How-to-Install-Splunk-Log-Analyzer-on-CentOS-7

Как установить Splunk Log Analyzer на CentOS 7?

Мониторинг

Splunk — это мощное, надежное и полностью интегрированное программное обеспечение для управления журналами предприятия в режиме реального времени для сбора, хранения, поиска, диагностики и составления отчетов о любых журналах и сгенерированных данных, включая структурированные, неструктурированные и сложные многострочные журналы приложений.

Он позволяет быстро собирать, хранить, индексировать, искать, сопоставлять, визуализировать, анализировать и составлять отчеты о любых данных журнала или сгенерированных машинных данных для выявления и решения проблем эксплуатации и безопасности.

Кроме того, Splunk поддерживает широкий спектр вариантов использования управления журналами, таких как консолидация и хранение журналов, безопасность, устранение неполадок в ИТ-операциях, устранение неполадок приложений, а также отчёты о соответствии и многое другое.

Особенности утилиты:

  • Он легко масштабируется и полностью интегрируется.
  • Поддерживает как локальные, так и удаленные источники данных.
  • Позволяет индексировать машинные данные.
  • Поддерживает поиск и сопоставление любых данных.
  • Поддерживает мониторинг и оповещение.
  • Также поддерживает отчёты и информационные панели для визуализации.
  • Предоставляет гибкий доступ к реляционным базам данных, данным с разделителями полей в файлах значений, разделенных запятыми (.CSV), или к другим хранилищам данных предприятия, таким как Hadoop или NoSQL.
  • Поддерживает широкий спектр сценариев управления журналами и многое другое.

 

В этой статье мы покажем, как установить последнюю версию Splunk Log Analyzer и как добавить файл журнала (источник данных) и выполнить в нем поиск событий в CentOS 7 (также работает с дистрибутивом RHEL).

 

Рекомендованные системные требования:

  • Сервер CentOS 7 или RHEL 7 с минимальной установкой.
  • Минимум 12 ГБ ОЗУ

Тестовая среда:

Linode VPS c CentOS 7

 

Установка Splunk Log Analyzer для мониторинга журналов CentOS 7

1. Перейдите на веб-сайт Splunk, создайте учетную запись и загрузите последнюю доступную версию для вашей системы на странице загрузки Splunk Enterprise. RPM-пакеты доступны для Red Hat, CentOS и аналогичных версий Linux.

Кроме того, вы можете загрузить его напрямую через веб-браузер, а также использовать команду wget, чтобы получить пакет через командную строку, как показано ниже:

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

 

2. После загрузки пакета установите RPM Splunk Enterprise в каталог по умолчанию /opt/splunk с помощью диспетчера пакетов RPM, как показано ниже:

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

 

 

3. Затем используйте интерфейс командной строки Splunk Enterprise (CLI) для запуска службы:

# /opt/splunk/bin/./splunk start 

 

Прочитайте ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ ДЛЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ SPLUNK, нажав Enter. После того, как вы закончили чтение, вас спросят: «Согласны ли вы с этим лицензионным соглашением?» Введите Y, чтобы продолжить.

Do you agree with this license? [y/n]: y

 

Затем задайте данные для учетной записи администратора, ваш пароль должен содержать не менее 8 ASCII символов:

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:

 

 

4. Если все установленные файлы не повреждены и все предварительные проверки пройдены, будет запущен служба сервера Splunk (splunkd), будет создан 2048-битный зашифрованный ключ RSA, и вы сможете получить доступ к веб-интерфейсу Spunk:

All preliminary checks passed.

Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done

 

If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://test.lab:8000

 

 

5. Затем откройте порт 8000, который прослушивает сервер , в брандмауэре с помощью firewall-cmd:

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

 

6. Откройте веб-браузер и введите следующий URL-адрес, чтобы получить доступ к расширенному веб-интерфейсу:

http://SERVER_IP:8000

 

Для входа используйте Имя пользователя: admin и пароль, который вы создали в процессе установки.

Splunk-Login-Page

 

 

7. После успешного входа в систему вы окажетесь в консоли администратора, показанной на следующем скриншоте. Чтобы отслеживать файл журнала, например /var/log/secure, нажмите «Add Data».

Splunk-Add-Data

 

 

8. Затем нажмите «Monitor», чтобы добавить данные из файла:

Splunk-Monitor-Data-File

 

 

9. В следующем интерфейсе выберите «Files & Directories»:

Select-Splunk-File-and-Directories

 

 

10. Затем настройте экземпляр для мониторинга файлов. Нажмите на «Browse«, чтобы выбрать источник данных.

Select-Splunk-Instance-to-Monitor

 

 

11. Вам будет показан список каталогов в корневом (/) каталоге, перейдите к файлу журнала, который вы хотите отслеживать (/var/log/secure), и нажмите «Select».

Select-Monitor-Data-Source

 

 

Select-Monitor-Data-File

 

 

12. После выбора источника данных выберите «Continuously Monitor», чтобы просмотреть этот файл журнала, и нажмите «Next», чтобы установить тип источника.

Set-Monitor-Data-Source-Settings

 

 

13. Затем установите тип источника для вашего источника данных. Для нашего файла журнала (/var/log/secure) нам нужно выбрать Operating System→linux_secure; это позволит spunk знать, что файл содержит сообщения, связанные с безопасностью из системы Linux. Затем нажмите «Next«, чтобы продолжить.

Set-Data-Source-Type

 

 

14. При желании вы можете установить дополнительные входные параметры для этого ввода данных. В поле «App context» выберите «Search & Reporting». Затем нажмите «Review». После просмотра нажмите «Submit«.

Set-Additional-Input-Settings

 

 

Review-Data-Source-Settings

 

 

15. Теперь ваш файл ввода был успешно создан. Нажмите на «Start Searching», чтобы найти ваши данные:

Start-Searching-Data

 

 

Monitor-Data-Source-Reports

 

 

16. Чтобы просмотреть все ваши входные данные, перейдите в Settings→Data→Data Inputs. Затем нажмите на тип, который вы хотите просмотреть, например, «Files & Directories».

Splunk-Data-Inputs

 

 

View-All-Data-Inputs

 

 

17. Ниже приведены дополнительные команды для управления демоном splunk:

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

 

Отныне вы можете добавлять больше источников данных (локальных или удаленных с помощью Splunk Forwarder), исследовать ваши данные и/или устанавливать приложения для улучшения его функциональности по умолчанию. Вы сможете сделать больше, прочитав документацию на официальном сайте.

 

Домашняя страница Splunk: https://www.splunk.com/

 

Вот и все! Это мощное, надежное и полностью интегрированное программное обеспечение для управления журналами предприятия в режиме реального времени. В этой статье мы показали, как установить последнюю версию Splunk Log Analyzer на CentOS 7.

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Ciscoкурсы по кибербезопасности,  полный курс по кибербезопасности от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Мониторинг

Больше похожих постов

1 комментарий. Оставить новый

  • Доброго времени суток.
    Спасибо за статью!
    Как настроить сбор потоков (flows)?
    Как настроить кореляционные правила?
    Как с удаленных машин снимать сислоги, под Win и *nix.
    Спасибо!
    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
20 инструментов командной строки для мониторинга производительности Linux

20 инструментов командной строки для мониторинга производительности Linux

3,136
5 комментариев
Действительно трудной задачей для каждого администратора является ежедневное отслеживание и отладка проблем производительности системы Linux. Будучи администратором Linux более 5 лет…
Меню