Website-Suche

So installieren Sie Splunk Log Analyzer unter CentOS 7

Splunk ist eine leistungsstarke, robuste und vollständig integrierte Software für die unternehmensweite Protokollverwaltung in Echtzeit zum Sammeln, Speichern, Durchsuchen, Diagnostizieren und Berichten aller Protokoll- und maschinengenerierten Daten, einschließlich strukturierter, unstrukturierter und komplexer Daten mehrzeilige Anwendungsprotokolle.

Es ermöglicht Ihnen das schnelle und wiederholbare Sammeln, Speichern, Indizieren, Suchen, Korrelieren, Visualisieren, Analysieren und Berichten aller Protokolldaten oder maschinengenerierten Daten, um Betriebs- und Sicherheitsprobleme zu identifizieren und zu lösen.

Darüber hinaus unterstützt Splunk eine Vielzahl von Anwendungsfällen für die Protokollverwaltung, z. B. Protokollkonsolidierung und -aufbewahrung, Sicherheit, Fehlerbehebung im IT-Betrieb, Fehlerbehebung bei Anwendungen sowie Compliance-Berichte und vieles mehr.

Splunk-Funktionen:

  • Es ist leicht skalierbar und vollständig integriert.
  • Unterstützt sowohl lokale als auch Remote-Datenquellen.
  • Ermöglicht die Indizierung von Maschinendaten.
  • Unterstützt die Suche und Korrelation beliebiger Daten.
  • Ermöglicht Ihnen einen Drilldown und einen Drillup sowie einen Pivot über Daten hinweg.
  • Unterstützt Überwachung und Alarmierung.
  • Unterstützt auch Berichte und Dashboards zur Visualisierung.
  • Bietet flexiblen Zugriff auf relationale Datenbanken, durch Felder getrennte Daten in Dateien mit durch Kommas getrennten Werten (.CSV) oder auf andere Unternehmensdatenspeicher wie Hadoop oder NoSQL.
  • Unterstützt eine Vielzahl von Anwendungsfällen für die Protokollverwaltung und vieles mehr.

In diesem Artikel zeigen wir, wie man die neueste Version des Splunk-Protokollanalysators installiert und wie man eine Protokolldatei (Datenquelle) hinzufügt und diese nach Ereignissen in CentOS 7 durchsucht > (funktioniert auch auf der RHEL-Distribution).

Empfohlene Systemanforderungen:

  1. Ein CentOS 7-Server oder RHEL 7-Server mit minimaler Installation.
  2. Mindestens 12 GB RAM

Test Umgebung:

  1. Linode VPS mit minimaler CentOS 7-Installation.

Installieren Sie Splunk Log Analyzer, um CentOS 7-Protokolle zu überwachen

1. Gehen Sie zur Splunk-Website, erstellen Sie ein Konto und holen Sie sich die neueste verfügbare Version für Ihr System von der Splunk Enterprise-Downloadseite. RPM-Pakete sind für Red Hat, CentOS und ähnliche Linux-Versionen verfügbar.

Alternativ können Sie es direkt über den Webbrowser herunterladen oder den Download-Link abrufen und mit wget commandv das Paket wie gezeigt über die Befehlszeile abrufen.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Sobald Sie das Paket heruntergeladen haben, installieren Sie das Splunk Enterprise RPM im Standardverzeichnis /opt/splunk mithilfe des RPM-Paketmanagers wie gezeigt .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Als nächstes verwenden Sie die Befehlszeilenschnittstelle (CLI) von Splunk Enterprise, um den Dienst zu starten.

/opt/splunk/bin/./splunk start

Lesen Sie die SPLUNK-SOFTWARE-LIZENZVEREINBARUNG durch, indem Sie die Eingabetaste drücken. Sobald Sie die Lektüre abgeschlossen haben, werden Sie gefragt: Sind Sie mit dieser Lizenz einverstanden? Geben Sie Y ein, um fortzufahren.

Do you agree with this license? [y/n]: y

Erstellen Sie dann Anmeldeinformationen für das Administratorkonto. Ihr Passwort muss insgesamt mindestens 8 druckbare ASCII-Zeichen enthalten.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Wenn alle installierten Dateien intakt sind und alle vorläufigen Prüfungen bestanden wurden, wird der Splunk-Server-Daemon (splunkd) gestartet, ein privater 2048-Bit-RSA-Schlüssel generiert und Sie können auf die Splunk-Weboberfläche zugreifen.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Öffnen Sie als Nächstes den Port 8000, auf dem der Splunk-Server lauscht, in Ihrer Firewall mithilfe des firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Öffnen Sie einen Webbrowser und geben Sie die folgende URL ein, um auf die Splunk-Weboberfläche zuzugreifen.

http://SERVER_IP:8000

Um sich anzumelden, verwenden Sie den Benutzernamen: admin und das Passwort, das Sie während des Installationsvorgangs erstellt haben.

7. Nach erfolgreicher Anmeldung landen Sie in der Splunk-Administratorkonsole, die im folgenden Screenshot gezeigt wird. Um eine Protokolldatei zu überwachen, zum Beispiel /var/log/secure, klicken Sie auf Daten hinzufügen.

8. Klicken Sie dann auf Überwachen, um Daten aus einer Datei hinzuzufügen.

9. Wählen Sie in der nächsten Benutzeroberfläche Dateien und Verzeichnisse.

10. Richten Sie dann die Instanz ein, um Dateien und Verzeichnisse auf Daten zu überwachen. Um alle Objekte in einem Verzeichnis zu überwachen, wählen Sie das Verzeichnis aus. Um eine einzelne Datei zu überwachen, wählen Sie sie aus. Klicken Sie auf Durchsuchen, um die Datenquelle auszuwählen.

11. Eine Liste der Verzeichnisse in Ihrem root(/)-Verzeichnis wird Ihnen angezeigt. Navigieren Sie zu der Protokolldatei, die Sie überwachen möchten (/var/log /secure) und klicken Sie auf Auswählen.

12. Nachdem Sie die Datenquelle ausgewählt haben, wählen Sie Kontinuierlich überwachen, um diese Protokolldatei anzusehen, und klicken Sie auf Weiter, um den Quelltyp festzulegen.

13. Als nächstes legen Sie den Quelltyp für Ihre Datenquelle fest. Für unsere Testprotokolldatei (/var/log/secure) müssen wir Betriebssystem→linux_secure auswählen; Dadurch weiß Splunk, dass die Datei sicherheitsrelevante Meldungen von einem Linux-System enthält. Klicken Sie dann auf Weiter, um fortzufahren.

14. Sie können optional zusätzliche Eingabeparameter für diese Dateneingabe festlegen. Wählen Sie unter App-Kontext die Option Suche und Berichterstellung aus. Klicken Sie dann auf Überprüfen. Klicken Sie nach der Überprüfung auf Senden.

15. Jetzt wurde Ihre Dateieingabe erfolgreich erstellt. Klicken Sie auf Suche starten, um Ihre Daten zu durchsuchen.

16. Um alle Ihre Dateneingaben anzuzeigen, gehen Sie zu Einstellungen→Daten→Dateneingaben. Klicken Sie dann auf den Typ, den Sie anzeigen möchten, zum Beispiel Dateien und Verzeichnisse.

17. Im Folgenden finden Sie zusätzliche Befehle zum Verwalten (Neustarten oder Stoppen) des Splunk-Daemons.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Von nun an können Sie weitere Datenquellen hinzufügen (lokal oder remote mit Splunk Forwarder), Ihre Daten untersuchen und/oder Splunk-Apps installieren, um die Standardfunktionalität zu erweitern. Weitere Informationen finden Sie in der Splunk-Dokumentation auf der offiziellen Website.

Splunk-Homepage: https://www.splunk.com/

Das war es fürs Erste! Splunk ist eine leistungsstarke, robuste und vollständig integrierte Echtzeit-Protokollverwaltungssoftware für Unternehmen. In diesem Artikel haben wir gezeigt, wie Sie die neueste Version des Splunk-Protokollanalysators unter CentOS 7 installieren. Wenn Sie Fragen oder Gedanken zum Teilen haben, verwenden Sie das Kommentarformular unten, um uns zu erreichen.