Zoeken op website

Hoe Splunk Log Analyzer op CentOS 7 te installeren

Splunk is krachtige, robuuste en volledig geïntegreerde software voor realtime bedrijfslogbeheer voor het verzamelen, opslaan, doorzoeken, diagnosticeren en rapporteren van alle log- en machinegegenereerde gegevens, inclusief gestructureerde, ongestructureerde en complexe toepassingslogboeken met meerdere regels.

Hiermee kunt u loggegevens of door machines gegenereerde gegevens snel en op een herhaalbare manier verzamelen, opslaan, indexeren, zoeken, correleren, visualiseren, analyseren en rapporteren, om operationele en beveiligingsproblemen te identificeren en op te lossen.

Bovendien ondersteunt splunk een breed scala aan gebruiksscenario's voor logbeheer, zoals logconsolidatie en -retentie, beveiliging, probleemoplossing voor IT-operaties, probleemoplossing voor applicaties, evenals compliancerapportage en nog veel meer.

Splunk-functies:

  • Het is gemakkelijk schaalbaar en volledig geïntegreerd.
  • Ondersteunt zowel lokale als externe gegevensbronnen.
  • Maakt het indexeren van machinegegevens mogelijk.
  • Ondersteunt het zoeken en correleren van gegevens.
  • Hiermee kunt u omlaag en omhoog gaan en door de gegevens heen draaien.
  • Ondersteunt monitoring en waarschuwingen.
  • Ondersteunt ook rapporten en dashboards voor visualisatie.
  • Biedt flexibele toegang tot relationele databases, door velden gescheiden gegevens in bestanden met door komma's gescheiden waarden (.CSV) of tot andere bedrijfsgegevensarchieven zoals Hadoop of NoSQL.
  • Ondersteunt een breed scala aan gebruiksscenario's voor logbeheer en nog veel meer.

In dit artikel laten we zien hoe u de nieuwste versie van Splunk loganalyzer installeert en hoe u een logbestand (gegevensbron) toevoegt en daarin naar gebeurtenissen zoekt in CentOS 7 > (werkt ook op RHEL distributie).

Aanbevolen systeemvereisten:

  1. Een CentOS 7-server of RHEL 7-server met minimale installatie.
  2. Minimaal 12 GB RAM

Test omgeving:

  1. Linode VPS met CentOS 7 minimale installatie.

Installeer Splunk Log Analyzer om CentOS 7-logboeken te monitoren

1. Ga naar de Splunk-website, maak een account aan en download de nieuwste beschikbare versie voor uw systeem van de Splunk Enterprise-downloadpagina. RPM-pakketten zijn beschikbaar voor Red Hat, CentOS en vergelijkbare versies van Linux.

Als alternatief kunt u het rechtstreeks downloaden via de webbrowser of de downloadlink gebruiken, en wget commandv gebruiken om het pakket op te halen via de opdrachtregel, zoals weergegeven.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Nadat u het pakket heeft gedownload, installeert u de Splunk Enterprise RPM in de standaardmap /opt/splunk met behulp van de RPM-pakketbeheerder, zoals weergegeven .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Gebruik vervolgens de opdrachtregelinterface (CLI) van Splunk Enterprise om de service te starten.

/opt/splunk/bin/./splunk start

Lees de SPLUNK SOFTWARELICENTIEOVEREENKOMST door op Enter te drukken. Nadat u het hebt gelezen, wordt u gevraagd: Gaat u akkoord met deze licentie? Voer Y in om door te gaan.

Do you agree with this license? [y/n]: y

Maak vervolgens de inloggegevens voor het beheerdersaccount aan. Uw wachtwoord moet in totaal minimaal 8 afdrukbare ASCII-tekens bevatten.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Als alle geïnstalleerde bestanden intact zijn en alle voorafgaande controles zijn geslaagd, wordt de splunk-serverdaemon (splunkd) gestart, wordt een 2048 bit RSA-privésleutel gegenereerd en kunt u toegang hebben tot de Splunk-webinterface.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Open vervolgens poort 8000 waar de Splunk-server naar luistert, in uw firewall met behulp van de firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Open een webbrowser en typ de volgende URL om toegang te krijgen tot de splunk-webinterface.

http://SERVER_IP:8000

Om in te loggen gebruikt u gebruikersnaam: admin en het wachtwoord dat u tijdens het installatieproces heeft aangemaakt.

7. Nadat u succesvol bent ingelogd, komt u terecht in de Splunk-beheerdersconsole die wordt weergegeven in de volgende schermafbeelding. Om een logbestand te monitoren, bijvoorbeeld /var/log/secure, klikt u op Gegevens toevoegen.

8. Klik vervolgens op Monitor om gegevens uit een bestand toe te voegen.

9. Kies in de volgende interface Bestanden en mappen.

10. Stel vervolgens de instantie in om bestanden en mappen te controleren op gegevens. Als u alle objecten in een map wilt controleren, selecteert u de map. Als u één enkel bestand wilt controleren, selecteert u het. Klik op Bladeren om de gegevensbron te selecteren.

11. Er wordt een lijst met mappen in uw root(/)-map weergegeven. Navigeer naar het logbestand dat u wilt controleren (/var/log /secure) en klik op Selecteren.

12. Nadat u de gegevensbron heeft geselecteerd, selecteert u Continu monitoren om dat logbestand te bekijken en klikt u op Volgende om het brontype in te stellen.

13. Stel vervolgens het brontype voor uw gegevensbron in. Voor ons testlogbestand (/var/log/secure) moeten we Besturingssysteem →linux_secure selecteren; Hierdoor weet Splunk dat het bestand beveiligingsgerelateerde berichten van een Linux-systeem bevat. Klik vervolgens op Volgende om door te gaan.

14. U kunt optioneel aanvullende invoerparameters instellen voor deze gegevensinvoer. Selecteer onder App-context de optie Zoeken en rapporteren. Klik vervolgens op Beoordelen. Klik na beoordeling op Verzenden.

15. Nu is uw bestandsinvoer met succes aangemaakt. Klik op Start zoeken om uw gegevens te doorzoeken.

16. Om al uw gegevensinvoer te bekijken, gaat u naar Instellingen→Gegevens→Gegevensinvoer. Klik vervolgens op het type dat u wilt bekijken, bijvoorbeeld Bestanden en mappen.

17. Hieronder volgen aanvullende opdrachten om de Splunk-daemon te beheren (herstarten of stoppen).

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Vanaf nu kunt u meer gegevensbronnen toevoegen (lokaal of op afstand met Splunk Forwarder), uw gegevens verkennen en/of Splunk-apps installeren om de standaardfunctionaliteit te verbeteren. U kunt meer doen door de Splunk-documentatie te lezen die op de officiële website wordt aangeboden.

Splunk-startpagina: https://www.splunk.com/

Dat is het voor nu! Splunk is krachtige, robuuste en volledig geïntegreerde, realtime software voor bedrijfslogboekbeheer. In dit artikel hebben we laten zien hoe je de nieuwste versie van Splunk log analyser op CentOS 7 installeert. Als je vragen of opmerkingen hebt, gebruik dan het onderstaande reactieformulier om ons te bereiken.