LINUX

Cómo instalar Splunk en CentOS 7

0 159 4 minutos de lectura

Splunk es una de las herramientas más poderosas para explorar y buscar datos. Es una de las formas más fáciles, rápidas y seguras de buscar, analizar, recopilar y visualizar flujos de datos masivos en tiempo real desde aplicaciones, servidores web, bases de datos, plataformas de servidores, redes en la nube y muchos más. Los desarrolladores de Splunk están ofreciendo paquetes de software Splunk compatibles en diferentes plataformas, podemos elegir el que mejor se adapte a nuestro propósito. Este software simplifica la recopilación, el análisis y el trabajo sobre el valor no abordado de los datos masivos generados por cualquier empresa de TI, sistemas de seguridad o cualquier aplicación comercial, brindándole una visión total para obtener el mejor rendimiento operativo y resultados comerciales.

No hay prerrequisitos oficiales para las instalaciones, pero recomiendo un nombre de host, firewall y configuración de red adecuados para el servidor antes de las instalaciones. Este software solo admite la arquitectura de servidor de 64 bits. En este artículo, lo guío sobre cómo instalar la versión de Splunk Enterprise en un servidor CentOS 7. Repasemos los pasos de instalación uno por uno.

1. Cree un usuario de Splunk

Siempre se recomienda ejecutar esta aplicación como su usuario dedicado en lugar de como root. Creé un usuario para ejecutar esta aplicación y creé una carpeta de aplicaciones para la instalación.

[root@server1 tmp]# groupadd splunk
[root@server1 tmp]# useradd -d /opt/splunk -m -g splunk splunk
[root@server1 tmp]# su - splunk
[splunk@server1 ~]$ id
uid=1001(splunk) gid=1001(splunk) groups=1001(splunk)

Confirm the server architecture

[splunk@server1 ~]$ getconf LONG_BIT
64

2. Descargue y extraiga la versión de Splunk Enterprise

Cree una cuenta de Splunk y descargue el software de Splunk desde su sitio web oficial aquí.

Splunk

Ahora extraiga el archivo tar y copie los archivos en la carpeta de la aplicación Splunk, a saber / opt / splunk creado.

root@server1 tmp]# tar -xvf splunk-6.4.0-f2c836328108-Linux-x86_64.tgz
[root@server1 tmp]# cp -rp splunk/* /opt/splunk/
[root@server1 tmp]# chown -R splunk: /opt/splunk/

3. Instalación de Splunk

Una vez descargado el software de Splunk, puede iniciar sesión con su usuario de Splunk y ejecutar el script de instalación. Elijo la licencia de prueba, por lo que la tomará por defecto.

root@server1 tmp]# su - splunk
Last login: Fri Apr 29 08:14:12 UTC 2016 on pts/0

[splunk@server1 ~]$ cd bin/
[splunk@server1 bin]$ ./splunk start --accept-license

This appears to be your first time running this version of Splunk.

Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 1024 bit long modulus
.++++++
..................++++++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 1024 bit long modulus
................++++++
..++++++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.

Splunk> Australian for grep.

Checking prerequisites...
Checking http port [8000]: open
Checking mgmt port [8089]: open
Checking appserver port [127.0.0.1:8065]: open
Checking kvstore port [8191]: open
Checking configuration... Done.
Creating: /opt/splunk/var/lib/splunk
Creating: /opt/splunk/var/run/splunk
Creating: /opt/splunk/var/run/splunk/appserver/i18n
Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css
Creating: /opt/splunk/var/run/splunk/upload
Creating: /opt/splunk/var/spool/splunk
Creating: /opt/splunk/var/spool/dirmoncache
Creating: /opt/splunk/var/lib/splunk/authDb
Creating: /opt/splunk/var/lib/splunk/hashDb
Checking critical directories... Done
Checking indexes...
Validated: _audit _internal _introspection _thefishbucket history main summary
Done
New certs have been generated in '/opt/splunk/etc/auth'.
Checking filesystem compatibility... Done
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunk/splunk-6.4.0-f2c836328108-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...
Generating a 1024 bit RSA private key
.....................++++++
...........................++++++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=server1.centos7-test.com/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]

Waiting for web server at http://127.0.0.1:8000 to be available.... Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://server1.centos7-test.com:8000

Ahora puede acceder a su interfaz web de Splunk en http: // IP: 8000 / o http: // nombre de host: 8000. Debe asegurarse de que este puerto 8000 esté abierto en el firewall de su servidor.

4. Configuración de la interfaz web de Splunk

He completado mi instalación y tengo mi servicio Splunk en funcionamiento en mi servidor. Ahora necesito configurar mi interfaz web de Splunk. Accedí a mi interfaz web de Splunk y establecí mi contraseña de administrador.

splunks1

La primera vez que accede a la interfaz de Splunk, puede utilizar el usuario / contraseña proporcionados en la página que admin / changeme en este caso. Una vez que haya iniciado sesión, en la página siguiente le pedirá que cambie y confirme su nueva contraseña.

splunk2

Ahora, ha configurado su contraseña de administrador. Una vez que inicie sesión con la nueva contraseña, tendrá su Tablero de Splunk listo para usar.

splunkhome

Hay diferentes categorías enumeradas en la página de inicio. Puede elegir el requerido y comenzar a dividir.

6. Agregar una tarea

Estoy agregando un ejemplo para una tarea simple que se agregó al sistema Splunk. Solo vea mis instantáneas para comprender cómo lo agregué. Mi tarea es agregar / var / log carpeta al sistema Splunk para su seguimiento.

  1. Abra la interfaz web de Splunk. Haga clic en la pestaña Configuración >> Elija la opción Agregar datos

agregar datos

2. Se abre la pestaña Agregar datos con tres opciones: Cargar, Supervisar y Reenviar. Aquí nuestra tarea es monitorear una carpeta, así que seguimos adelante con Monitor.

monitor

En la opción Monitor, hay cuatro categorías como se muestra a continuación:

Archivo y directorios: Para monitorear archivos / carpetas

Recopilador de eventos HTTP: Supervisar flujos de datos a través de HTTP

TCP / UDP: Supervisar puertos de servicio

Guiones : Supervisar secuencias de comandos

3. Según nuestro propósito, elijo la opción Archivos y directorios.

carpetas-archivos

4. Ahora, estoy eligiendo la ruta exacta de la carpeta del servidor para monitorear. Una vez que confirme con la configuración, puede hacer clic en Siguiente y Revisar.

var-log

var-log2

var-log3

5. Ahora puede comenzar a buscar y monitorear el archivo de registro según sea necesario.

var-log4

hechomonitor

Puede ver que los registros se han reducido a una de mis aplicaciones REDIS en el servidor.

redis_splunk

Este es solo un ejemplo simple para Splunking, puede agregar tantas tareas a esto y explorar los datos de su servidor. Espero que este artículo sea informativo y útil para ti. Gracias por leer esto 🙂 Recomiendo sus valiosas sugerencias y comentarios al respecto. ¡Ahora prueba con Splunk!

Disfruta de Splunking 🙂

Publicaciones relacionadas

Cómo instalar XAMPP en Ubuntu 20.04

Cómo instalar Wireshark en Linux

dstat – Monitor de procesador, memoria, rendimiento de red en Linux

Cómo enumerar usuarios usando la línea de comandos de Linux

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar