Cómo instalar Splunk Log Analyzer en CentOS 7


Splunk es un software potente, robusto y totalmente integrado para la gestión de registros empresariales en tiempo real para recopilar, almacenar, buscar, diagnosticar y reportar cualquier registro y datos generados por la máquina, incluidos registros de aplicaciones multilínea estructurados, no estructurados y complejos.

Le permite recopilar, almacenar, indexar, buscar, correlacionar, visualizar, analizar e informar sobre cualquier registro de datos o datos generados por la máquina de forma rápida y repetible, para identificar y resolver problemas operativos y de seguridad.

Además, splunk admite una amplia gama de casos de uso de administración de registros, como consolidación y retención de registros, seguridad, resolución de problemas de operaciones de TI, resolución de problemas de aplicaciones, informes de cumplimiento y mucho más.

  • Es fácilmente escalable y completamente integrado.
  • Admite fuentes de datos locales y remotas.
  • Permite indexar datos de la máquina.
  • Admite la búsqueda y la correlación de datos.
  • Le permite desglosar hacia arriba y hacia abajo y girar entre los datos.
  • Soporta monitoreo y alertas.
  • También admite informes y paneles para visualización.
  • Proporciona acceso flexible a bases de datos relacionales, datos delimitados por campos en archivos de valores separados por comas (.CSV) u otros almacenes de datos empresariales como Hadoop o NoSQL.
  • Admite una amplia gama de casos de uso de administración de registros y mucho más.

En este artículo, mostraremos cómo instalar la última versión del analizador de registros de Splunk y cómo agregar un archivo de registro (fuente de datos) y buscar eventos en CentOS 7 (también funciona en la distribución RHEL).

  1. Un servidor RHEL 7 con instalación mínima.
  2. Mínimo 12 GB de RAM

  1. Linode VPS con instalación mínima de CentOS 7.

Instale Splunk Log Analyzer para monitorear los registros de CentOS 7

1. Vaya al sitio web de splunk, cree una cuenta y obtenga la última versión disponible para su sistema en la página de descarga de Splunk Enterprise. Los paquetes RPM están disponibles para Red Hat, CentOS y versiones similares de Linux.

Alternativamente, puede descargarlo directamente a través del navegador web u obtener el enlace de descarga, y usar wget commandv para tomar el paquete a través de la línea de comando como se muestra.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Una vez que haya descargado el paquete, instale Splunk Enterprise RPM en el directorio predeterminado/opt/splunk usando el administrador de paquetes RPM como se muestra.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. A continuación, utilice la interfaz de línea de comandos (CLI) de Splunk Enterprise para iniciar el servicio.

# /opt/splunk/bin/./splunk start 

Lea el ACUERDO DE LICENCIA DE SOFTWARE DE SPLUNK presionando Enter. Una vez que haya terminado de leerlo, se le preguntará ¿Está de acuerdo con esta licencia? Ingrese Y para continuar.

Do you agree with this license? [y/n]: y

Luego cree las credenciales para la cuenta de administrador, su contraseña debe contener al menos 8 caracteres ASCII imprimibles en total.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Si todos los archivos instalados están intactos y se pasan todas las comprobaciones preliminares, se iniciará el demonio del servidor splunk (splunkd), se generará una clave privada RSA de 2048 bits y podrá acceder a la interfaz web splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. A continuación, abra el puerto 8000 en el que escucha el servidor de Splunk, en su firewall usando firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Abra un navegador web y escriba la siguiente URL para acceder a la interfaz web splunk.

http://SERVER_IP:8000   

Para iniciar sesión, use Nombre de usuario: admin y la contraseña que creó durante el proceso de instalación.

7. Después de un inicio de sesión exitoso, aterrizará en la consola de administración splunk que se muestra en la siguiente captura de pantalla. Para monitorear un archivo de registro, por ejemplo /var/log/secure , haga clic en Agregar datos.

8. Luego haga clic en Monitor para agregar datos de un archivo.

9. En la siguiente interfaz, elija Archivos y directorios.

10. Luego configure la instancia para monitorear archivos y directorios en busca de datos. Para monitorear todos los objetos en un directorio, seleccione el directorio. Para monitorear un solo archivo, selecciónelo. Haga clic en Examinar para seleccionar la fuente de datos.

11. Se le mostrará una lista de directorios en su directorio raíz (/) , navegue hasta el archivo de registro que desea monitorear (/ var/log/secure) y haga clic en Seleccionar.

12. Después de seleccionar la fuente de datos, seleccione Monitorear continuamente para ver ese archivo de registro y haga clic en Siguiente para establecer el tipo de fuente.

13. A continuación, configure el tipo de fuente para su fuente de datos. Para nuestro archivo de registro de prueba (/ var/log/secure) , debemos seleccionar Sistema operativo → linux_secure; esto le permite a splunk saber que el archivo contiene mensajes relacionados con la seguridad de un sistema Linux. Luego haga clic en Siguiente para continuar.

14. Opcionalmente, puede configurar parámetros de entrada adicionales para esta entrada de datos. En el contexto de la aplicación, seleccione Búsqueda e informes. Luego haga clic en Revisar. Después de revisar, haga clic en Enviar.

15. Ahora la entrada de su archivo se ha creado correctamente. Haga clic en Iniciar búsqueda para buscar sus datos.

16. Para ver todas sus entradas de datos, vaya a Configuración → Datos → Entradas de datos. Luego haga clic en el tipo que desea ver, por ejemplo, Archivos y directorios.

17. Los siguientes son comandos adicionales para administrar (reiniciar o detener) el demonio splunk.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

A partir de ahora, puede agregar más fuentes de datos (locales o remotas usando Splunk Forwarder), explorar sus datos y/o instalar aplicaciones de Splunk para mejorar su funcionalidad predeterminada. Puede hacer más leyendo la documentación de splunk proporcionada en el sitio web oficial.

Página de inicio de Splunk: https://www.splunk.com/

¡Eso es todo por ahora! Splunk es un software de gestión de registros empresariales en tiempo real potente, robusto y totalmente integrado. En este artículo, mostramos cómo instalar la última versión del analizador de registros de Splunk en CentOS 7. Si tiene alguna pregunta o idea para compartir, use el formulario de comentarios a continuación para comunicarse con nosotros.