Как установить Splunk Log Analyzer на CentOS 7?

Splunk — это мощное, надежное и полностью интегрированное программное обеспечение для управления журналами предприятия в режиме реального времени для сбора, хранения, поиска, диагностики и составления отчетов о любых журналах и сгенерированных данных, включая структурированные, неструктурированные и сложные многострочные журналы приложений.

Он позволяет быстро собирать, хранить, индексировать, искать, сопоставлять, визуализировать, анализировать и составлять отчеты о любых данных журнала или сгенерированных машинных данных для выявления и решения проблем эксплуатации и безопасности.

Кроме того, Splunk поддерживает широкий спектр вариантов использования управления журналами, таких как консолидация и хранение журналов, безопасность, устранение неполадок в ИТ-операциях, устранение неполадок приложений, а также отчёты о соответствии и многое другое.

Особенности утилиты:

• Он легко масштабируется и полностью интегрируется.
• Поддерживает как локальные, так и удаленные источники данных.
• Позволяет индексировать машинные данные.
• Поддерживает поиск и сопоставление любых данных.
• Поддерживает мониторинг и оповещение.
• Также поддерживает отчёты и информационные панели для визуализации.
• Предоставляет гибкий доступ к реляционным базам данных, данным с разделителями полей в файлах значений, разделенных запятыми (.CSV), или к другим хранилищам данных предприятия, таким как Hadoop или NoSQL.
• Поддерживает широкий спектр сценариев управления журналами и многое другое.

В этой статье мы покажем, как установить последнюю версию Splunk Log Analyzer и как добавить файл журнала (источник данных) и выполнить в нем поиск событий в CentOS 7 (также работает с дистрибутивом RHEL).

Рекомендованные системные требования:

• Сервер CentOS 7 или RHEL 7 с минимальной установкой.
• Минимум 12 ГБ ОЗУ

Тестовая среда:

Linode VPS c CentOS 7

Установка Splunk Log Analyzer для мониторинга журналов CentOS 7

1. Перейдите на веб-сайт Splunk, создайте учетную запись и загрузите последнюю доступную версию для вашей системы на странице загрузки Splunk Enterprise. RPM-пакеты доступны для Red Hat, CentOS и аналогичных версий Linux.

Кроме того, вы можете загрузить его напрямую через веб-браузер, а также использовать команду wget, чтобы получить пакет через командную строку, как показано ниже:

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. После загрузки пакета установите RPM Splunk Enterprise в каталог по умолчанию /opt/splunk с помощью диспетчера пакетов RPM, как показано ниже:

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Затем используйте интерфейс командной строки Splunk Enterprise (CLI) для запуска службы:

# /opt/splunk/bin/./splunk start

Прочитайте ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ ДЛЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ SPLUNK, нажав Enter. После того, как вы закончили чтение, вас спросят: «Согласны ли вы с этим лицензионным соглашением?» Введите Y, чтобы продолжить.

Do you agree with this license? [y/n]: y

Затем задайте данные для учетной записи администратора, ваш пароль должен содержать не менее 8 ASCII символов:

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:

4. Если все установленные файлы не повреждены и все предварительные проверки пройдены, будет запущен служба сервера Splunk (splunkd), будет создан 2048-битный зашифрованный ключ RSA, и вы сможете получить доступ к веб-интерфейсу Spunk:

All preliminary checks passed.

Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done

 

If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://test.lab:8000

5. Затем откройте порт 8000, который прослушивает сервер , в брандмауэре с помощью firewall-cmd:

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Откройте веб-браузер и введите следующий URL-адрес, чтобы получить доступ к расширенному веб-интерфейсу:

http://SERVER_IP:8000

Для входа используйте Имя пользователя: admin и пароль, который вы создали в процессе установки.

7. После успешного входа в систему вы окажетесь в консоли администратора, показанной на следующем скриншоте. Чтобы отслеживать файл журнала, например /var/log/secure, нажмите «Add Data».

8. Затем нажмите «Monitor», чтобы добавить данные из файла:

9. В следующем интерфейсе выберите «Files & Directories»:

10. Затем настройте экземпляр для мониторинга файлов. Нажмите на «Browse«, чтобы выбрать источник данных.

11. Вам будет показан список каталогов в корневом (/) каталоге, перейдите к файлу журнала, который вы хотите отслеживать (/var/log/secure), и нажмите «Select».

12. После выбора источника данных выберите «Continuously Monitor», чтобы просмотреть этот файл журнала, и нажмите «Next», чтобы установить тип источника.

13. Затем установите тип источника для вашего источника данных. Для нашего файла журнала (/var/log/secure) нам нужно выбрать Operating System→linux_secure; это позволит spunk знать, что файл содержит сообщения, связанные с безопасностью из системы Linux. Затем нажмите «Next«, чтобы продолжить.

14. При желании вы можете установить дополнительные входные параметры для этого ввода данных. В поле «App context» выберите «Search & Reporting». Затем нажмите «Review». После просмотра нажмите «Submit«.

15. Теперь ваш файл ввода был успешно создан. Нажмите на «Start Searching», чтобы найти ваши данные:

16. Чтобы просмотреть все ваши входные данные, перейдите в Settings→Data→Data Inputs. Затем нажмите на тип, который вы хотите просмотреть, например, «Files & Directories».

17. Ниже приведены дополнительные команды для управления демоном splunk:

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Отныне вы можете добавлять больше источников данных (локальных или удаленных с помощью Splunk Forwarder), исследовать ваши данные и/или устанавливать приложения для улучшения его функциональности по умолчанию. Вы сможете сделать больше, прочитав документацию на официальном сайте.

Домашняя страница Splunk: https://www.splunk.com/

Вот и все! Это мощное, надежное и полностью интегрированное программное обеспечение для управления журналами предприятия в режиме реального времени. В этой статье мы показали, как установить последнюю версию Splunk Log Analyzer на CentOS 7.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности,  полный курс по кибербезопасности от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).