LINUX

Come installare Splunk su CentOS 7

Splunk è uno degli strumenti più potenti per l’esplorazione e la ricerca di dati. È uno dei modi più semplici, veloci e sicuri per cercare, analizzare, raccogliere e visualizzare enormi flussi di dati in tempo reale da applicazioni, server Web, database, piattaforme server, reti cloud e altro ancora. Gli sviluppatori Splunk forniscono pacchetti software Splunk compatibili su piattaforme diverse, possiamo scegliere quello migliore che si adatta al nostro scopo. Questo software semplifica la raccolta, l’analisi e il lavoro con il valore non sfruttato di enormi dati generati da qualsiasi IT aziendale, sistemi di sicurezza o qualsiasi applicazione aziendale, offrendoti informazioni dettagliate per ottenere le migliori prestazioni operative e risultati aziendali.

Non ci sono prerequisiti ufficiali per l’installazione, ma raccomando un nome host, un firewall e una configurazione di rete adeguati per il server prima dell’installazione. Questo software supporta solo l’architettura del server a 64 bit. In questo articolo, ti guidiamo come installare Splunk Enterprise Edition su un server CentOS 7. Esaminiamo i passaggi di installazione uno per uno.

1. Crea un utente Splunk

Si consiglia sempre di eseguire questa applicazione come utente dedicato piuttosto che come root. Ho creato un utente per eseguire questa applicazione e ho creato una cartella dell’applicazione per l’installazione.

[root@server1 tmp]# groupadd splunk
[root@server1 tmp]# useradd -d /opt/splunk -m -g splunk splunk
[root@server1 tmp]# su - splunk
[splunk@server1 ~]$ id
uid=1001(splunk) gid=1001(splunk) groups=1001(splunk)

Confirm the server architecture

[splunk@server1 ~]$ getconf LONG_BIT
64

2. Scarica ed estrai la versione di Splunk Enterprise

Crea un account Splunk e scarica il software Splunk dal loro sito ufficiale Qui.

Spluck

Ora estrai il file tar e copia i file nella cartella dell’app Splunk, vale a dire /opt/splunk creato.

root@server1 tmp]# tar -xvf splunk-6.4.0-f2c836328108-Linux-x86_64.tgz
[root@server1 tmp]# cp -rp splunk/* /opt/splunk/
[root@server1 tmp]# chown -R splunk: /opt/splunk/

3. Installa Splunk

Una volta scaricato il software Splunk, puoi accedere all’utente Splunk ed eseguire lo script di installazione. Scelgo la licenza di prova, quindi la prenderà per impostazione predefinita.

root@server1 tmp]# su - splunk
Last login: Fri Apr 29 08:14:12 UTC 2016 on pts/0

[splunk@server1 ~]$ cd bin/
[splunk@server1 bin]$ ./splunk start --accept-license

This appears to be your first time running this version of Splunk.

Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 1024 bit long modulus
.++++++
..................++++++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 1024 bit long modulus
................++++++
..++++++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.

Splunk> Australian for grep.

Checking prerequisites...
Checking http port [8000]: open
Checking mgmt port [8089]: open
Checking appserver port [127.0.0.1:8065]: open
Checking kvstore port [8191]: open
Checking configuration... Done.
Creating: /opt/splunk/var/lib/splunk
Creating: /opt/splunk/var/run/splunk
Creating: /opt/splunk/var/run/splunk/appserver/i18n
Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css
Creating: /opt/splunk/var/run/splunk/upload
Creating: /opt/splunk/var/spool/splunk
Creating: /opt/splunk/var/spool/dirmoncache
Creating: /opt/splunk/var/lib/splunk/authDb
Creating: /opt/splunk/var/lib/splunk/hashDb
Checking critical directories... Done
Checking indexes...
Validated: _audit _internal _introspection _thefishbucket history main summary
Done
New certs have been generated in '/opt/splunk/etc/auth'.
Checking filesystem compatibility... Done
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunk/splunk-6.4.0-f2c836328108-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...
Generating a 1024 bit RSA private key
.....................++++++
...........................++++++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=server1.centos7-test.com/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]

Waiting for web server at http://127.0.0.1:8000 to be available.... Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://server1.centos7-test.com:8000

Ora puoi accedere all’interfaccia web di Splunk all’indirizzo http://IP:8000/ o http://hostname:8000. Devi assicurarti che questa porta 8000 sia aperta nel firewall del server.

4. Configurazione dell’interfaccia web di Splunk

Ho terminato l’installazione e ho il servizio Splunk in esecuzione sul mio server. Ora devo configurare la mia interfaccia Web Splunk. Sono andato alla mia interfaccia web di Splunk e ho impostato la password dell’amministratore.

splunk1

La prima volta che accedi all’interfaccia di Splunk, puoi utilizzare il nome utente/password forniti nella pagina admin/changeme in questo caso. Una volta effettuato l’accesso, nella pagina successiva ti verrà chiesto di modificare e confermare la nuova password.

splunk2

Ora hai impostato la password dell’amministratore. Dopo aver effettuato l’accesso con la nuova password, avrai la tua Splunk Dashboard pronta per l’uso.

splunkhome

Ci sono diverse categorie elencate nella pagina principale. Puoi scegliere quello richiesto e iniziare a servire.

6. Aggiunta di un’attività

Sto aggiungendo un esempio per una semplice attività che è stata aggiunta al sistema Splunk. Guarda i miei screenshot per capire come l’ho aggiunto. Il mio lavoro è aggiungere /var/log cartella nel sistema Splunk per il monitoraggio.

  1. Apri l’interfaccia web di Splunk. Fare clic sulla scheda Impostazioni >> Scegliere l’opzione Aggiungi dati
aggiungere dati

2. La scheda Aggiungi dati si apre con tre opzioni: Carica, Monitora e Inoltra. Qui il nostro compito è monitorare una cartella, quindi andiamo avanti con Monitor.

tenere sotto controllo

Nell’opzione Monitor, ci sono quattro categorie come segue:

File e directory: Per monitorare file/directory

Raccoglitore di eventi HTTP: Monitora i flussi di dati su HTTP

TCP/UDP: Monitoraggio della porta di servizio

Scritture: Script di monitoraggio

3. A seconda del nostro scopo, scelgo l’opzione File e directory.

cartelle-file

4. Ora scelgo il percorso esatto della cartella sul server da monitorare. Dopo aver confermato le impostazioni, puoi fare clic su Avanti e su Rivedi.

tiglio
var-log2
var-log3

5. Ora puoi iniziare a cercare e monitorare il file di registro secondo necessità.

var-log4
donemonitor

Puoi solo vedere che i registri sono stati ristretti a una delle mie applicazioni REDIS sul server.

redis_splunk

Questo è solo un semplice esempio per Splunking, puoi aggiungere tante attività ed esplorare i dati del tuo server.Spero che questo articolo sia informativo e utile per te. Grazie per aver letto questo 🙂 Apprezzo i tuoi preziosi suggerimenti e commenti su questo. Ora prova Splunk!!

Goditi lo splunk 🙂

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button
Close