So installieren Sie Splunk Log Analyzer unter CentOS 7

Splunk ist eine leistungsstarke, robuste und vollständig integrierte Software für die Verwaltung von Unternehmensprotokollen in Echtzeit zum Sammeln, Speichern, Suchen, Diagnostizieren und Berichten von protokoll- und maschinengenerierten Daten, einschließlich strukturierter, unstrukturierter und komplexer mehrzeiliger Anwendungsprotokolle.

Sie können Protokolldaten oder maschinengenerierte Daten schnell und wiederholbar erfassen, speichern, indizieren, suchen, korrelieren, visualisieren, analysieren und melden, um Betriebs- und Sicherheitsprobleme zu identifizieren und zu lösen.

Darüber hinaus unterstützt Splunk eine Vielzahl von Anwendungsfällen für die Protokollverwaltung, z. B. Protokollkonsolidierung und -aufbewahrung, Sicherheit, Fehlerbehebung bei IT-Vorgängen, Fehlerbehebung bei Anwendungen sowie Compliance-Berichte und vieles mehr.

Splunk-Funktionen:

  • Es ist leicht skalierbar und vollständig integriert.
  • Unterstützt sowohl lokale als auch entfernte Datenquellen.
  • Ermöglicht die Indizierung von Maschinendaten.
  • Unterstützt das Suchen und Korrelieren von Daten.
  • Ermöglicht das Drilldown und Up und das Schwenken über Daten.
  • Unterstützt Überwachung und Alarmierung.
  • Unterstützt auch Berichte und Dashboards zur Visualisierung.
  • Bietet flexiblen Zugriff auf relationale Datenbanken, feldgetrennte Daten in durch Kommas getrennten Werten (.CSV) Dateien oder in andere Unternehmensdatenspeicher wie Hadoop oder NoSQL.
  • Unterstützt eine Vielzahl von Anwendungsfällen für die Protokollverwaltung und vieles mehr.

In diesem Artikel zeigen wir Ihnen, wie Sie die neueste Version von installieren Splunk Log Analyzer und wie man eine Logdatei (Datenquelle) hinzufügt und sie nach Ereignissen in durchsucht CentOS 7 (funktioniert auch weiter RHEL Verteilung).

Empfohlene Systemanforderungen:

  1. Ein CentOS 7-Server oder RHEL 7-Server mit minimaler Installation.
  2. Mindestens 12 GB RAM

Test Umgebung:

  1. Linode VPS mit CentOS 7 minimale Installation.

Installieren Sie Splunk Log Analyzer, um CentOS 7-Protokolle zu überwachen

1. Gehen Sie zur Splunk-Website, erstellen Sie ein Konto und holen Sie sich die neueste verfügbare Version für Ihr System von der Splunk Enterprise herunterladen Seite. RPM-Pakete sind für Red Hat, CentOS und ähnliche Linux-Versionen verfügbar.


Alternativ können Sie es direkt über den Webbrowser herunterladen oder den Download-Link abrufen und mit wget commandv das Paket wie gezeigt über die Befehlszeile abrufen.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Nachdem Sie das Paket heruntergeladen haben, installieren Sie das Splunk Enterprise RPM im Standardverzeichnis / opt / splunk Verwenden des RPM-Paketmanagers wie gezeigt.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Verwenden Sie als Nächstes die Splunk Enterprise Befehlszeilenschnittstelle (CLI) zum Starten des Dienstes.

# /opt/splunk/bin/./splunk start 

Lesen Sie die S.PLUNK SOFTWARE-LIZENZVEREINBARUNG durch Drücken Eingeben. Sobald Sie es gelesen haben, werden Sie gefragt. Stimmen Sie dieser Lizenz zu? Eingeben Y weitermachen.

Do you agree with this license? [y/n]: y

Erstellen Sie anschließend Anmeldeinformationen für das Administratorkonto. Ihr Kennwort muss mindestens 8 druckbare ASCII-Zeichen enthalten.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Wenn alle installierten Dateien intakt sind und alle vorläufigen Prüfungen bestanden wurden, wird der Splunk-Server-Daemon (splunkd) wird gestartet, ein privater 2048-Bit-RSA-Schlüssel wird generiert und Sie können auf die Splunk-Weboberfläche zugreifen.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Als nächstes öffnen Sie den Port 8000 Welcher Splunk-Server in Ihrer Firewall mit der Firewall-cmd zuhört.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Öffnen Sie einen Webbrowser und geben Sie die folgende URL ein, um auf die Splunk-Weboberfläche zuzugreifen.

http://SERVER_IP:8000   

Verwenden Sie zum Anmelden den Benutzernamen: Administrator und das Kennwort, das Sie während des Installationsvorgangs erstellt haben.

Splunk-Anmeldeseite
Splunk-Anmeldeseite

7. Nach erfolgreicher Anmeldung landen Sie in der im folgenden Screenshot gezeigten Splunk-Administratorkonsole. Zum Beispiel zum Überwachen einer Protokolldatei /var/log/secure, klicke auf Daten hinzufügen.

Splunk Daten hinzufügen
Splunk Daten hinzufügen

8. Dann klicken Sie auf Monitor um Daten aus einer Datei hinzuzufügen.

Splunk Monitor Datendatei
Splunk Monitor Datendatei

9. Wählen Sie auf der nächsten Oberfläche die Option Dateien & Verzeichnisse.

Wählen Sie Splunk-Datei und Verzeichnisse
Wählen Sie Splunk-Datei und Verzeichnisse

10. Richten Sie dann die Instanz so ein, dass Dateien und Verzeichnisse auf Daten überwacht werden. Um alle Objekte in einem Verzeichnis zu überwachen, wählen Sie das Verzeichnis aus. Um eine einzelne Datei zu überwachen, wählen Sie sie aus. Klicke auf Durchsuche um die Datenquelle auszuwählen.

Wählen Sie die zu überwachende Splunk-Instanz aus
Wählen Sie die zu überwachende Splunk-Instanz aus

11. Eine Liste der Verzeichnisse in Ihrem root(/) Das Verzeichnis wird Ihnen angezeigt. Navigieren Sie zu der Protokolldatei, die Sie überwachen möchten./ Var / log / sicher) und klicken Wählen.

Wählen Sie Datenquelle überwachen
Wählen Sie Datenquelle überwachen
Wählen Sie Monitor Data File
Wählen Sie Monitor Data File

12. Wählen Sie nach Auswahl der Datenquelle Kontinuierlich überwachen um diese Protokolldatei anzusehen und auf zu klicken Nächster Quelltyp einstellen.

Legen Sie die Einstellungen für die Monitordatenquelle fest
Legen Sie die Einstellungen für die Monitordatenquelle fest

13. Legen Sie als Nächstes den Quellentyp für Ihre Datenquelle fest. Für unsere Testprotokolldatei (/var/log/secure)müssen wir auswählen Betriebssystem → linux_secure;; Dadurch wird Splunk darüber informiert, dass die Datei sicherheitsrelevante Nachrichten von einem Linux-System enthält. Dann klick Nächster fortfahren.

Datenquellentyp festlegen
Datenquellentyp festlegen

14. Sie können optional zusätzliche Eingabeparameter für diese Dateneingabe festlegen. Unter App-Kontext, wählen Suche & Berichterstellung. Dann klick Rezension. Klicken Sie nach der Überprüfung auf einreichen.

Zusätzliche Eingabeeinstellungen festlegen
Zusätzliche Eingabeeinstellungen festlegen
Überprüfen Sie die Datenquelleneinstellungen
Überprüfen Sie die Datenquelleneinstellungen

fünfzehn. Jetzt wurde Ihre Dateieingabe erfolgreich erstellt. Klicke auf Fang an zu suchen um Ihre Daten zu durchsuchen.

Starten Sie die Suche nach Daten
Starten Sie die Suche nach Daten
Überwachen Sie Datenquellenberichte
Überwachen Sie Datenquellenberichte

16. Um alle Ihre Dateneingaben anzuzeigen, gehen Sie zu Einstellungen → Daten → Dateneingaben. Klicken Sie dann beispielsweise auf den Typ, den Sie anzeigen möchten Dateien & Verzeichnisse.

Splunk-Dateneingänge
Splunk-Dateneingänge
Alle Dateneingaben anzeigen
Alle Dateneingaben anzeigen

17. Im Folgenden finden Sie zusätzliche Befehle zum Verwalten (Neustarten oder Stoppen) des Splunk-Daemons.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Von nun an können Sie weitere Datenquellen hinzufügen (lokal oder remote) Splunk Forwarder), untersuchen Sie Ihre Daten und / oder installieren Sie Splunk-Apps, um die Standardfunktionalität zu verbessern. Sie können mehr tun, indem Sie die Splunk-Dokumentation auf der offiziellen Website lesen.

Splunk Homepage:: https://www.splunk.com/

Das war es fürs Erste! Splunk ist eine leistungsstarke, robuste und vollständig integrierte Echtzeit-Software zur Verwaltung von Unternehmensprotokollen. In diesem Artikel haben wir gezeigt, wie die neueste Version von Splunk Log Analyzer unter CentOS 7 installiert wird. Wenn Sie Fragen oder Anregungen haben, verwenden Sie das Kommentarformular unten, um uns zu erreichen.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *