Cara Memasang Splunk Log Analyzer di CentOS 7

Splunk adalah perisian yang kuat, mantap, dan bersepadu sepenuhnya untuk pengurusan log perusahaan masa nyata untuk mengumpul, menyimpan, mencari, mendiagnosis dan melaporkan sebarang data log dan mesin yang dihasilkan, termasuk log aplikasi multi-line berstruktur, tidak berstruktur, dan kompleks.

Ia membolehkan anda mengumpulkan, menyimpan, indeks, carian, menghubungkan, memvisualisasikan, menganalisis dan melaporkan sebarang data log atau data yang dihasilkan oleh mesin dengan cepat dan dengan cara yang berulang, untuk mengenal pasti dan menyelesaikan masalah operasi dan keselamatan.

Di samping itu, Splunk menyokong pelbagai kes penggunaan pengurusan log seperti penyatuan log dan pengekalan, keselamatan, penyelesaian masalah operasi IT, penyelesaian masalah aplikasi serta pelaporan pematuhan dan banyak lagi.

Ciri -ciri Splunk:

• Ia mudah berskala dan disepadukan sepenuhnya.
• Menyokong sumber data tempatan dan jauh.
• Membolehkan data mesin pengindeksan.
• Menyokong mencari dan mengaitkan sebarang data.
• Membolehkan anda menggerudi dan naik dan berputar di seluruh data.
• Menyokong pemantauan dan memberi amaran.
• Juga menyokong laporan dan papan pemuka untuk visualisasi.
• Menyediakan akses fleksibel kepada pangkalan data relasi, data yang dibatalkan medan dalam nilai yang dipisahkan koma (.CSV) fail atau ke kedai data perusahaan lain seperti Hadoop atau NoSQL.
• Menyokong pelbagai kes penggunaan pengurusan log dan banyak lagi.

Dalam artikel ini, kami akan menunjukkan cara memasang versi terkini Splunk penganalisis log dan cara menambah fail log (sumber data) dan cari melaluinya untuk acara di Centos 7 (Juga berfungsi RHEL pengedaran).

Keperluan sistem yang disyorkan:

1. Pelayan CentOS 7 atau pelayan RHEL 7 dengan pemasangan minimum.
2. Minimum 12GB RAM

Persekitaran ujian:

1. Linode VPS dengan CentOS 7 Minimum Pasang.

Pasang Splunk Log Analyzer untuk memantau log 7 CentOS

1. Pergi ke laman web Splunk, buat akaun dan ambil versi terkini yang tersedia untuk sistem anda dari halaman muat turun Splunk Enterprise. Pakej RPM disediakan untuk Red Hat, CentOS, dan versi Linux yang serupa.

Sebagai alternatif, anda boleh memuat turunnya secara langsung melalui penyemak imbas web atau dapatkan pautan muat turun, dan gunakan Wget CommandV untuk merebut pakej melalui baris arahan seperti yang ditunjukkan.

# wget -o splunk -7.1.2-A0C72A66DB66-LINUX-2.6-x86_64.rpm 'https: // www.splunk.com/bin/splunk/downloadactivityservlet?Senibina = x86_64 & platform = linux & versi = 7.1.2 & produk = splunk & filename = splunk-7.1.2-A0C72A66DB66-LINUX-2.6-x86_64.rpm & wget = benar ' 

2. Sebaik sahaja anda telah memuat turun pakej, pasang Splunk Enterprise RPM Dalam direktori lalai /opt/splunk Menggunakan Pengurus Pakej RPM seperti yang ditunjukkan.

# rpm -I splunk -7.1.2-A0C72A66DB66-LINUX-2.6-x86_64.rpm Amaran: Splunk-7.1.2-A0C72A66DB66-LINUX-2.6-x86_64.RPM: Tandatangan Header V4 DSA/SHA1, ID Utama 653FB112: NOKEY USERADD: Tidak dapat membuat direktori /opt/splunk lengkap 

3. Seterusnya, gunakan Splunk Enterprise antara muka baris arahan (CLI) untuk memulakan perkhidmatan.

#/opt/splunk/bin/./splunk start 

Baca melalui SPerjanjian Lesen Perisian Plunk dengan menekan Masukkan. Sebaik sahaja anda telah menyelesaikannya membacanya, anda akan ditanya adakah anda bersetuju dengan lesen ini? Masukkan Y bersambung.

Adakah anda bersetuju dengan lesen ini? [y/n]: y

Kemudian buat kelayakan untuk akaun pentadbir, kata laluan anda mesti mengandungi sekurang -kurangnya 8 jumlah watak ASCII yang boleh dicetak.

Buat kelayakan untuk akaun pentadbir. Watak tidak muncul di skrin semasa anda menaip kata laluan. Kata laluan mesti mengandungi sekurang -kurangnya: * 8 Jumlah watak ASCII yang boleh dicetak. Sila masukkan kata laluan baru: Sila sahkan kata laluan baru: 

4. Sekiranya semua fail yang dipasang adalah utuh dan semua pemeriksaan awal berlalu, daemon pelayan splunk (Splunkd) akan dimulakan, kunci peribadi RSA 2048 bit akan dihasilkan dan anda boleh mengakses antara muka web splunk.

Semua cek awal berlalu. Memulakan Daemon Server Splunk (Splunkd) ... Menjana kunci peribadi RSA 2048 bit ... +++ ... +++ Menulis kunci peribadi baru untuk 'PriveSecure.pem '----- tandatangan ok subjek =/cn = tecmint/o = splunkuser mendapatkan ca swasta penulisan kunci rsa yang dilakukan [ok] menunggu pelayan web di http: // 127.0.0.1: 8000 untuk disediakan ... dilakukan jika anda terjebak, kami di sini untuk membantu. Cari jawapan di sini: http: // docs.splunk.com antara muka web splunk berada di http: // tecmint: 8000 

5. Seterusnya, Buka Pelabuhan 8000 Pelayan Splunk yang mendengarkan, di firewall anda menggunakan firewall-cmd.

# firewall-cmd --add-port = 8000/tcp --permanent # firewall-cmd-reload 

6. Buka pelayar web dan taipkan URL berikut untuk mengakses antara muka web Splunk.

http: // server_ip: 8000 

Untuk log masuk, gunakan nama pengguna: admin dan kata laluan yang anda buat semasa proses pemasangan.

Halaman log masuk splunk

7. Selepas log masuk yang berjaya, anda akan mendarat di konsol admin splunk yang ditunjukkan dalam tangkapan skrin berikut. Untuk memantau fail log, contohnya /var/log/selamat, Klik pada Tambah data.

Splunk menambah data

8. Kemudian klik pada Memantau Untuk menambah data dari fail.

Fail data monitor splunk

9. Dari antara muka seterusnya, pilih Fail & Direktori.

Pilih fail dan direktori Splunk

10. Kemudian sediakan contoh untuk memantau fail dan direktori untuk data. Untuk memantau semua objek dalam direktori, pilih direktori. Untuk memantau satu fail, pilihnya. Klik pada Semak imbas Untuk memilih sumber data.

Pilih contoh Splunk untuk memantau

11. Senarai direktori di anda akar (/) Direktori akan ditunjukkan kepada anda, menavigasi ke fail log yang ingin anda pantau (/var/log/selamat) dan klik Pilih.

Pilih Sumber Data Monitor Pilih fail data monitor

12. Setelah memilih sumber data, pilih Memantau secara berterusan untuk menonton fail log itu dan klik pada Seterusnya Untuk menetapkan jenis sumber.

Tetapkan tetapan sumber data monitor

13. Seterusnya, tetapkan jenis sumber untuk sumber data anda. Untuk fail log ujian kami (/var/log/selamat), kita perlu memilih Sistem Operasi → Linux_Secure; Ini membolehkan splunk tahu bahawa fail itu mengandungi mesej berkaitan keselamatan dari sistem linux. Kemudian klik Seterusnya untuk meneruskan.

Tetapkan Jenis Sumber Data

14. Anda boleh menetapkan parameter input tambahan untuk input data ini. Di bawah Konteks aplikasi, pilih Cari & Pelaporan. Kemudian klik Kajian. Selepas mengkaji, klik Hantar.

Tetapkan tetapan input tambahan Semak tetapan sumber data

15. Sekarang input fail anda berjaya dibuat. Klik pada Mula mencari Untuk mencari data anda.

Mula mencari data Pantau laporan sumber data

16. Untuk melihat semua input data anda, pergi ke Tetapan → Data → Input Data. Kemudian klik pada jenis yang ingin anda lihat sebagai contoh Fail & Direktori.

Input data splunk Lihat semua input data

17. Berikut adalah arahan tambahan untuk mengurus (memulakan semula atau menghentikan) daemon splunk.

#/opt/splunk/bin/./splunk restart #/opt/splunk/bin/./Splunk berhenti 

Mulai sekarang, anda boleh menambah lebih banyak sumber data (tempatan atau jauh menggunakan Splunk Forwarder), meneroka data anda dan/atau pasang aplikasi Splunk untuk meningkatkan fungsi lalai. Anda boleh berbuat lebih banyak dengan membaca dokumentasi Splunk yang disediakan di laman web rasmi.

Laman Utama Splunk: https: // www.splunk.com/

Itu sahaja buat masa ini! Splunk adalah perisian pengurusan log perusahaan yang kuat, mantap dan terintegrasi sepenuhnya. Dalam artikel ini, kami menunjukkan cara memasang versi terbaru Splunk Log Analyzer di CentOS 7. Sekiranya anda mempunyai sebarang pertanyaan atau pemikiran untuk dikongsi, gunakan borang komen di bawah untuk sampai ke kami.