

C'est tout pour le moment! Splunk est un logiciel de gestion des journaux d'entreprise en temps réel puissant, robuste et entièrement intégré. Dans cet article, nous avons montré comment installer la dernière version de l'analyseur de journaux Splunk sur CentOS 7. Si vous avez des questions ou des idées à partager, utilisez le formulaire de commentaires ci-dessous pour nous contacter.