So installieren Sie Splunk Log Analyzer unter CentOS 7
Sie können Protokolldaten oder maschinengenerierte Daten schnell und wiederholbar erfassen, speichern, indizieren, suchen, korrelieren, visualisieren, analysieren und melden, um Betriebs- und Sicherheitsprobleme zu identifizieren und zu lösen.
Darüber hinaus unterstützt Splunk eine Vielzahl von Anwendungsfällen für die Protokollverwaltung, z. B. Protokollkonsolidierung und -aufbewahrung, Sicherheit, Fehlerbehebung bei IT-Vorgängen, Fehlerbehebung bei Anwendungen sowie Compliance-Berichte und vieles mehr.
Splunk-Funktionen:
- Es ist leicht skalierbar und vollständig integriert.
- Unterstützt sowohl lokale als auch entfernte Datenquellen.
- Ermöglicht die Indizierung von Maschinendaten.
- Unterstützt das Suchen und Korrelieren von Daten.
- Ermöglicht das Drilldown und Up und das Schwenken über Daten.
- Unterstützt Überwachung und Alarmierung.
- Unterstützt auch Berichte und Dashboards zur Visualisierung.
- Bietet flexiblen Zugriff auf relationale Datenbanken, feldgetrennte Daten in durch Kommas getrennten Werten (.CSV) Dateien oder in andere Unternehmensdatenspeicher wie Hadoop oder NoSQL.
- Unterstützt eine Vielzahl von Anwendungsfällen für die Protokollverwaltung und vieles mehr.
In diesem Artikel zeigen wir Ihnen, wie Sie die neueste Version von installieren Splunk Log Analyzer und wie man eine Logdatei (Datenquelle) hinzufügt und sie nach Ereignissen in durchsucht CentOS 7 (funktioniert auch weiter RHEL Verteilung).
Empfohlene Systemanforderungen:
- Ein CentOS 7-Server oder RHEL 7-Server mit minimaler Installation.
- Mindestens 12 GB RAM
Test Umgebung:
- Linode VPS mit CentOS 7 minimale Installation.
Installieren Sie Splunk Log Analyzer, um CentOS 7-Protokolle zu überwachen
1. Gehen Sie zur Splunk-Website, erstellen Sie ein Konto und holen Sie sich die neueste verfügbare Version für Ihr System von der Splunk Enterprise herunterladen Seite. RPM-Pakete sind für Red Hat, CentOS und ähnliche Linux-Versionen verfügbar.
Alternativ können Sie es direkt über den Webbrowser herunterladen oder den Download-Link abrufen und mit wget commandv das Paket wie gezeigt über die Befehlszeile abrufen.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Nachdem Sie das Paket heruntergeladen haben, installieren Sie das Splunk Enterprise RPM im Standardverzeichnis / opt / splunk Verwenden des RPM-Paketmanagers wie gezeigt.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY useradd: cannot create directory /opt/splunk complete
3. Verwenden Sie als Nächstes die Splunk Enterprise Befehlszeilenschnittstelle (CLI) zum Starten des Dienstes.
# /opt/splunk/bin/./splunk start
Lesen Sie die S.PLUNK SOFTWARE-LIZENZVEREINBARUNG durch Drücken Eingeben. Sobald Sie es gelesen haben, werden Sie gefragt. Stimmen Sie dieser Lizenz zu? Eingeben Y
weitermachen.
Do you agree with this license? [y/n]: y
Erstellen Sie anschließend Anmeldeinformationen für das Administratorkonto. Ihr Kennwort muss mindestens 8 druckbare ASCII-Zeichen enthalten.
Create credentials for the administrator account. Characters do not appear on the screen when you type the password. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password:
4. Wenn alle installierten Dateien intakt sind und alle vorläufigen Prüfungen bestanden wurden, wird der Splunk-Server-Daemon (splunkd) wird gestartet, ein privater 2048-Bit-RSA-Schlüssel wird generiert und Sie können auf die Splunk-Weboberfläche zugreifen.
All preliminary checks passed. Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ......................+++ .....+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=tecmint/O=SplunkUser Getting CA Private Key writing RSA key Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available............. Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://tecmint:8000
5. Als nächstes öffnen Sie den Port 8000 Welcher Splunk-Server in Ihrer Firewall mit der Firewall-cmd zuhört.
# firewall-cmd --add-port=8000/tcp --permanent # firewall-cmd --reload
6. Öffnen Sie einen Webbrowser und geben Sie die folgende URL ein, um auf die Splunk-Weboberfläche zuzugreifen.
http://SERVER_IP:8000
Verwenden Sie zum Anmelden den Benutzernamen: Administrator und das Kennwort, das Sie während des Installationsvorgangs erstellt haben.
7. Nach erfolgreicher Anmeldung landen Sie in der im folgenden Screenshot gezeigten Splunk-Administratorkonsole. Zum Beispiel zum Überwachen einer Protokolldatei /var/log/secure
, klicke auf Daten hinzufügen.
8. Dann klicken Sie auf Monitor um Daten aus einer Datei hinzuzufügen.
9. Wählen Sie auf der nächsten Oberfläche die Option Dateien & Verzeichnisse.
10. Richten Sie dann die Instanz so ein, dass Dateien und Verzeichnisse auf Daten überwacht werden. Um alle Objekte in einem Verzeichnis zu überwachen, wählen Sie das Verzeichnis aus. Um eine einzelne Datei zu überwachen, wählen Sie sie aus. Klicke auf Durchsuche um die Datenquelle auszuwählen.
11. Eine Liste der Verzeichnisse in Ihrem root(/)
Das Verzeichnis wird Ihnen angezeigt. Navigieren Sie zu der Protokolldatei, die Sie überwachen möchten./ Var / log / sicher) und klicken Wählen.
12. Wählen Sie nach Auswahl der Datenquelle Kontinuierlich überwachen um diese Protokolldatei anzusehen und auf zu klicken Nächster Quelltyp einstellen.
13. Legen Sie als Nächstes den Quellentyp für Ihre Datenquelle fest. Für unsere Testprotokolldatei (/var/log/secure)
müssen wir auswählen Betriebssystem → linux_secure;; Dadurch wird Splunk darüber informiert, dass die Datei sicherheitsrelevante Nachrichten von einem Linux-System enthält. Dann klick Nächster fortfahren.
14. Sie können optional zusätzliche Eingabeparameter für diese Dateneingabe festlegen. Unter App-Kontext, wählen Suche & Berichterstellung. Dann klick Rezension. Klicken Sie nach der Überprüfung auf einreichen.
fünfzehn. Jetzt wurde Ihre Dateieingabe erfolgreich erstellt. Klicke auf Fang an zu suchen um Ihre Daten zu durchsuchen.
16. Um alle Ihre Dateneingaben anzuzeigen, gehen Sie zu Einstellungen → Daten → Dateneingaben. Klicken Sie dann beispielsweise auf den Typ, den Sie anzeigen möchten Dateien & Verzeichnisse.
17. Im Folgenden finden Sie zusätzliche Befehle zum Verwalten (Neustarten oder Stoppen) des Splunk-Daemons.
# /opt/splunk/bin/./splunk restart # /opt/splunk/bin/./splunk stop
Von nun an können Sie weitere Datenquellen hinzufügen (lokal oder remote) Splunk Forwarder), untersuchen Sie Ihre Daten und / oder installieren Sie Splunk-Apps, um die Standardfunktionalität zu verbessern. Sie können mehr tun, indem Sie die Splunk-Dokumentation auf der offiziellen Website lesen.
Splunk Homepage:: https://www.splunk.com/
Das war es fürs Erste! Splunk ist eine leistungsstarke, robuste und vollständig integrierte Echtzeit-Software zur Verwaltung von Unternehmensprotokollen. In diesem Artikel haben wir gezeigt, wie die neueste Version von Splunk Log Analyzer unter CentOS 7 installiert wird. Wenn Sie Fragen oder Anregungen haben, verwenden Sie das Kommentarformular unten, um uns zu erreichen.