Ricerca nel sito web

Come installare Splunk Log Analyser su CentOS 7

Splunk è un software potente, robusto e completamente integrato per la gestione dei log aziendali in tempo reale per raccogliere, archiviare, cercare, diagnosticare e segnalare qualsiasi dato di log e generato dalla macchina, inclusi dati strutturati, non strutturati e complessi registri delle applicazioni su più righe.

Consente di raccogliere, archiviare, indicizzare, cercare, correlare, visualizzare, analizzare e creare report su qualsiasi dato di registro o dato generato dalla macchina in modo rapido e ripetibile, per identificare e risolvere problemi operativi e di sicurezza.

Inoltre, Splunk supporta un'ampia gamma di casi d'uso di gestione dei log, come consolidamento e conservazione dei log, sicurezza, risoluzione dei problemi delle operazioni IT, risoluzione dei problemi delle applicazioni, reporting di conformità e molto altro ancora.

Caratteristiche di Splunk:

  • È facilmente scalabile e completamente integrato.
  • Supporta origini dati sia locali che remote.
  • Consente l'indicizzazione dei dati della macchina.
  • Supporta la ricerca e la correlazione di qualsiasi dato.
  • Consente di eseguire il drill down, l'up e il pivot tra i dati.
  • Supporta il monitoraggio e gli avvisi.
  • Supporta anche report e dashboard per la visualizzazione.
  • Fornisce accesso flessibile a database relazionali, dati delimitati da campi in file con valori separati da virgole (.CSV) o ad altri archivi dati aziendali come Hadoop o NoSQL.
  • Supporta un'ampia gamma di casi d'uso di gestione dei log e molto altro ancora.

In questo articolo, mostreremo come installare l'ultima versione dell'analizzatore di registro Splunk e come aggiungere un file di registro (origine dati) e cercare eventi in CentOS 7. > (funziona anche sulla distribuzione RHEL).

Requisiti di sistema raccomandati:

  1. Un server CentOS 7 o un server RHEL 7 con installazione minima.
  2. Minimo 12 GB di RAM

Ambiente di test:

  1. Linode VPS con installazione minima di CentOS 7.

Installa Splunk Log Analyser per monitorare i log di CentOS 7

1. Vai al sito web di Splunk, crea un account e scarica l'ultima versione disponibile per il tuo sistema dalla pagina di download di Splunk Enterprise. I pacchetti RPM sono disponibili per Red Hat, CentOS e versioni simili di Linux.

In alternativa, puoi scaricarlo direttamente tramite il browser Web o ottenere il collegamento per il download e utilizzare wget commandv per acquisire il pacchetto tramite la riga di comando come mostrato.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Dopo aver scaricato il pacchetto, installa Splunk Enterprise RPM nella directory predefinita /opt/splunk utilizzando il gestore pacchetti RPM come mostrato .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Successivamente, utilizzare l'interfaccia della riga di comando (CLI) Splunk Enterprise per avviare il servizio.

/opt/splunk/bin/./splunk start

Leggi il CONTRATTO DI LICENZA SOFTWARE SPLUNK premendo Invio. Una volta completata la lettura, ti verrà chiesto Sei d'accordo con questa licenza? Inserisci Y per continuare.

Do you agree with this license? [y/n]: y

Quindi crea le credenziali per l'account amministratore, la tua password deve contenere almeno 8 caratteri ASCII stampabili in totale.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Se tutti i file installati sono intatti e tutti i controlli preliminari sono stati superati, verrà avviato il demone del server splunk (splunkd), verrà generata una chiave privata RSA a 2048 bit e può essere in grado di accedere all'interfaccia web di Splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Successivamente, apri la porta 8000 su cui è in ascolto il server Splunk, nel tuo firewall utilizzando firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Apri un browser web e digita il seguente URL per accedere all'interfaccia web di Splunk.

http://SERVER_IP:8000

Per accedere, utilizza il nome utente: admin e la password che hai creato durante il processo di installazione.

7. Dopo aver effettuato correttamente l'accesso, arriverai alla console di amministrazione Splunk mostrata nello screenshot seguente. Per monitorare un file di registro, ad esempio /var/log/secure, fai clic su Aggiungi dati.

8. Quindi fai clic su Monitor per aggiungere dati da un file.

9. Dall'interfaccia successiva, scegli File e directory.

10. Quindi configura l'istanza per monitorare i file e le directory per i dati. Per monitorare tutti gli oggetti in una directory, selezionare la directory. Per monitorare un singolo file, selezionalo. Fai clic su Sfoglia per selezionare l'origine dati.

11. Ti verrà mostrato un elenco di directory nella tua directory root(/), vai al file di registro che desideri monitorare (/var/log /secure) e fai clic su Seleziona.

12. Dopo aver selezionato l'origine dati, seleziona Monitoraggio continuo per osservare il file di registro e fare clic su Avanti per impostare il tipo di origine.

13. Successivamente, imposta il tipo di origine per la tua origine dati. Per il nostro file di registro del test (/var/log/secure), dobbiamo selezionare Sistema operativo→linux_secure; questo fa sapere a Splunk che il file contiene messaggi relativi alla sicurezza provenienti da un sistema Linux. Quindi fare clic su Avanti per procedere.

14. Facoltativamente puoi impostare parametri di input aggiuntivi per questo input di dati. In Contesto app, seleziona Ricerca e rapporti. Quindi fai clic su Rivedi. Dopo la revisione, fai clic su Invia.

15. Ora il tuo input di file è stato creato correttamente. Fai clic su Inizia la ricerca per cercare i tuoi dati.

16. Per visualizzare tutti i tuoi input di dati, vai su Impostazioni→Dati→Inserimento di dati. Quindi fai clic sul tipo che desideri visualizzare, ad esempio File e directory.

17. Di seguito sono riportati i comandi aggiuntivi per gestire (riavviare o arrestare) il demone Splunk.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

D'ora in poi, puoi aggiungere più origini dati (locali o remote utilizzando Splunk Forwarder), esplorare i tuoi dati e/o installare app Splunk per migliorare la sua funzionalità predefinita. Puoi fare di più leggendo la documentazione di Splunk fornita sul sito ufficiale.

Home page di Splunk: https://www.splunk.com/

Per ora è tutto! Splunk è un software di gestione dei registri aziendali in tempo reale potente, robusto e completamente integrato. In questo articolo, abbiamo mostrato come installare l'ultima versione dell'analizzatore di log Splunk su CentOS 7. Se hai domande o pensieri da condividere, utilizza il modulo dei commenti qui sotto per contattarci.

Tutti i diritti riservati. © Linux-Console.net • 2019-2024