Cómo instalar Splunk en CentOS 7
Splunk es una de las herramientas más poderosas para explorar y buscar datos. Es una de las formas más fáciles, rápidas y seguras de buscar, analizar, recopilar y visualizar flujos de datos masivos en tiempo real desde aplicaciones, servidores web, bases de datos, plataformas de servidores, redes en la nube y muchos más. Los desarrolladores de Splunk están ofreciendo paquetes de software Splunk compatibles en diferentes plataformas, podemos elegir el que mejor se adapte a nuestro propósito. Este software simplifica la recopilación, el análisis y el trabajo sobre el valor no abordado de los datos masivos generados por cualquier empresa de TI, sistemas de seguridad o cualquier aplicación comercial, brindándole una visión total para obtener el mejor rendimiento operativo y resultados comerciales.
No hay prerrequisitos oficiales para las instalaciones, pero recomiendo un nombre de host, firewall y configuración de red adecuados para el servidor antes de las instalaciones. Este software solo admite la arquitectura de servidor de 64 bits. En este artículo, lo guío sobre cómo instalar la versión de Splunk Enterprise en un servidor CentOS 7. Repasemos los pasos de instalación uno por uno.
1. Cree un usuario de Splunk
Siempre se recomienda ejecutar esta aplicación como su usuario dedicado en lugar de como root. Creé un usuario para ejecutar esta aplicación y creé una carpeta de aplicaciones para la instalación.
[root@server1 tmp]# groupadd splunk [root@server1 tmp]# useradd -d /opt/splunk -m -g splunk splunk [root@server1 tmp]# su - splunk [splunk@server1 ~]$ id uid=1001(splunk) gid=1001(splunk) groups=1001(splunk) Confirm the server architecture [splunk@server1 ~]$ getconf LONG_BIT 64
2. Descargue y extraiga la versión de Splunk Enterprise
Cree una cuenta de Splunk y descargue el software de Splunk desde su sitio web oficial aquí.
Ahora extraiga el archivo tar y copie los archivos en la carpeta de la aplicación Splunk, a saber / opt / splunk creado.
root@server1 tmp]# tar -xvf splunk-6.4.0-f2c836328108-Linux-x86_64.tgz [root@server1 tmp]# cp -rp splunk/* /opt/splunk/ [root@server1 tmp]# chown -R splunk: /opt/splunk/
3. Instalación de Splunk
Una vez descargado el software de Splunk, puede iniciar sesión con su usuario de Splunk y ejecutar el script de instalación. Elijo la licencia de prueba, por lo que la tomará por defecto.
root@server1 tmp]# su - splunk Last login: Fri Apr 29 08:14:12 UTC 2016 on pts/0 [splunk@server1 ~]$ cd bin/ [splunk@server1 bin]$ ./splunk start --accept-license This appears to be your first time running this version of Splunk. Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 1024 bit long modulus .++++++ ..................++++++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 1024 bit long modulus ................++++++ ..++++++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Splunk> Australian for grep. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking appserver port [127.0.0.1:8065]: open Checking kvstore port [8191]: open Checking configuration... Done. Creating: /opt/splunk/var/lib/splunk Creating: /opt/splunk/var/run/splunk Creating: /opt/splunk/var/run/splunk/appserver/i18n Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css Creating: /opt/splunk/var/run/splunk/upload Creating: /opt/splunk/var/spool/splunk Creating: /opt/splunk/var/spool/dirmoncache Creating: /opt/splunk/var/lib/splunk/authDb Creating: /opt/splunk/var/lib/splunk/hashDb Checking critical directories... Done Checking indexes... Validated: _audit _internal _introspection _thefishbucket history main summary Done New certs have been generated in '/opt/splunk/etc/auth'. Checking filesystem compatibility... Done Checking conf files for problems... Done Checking default conf files for edits... Validating installed files against hashes from '/opt/splunk/splunk-6.4.0-f2c836328108-linux-2.6-x86_64-manifest' All installed files intact. Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Generating a 1024 bit RSA private key .....................++++++ ...........................++++++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=server1.centos7-test.com/O=SplunkUser Getting CA Private Key writing RSA key Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available.... Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://server1.centos7-test.com:8000
Ahora puede acceder a su interfaz web de Splunk en http: // IP: 8000 / o http: // nombre de host: 8000. Debe asegurarse de que este puerto 8000 esté abierto en el firewall de su servidor.
4. Configuración de la interfaz web de Splunk
He completado mi instalación y tengo mi servicio Splunk en funcionamiento en mi servidor. Ahora necesito configurar mi interfaz web de Splunk. Accedí a mi interfaz web de Splunk y establecí mi contraseña de administrador.
La primera vez que accede a la interfaz de Splunk, puede utilizar el usuario / contraseña proporcionados en la página que admin / changeme en este caso. Una vez que haya iniciado sesión, en la página siguiente le pedirá que cambie y confirme su nueva contraseña.
Ahora, ha configurado su contraseña de administrador. Una vez que inicie sesión con la nueva contraseña, tendrá su Tablero de Splunk listo para usar.
Hay diferentes categorías enumeradas en la página de inicio. Puede elegir el requerido y comenzar a dividir.
6. Agregar una tarea
Estoy agregando un ejemplo para una tarea simple que se agregó al sistema Splunk. Solo vea mis instantáneas para comprender cómo lo agregué. Mi tarea es agregar / var / log carpeta al sistema Splunk para su seguimiento.
- Abra la interfaz web de Splunk. Haga clic en la pestaña Configuración >> Elija la opción Agregar datos
2. Se abre la pestaña Agregar datos con tres opciones: Cargar, Supervisar y Reenviar. Aquí nuestra tarea es monitorear una carpeta, así que seguimos adelante con Monitor.
En la opción Monitor, hay cuatro categorías como se muestra a continuación:
Archivo y directorios: Para monitorear archivos / carpetas
Recopilador de eventos HTTP: Supervisar flujos de datos a través de HTTP
TCP / UDP: Supervisar puertos de servicio
Guiones : Supervisar secuencias de comandos
3. Según nuestro propósito, elijo la opción Archivos y directorios.
4. Ahora, estoy eligiendo la ruta exacta de la carpeta del servidor para monitorear. Una vez que confirme con la configuración, puede hacer clic en Siguiente y Revisar.
5. Ahora puede comenzar a buscar y monitorear el archivo de registro según sea necesario.
Puede ver que los registros se han reducido a una de mis aplicaciones REDIS en el servidor.
Este es solo un ejemplo simple para Splunking, puede agregar tantas tareas a esto y explorar los datos de su servidor. Espero que este artículo sea informativo y útil para ti. Gracias por leer esto 🙂 Recomiendo sus valiosas sugerencias y comentarios al respecto. ¡Ahora prueba con Splunk!
Disfruta de Splunking 🙂