Hvernig á að setja upp Splunk Log Analyzer á CentOS 7


Splunk er öflugur, öflugur og fullkomlega samþættur hugbúnaður fyrir stjórnun fyrirtækjaskrár í rauntíma til að safna, geyma, leita, greina og tilkynna hvers kyns annál og vélræn gögn, þar á meðal skipulögð, ómótuð og flókin fjöllína forritaskrá.

Það gerir þér kleift að safna, geyma, skrá, leita, tengja, sjá, greina og tilkynna um hvers kyns annálsgögn eða vélræn gögn á fljótlegan og endurtekanlegan hátt, til að bera kennsl á og leysa rekstrar- og öryggisvandamál.

Að auki styður splunk fjölbreytt úrval af notkunartilvikum um annálastjórnun eins og sameiningu og varðveislu annála, öryggi, bilanaleit í upplýsingatækniaðgerðum, bilanaleit forrita sem og fylgniskýrslur og svo margt fleira.

  • Það er auðvelt að stigstærð og að fullu samþætt.
  • Styður bæði staðbundnar og fjarlægar gagnaveitur.
  • Leyfir skráningu vélagagna.
  • Styður leit og fylgni hvers kyns gagna.
  • Gerir þér kleift að kafa niður og upp og snúa yfir gögn.
  • Styður eftirlit og viðvörun.
  • Styður einnig skýrslur og mælaborð fyrir sjón.
  • Veitir sveigjanlegan aðgang að venslagagnagrunnum, reitafmörkuðum gögnum í skrám með kommum aðskildum gildum (.CSV) eða að öðrum gagnageymslum fyrirtækja eins og Hadoop eða NoSQL.
  • Styður mikið úrval af notkunartilvikum um annálastjórnun og margt fleira.

Í þessari grein munum við sýna hvernig á að setja upp nýjustu útgáfuna af Splunk log greiningartækinu og hvernig á að bæta við log skrá (gagnagjafa) og leita í gegnum hana að atburðum í CentOS 7 (virkar einnig á RHEL dreifingu).

  1. RHEL 7 þjónn með lágmarks uppsetningu.
  2. Lágmark 12GB vinnsluminni

  1. Linode VPS með CentOS 7 lágmarksuppsetningu.

Settu upp Splunk Log Analyzer til að fylgjast með CentOS 7 logs

1. Farðu á splunk vefsíðuna, búðu til reikning og nældu þér í nýjustu útgáfuna fyrir kerfið þitt á Splunk Enterprise niðurhalssíðunni. RPM pakkar eru fáanlegir fyrir Red Hat, CentOS og svipaðar útgáfur af Linux.

Að öðrum kosti geturðu hlaðið því niður beint í gegnum vafrann eða fengið niðurhalstengilinn og notað wget commandv til að grípa pakkann í gegnum skipanalínuna eins og sýnt er.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Þegar þú hefur hlaðið niður pakkanum skaltu setja upp Splunk Enterprise RPM í sjálfgefna skránni /opt/splunk með því að nota RPM pakkastjórann eins og sýnt er.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Næst skaltu nota Splunk Enterprise skipanalínuviðmótið (CLI) til að hefja þjónustuna.

# /opt/splunk/bin/./splunk start 

Lestu í gegnum SPLUNK HUGBÚNAÐARLEYFISSAMNINGINN með því að ýta á Enter. Þegar þú hefur lokið við að lesa það verður þú spurður Ertu sammála þessu leyfi? Sláðu inn Y til að halda áfram.

Do you agree with this license? [y/n]: y

Búðu síðan til skilríki fyrir stjórnandareikninginn, lykilorðið þitt verður að innihalda að minnsta kosti 8 alls prentanlega ASCII stafi.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Ef allar uppsettar skrár eru óskemmdar og allar bráðabirgðaathuganir staðist, verður splunk miðlara púkinn (splunkd) ræstur, 2048 bita RSA einkalykill verður búinn til og þú getur fengið aðgang að splunk vefviðmótinu.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Næst skaltu opna port 8000 sem Splunk server hlustar á, í eldveggnum þínum með því að nota firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Opnaðu vafra og sláðu inn eftirfarandi vefslóð til að fá aðgang að splunk vefviðmótinu.

http://SERVER_IP:8000   

Til að skrá þig inn skaltu nota Notandanafn: admin og lykilorðið sem þú bjóst til við uppsetningarferlið.

7. Eftir vel heppnaða innskráningu muntu lenda í splunk stjórnborðinu sem sýnt er á eftirfarandi skjámynd. Til að fylgjast með skrá, til dæmis /var/log/secure, smelltu á Bæta við gögnum.

8. Smelltu síðan á Monitor til að bæta við gögnum úr skrá.

9. Í næsta viðmóti skaltu velja Files & Directories.

10. Settu síðan upp tilvikið til að fylgjast með skrám og möppum fyrir gögnum. Til að fylgjast með öllum hlutum í möppu skaltu velja möppuna. Til að fylgjast með einni skrá skaltu velja hana. Smelltu á Vafra til að velja gagnagjafa.

11. Listi yfir möppur í rót(/) möppunni þinni verður sýndur þér, farðu að skránni sem þú vilt fylgjast með (/var/log/secure) og smelltu á Velja.

12. Eftir að hafa valið gagnagjafann, veldu Continuously Monitor til að horfa á þá annálaskrá og smelltu á Next til að stilla upprunategund.

13. Næst skaltu stilla upprunategund fyrir gagnagjafann þinn. Fyrir prófunarskrána okkar (/var/log/secure) þurfum við að velja Stýrikerfi→linux_secure; þetta lætur splunk vita að skráin inniheldur öryggistengd skilaboð frá Linux kerfi. Smelltu síðan á Next til að halda áfram.

14. Þú getur valfrjálst stillt fleiri inntaksfæribreytur fyrir þetta gagnainntak. Undir Appsamhengi skaltu velja Leit og skýrslur. Smelltu síðan á Review. Eftir skoðun, smelltu á Senda.

15. Nú hefur skrárinn þinn verið búinn til með góðum árangri. Smelltu á Byrjaðu að leita til að leita í gögnunum þínum.

16. Til að skoða öll gagnainntak, farðu í Stillingar→ Gögn→ Gagnainntak. Smelltu síðan á tegundina sem þú vilt skoða til dæmis Skrár og möppur.

17. Eftirfarandi eru viðbótarskipanir til að stjórna (endurræsa eða stöðva) splunk púkann.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Héðan í frá geturðu bætt við fleiri gagnaveitum (staðbundnum eða fjarlægum með Splunk Forwarder), skoðað gögnin þín og/eða sett upp Splunk öpp til að auka sjálfgefna virkni þeirra. Þú getur gert meira með því að lesa splunk skjölin sem eru á opinberu vefsíðunni.

Heimasíða Splunk: https://www.splunk.com/

Það er það í bili! Splunk er öflugur, öflugur og fullkomlega samþættur hugbúnaður til að stjórna fyrirtækjaskrám í rauntíma. Í þessari grein sýndum við hvernig á að setja upp nýjustu útgáfuna af Splunk log greiningartæki á CentOS 7. Ef þú hefur einhverjar spurningar eða hugsanir til að deila, notaðu athugasemdareyðublaðið hér að neðan til að ná í okkur.