Cómo instalar Splunk Log Analyzer en CentOS 7


Splunk es un software potente, robusto y totalmente integrado para la gestión de registros empresariales en tiempo real para recopilar, almacenar, buscar, diagnosticar y registrar cualquier registro y datos generados por máquinas, incluidas líneas múltiples estructuradas, no estructuradas y complejas. registros de aplicaciones.

Le permite recopilar, almacenar, indexar, buscar, correlacionar, visualizar, analizar e informar sobre cualquier dato de registro o datos generados por una máquina de forma rápida y repetitiva, para identificar y resolver problemas operativos y de seguridad.

Además, Splunk admite una amplia gama de casos de uso de administración de registros, como la consolidación y retención de registros, la seguridad, la resolución de problemas de operaciones de TI, la resolución de problemas de aplicaciones, el informe de cumplimiento y mucho más.

  • It’s easily scalable and fully integrated.
  • Supports both local and remote data sources.
  • Allows for indexing machine data.
  • Supports searching and correlating any data.
  • Allows you to drill down and up and pivot across data.
  • Supports monitoring and alerting.
  • Also supports reports and dashboards for visualization.
  • Provides flexible access to relational databases, field delimited data in comma-separated value (.CSV) files or to other enterprise data stores such as Hadoop or NoSQL.
  • Supports a wide range of log management use cases and much more.

En este artículo, mostraremos cómo instalar la última versión del analizador de registros Splunk y cómo agregar un archivo de registro (fuente de datos) y buscar en él eventos en CentOS 7 (también funciona en la distribución de RHEL ).

  1. A CentOS 7 Server or RHEL 7 Server with Minimal Install.
  2. Minimum 12GB RAM
  1. Linode VPS with CentOS 7 minimal install.

Instale Splunk Log Analyzer para monitorear los registros de CentOS 7

1. Vaya al sitio web de Splunk, cree una cuenta y obtenga la última versión disponible para su sistema desde la página de descargas de Splunk Enterprise. Los paquetes RPM están disponibles para Red Hat, CentOS y versiones similares de Linux.

Alternativamente, puede descargarlo directamente a través del navegador web u obtener el enlace de descarga, y usar wget commandv para tomar el paquete a través de la línea de comandos como se muestra.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Una vez que haya descargado el paquete, instale Splunk Enterprise RPM en el directorio predeterminado /opt/splunk usando el administrador de paquetes RPM como se muestra .

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. A continuación, use la Splunk Enterprise interfaz de línea de comandos (CLI) para iniciar el servicio.

# /opt/splunk/bin/./splunk start 

Lea el ACUERDO DE LICENCIA DEL SOFTWARE DE PLUSA presionando Entrar Una vez que haya terminado de leerlo, se le preguntará ¿Está de acuerdo con esta licencia? Ingrese Y para continuar.

Do you agree with this license? [y/n]: y

Luego cree credenciales para la cuenta del administrador, su contraseña debe contener al menos 8 caracteres ASCII imprimibles en total.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Si todos los archivos instalados están intactos y todas las revisiones preliminares se aprobaron, se iniciará el demonio del servidor splunk ( splunkd ), se generará una clave privada RSA de 2048 bits Puede ser capaz de acceder a la interfaz web splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. A continuación, abra el puerto 8000 en el que el servidor Splunk escucha, en su firewall utilizando el firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Abra un navegador web y escriba la siguiente URL para acceder a la interfaz web dividida.

http://SERVER_IP:8000   

Para iniciar sesión, use el nombre de usuario: admin y la contraseña que creó durante el proceso de instalación.

7. Después de un inicio de sesión exitoso, aterrizarás en la consola de administración splunk que se muestra en la siguiente captura de pantalla. Para monitorear un archivo de registro, por ejemplo /var/log/secure , haga clic en Agregar datos .

8. Luego haga clic en Monitor para agregar datos de un archivo.

9. En la siguiente interfaz, seleccione Archivos & amp; Directorios .

10. Luego, configure la instancia para monitorear los archivos y directorios en busca de datos. Para monitorear todos los objetos en un directorio, seleccione el directorio. Para monitorear un solo archivo, selecciónelo. Haga clic en Examinar para seleccionar la fuente de datos.

11. Se le mostrará una lista de directorios en su directorio root (/) , navegue hasta el archivo de registro que desea monitorear (/var/log/seguro ) y haga clic en Seleccionar .

12. Después de seleccionar el origen de datos, seleccione Supervisar continuamente para ver ese archivo de registro y haga clic en Siguiente para establecer el tipo de fuente.

13. A continuación, configure el tipo de fuente para su fuente de datos. Para nuestro archivo de registro de prueba (/ var/log/secure) , debemos seleccionar Operating System → linux_secure ; esto le permite a Splunk saber que el archivo contiene mensajes relacionados con la seguridad de un sistema Linux. Luego haga clic en Siguiente para continuar.

14. También puede configurar parámetros de entrada adicionales para esta entrada de datos. En Contexto de la aplicación , seleccione Buscar & amp; Informes . Luego haga clic en Revisar . Después de revisar, haga clic en Enviar .

15. Ahora su entrada de archivo se ha creado correctamente. Haga clic en Iniciar búsqueda para buscar sus datos.

16. Para ver todas las entradas de datos, vaya a Configuración → Datos → Entradas de datos . Luego, haga clic en el tipo que desea ver, por ejemplo, Archivos & amp; Directorios .

17. Los siguientes son comandos adicionales para administrar (reiniciar o detener) el demonio splunk.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

De ahora en adelante, puede agregar más fuentes de datos (locales o remotos usando Splunk Forwarder ), explorar sus datos y/o instalar aplicaciones Splunk para mejorar su funcionalidad predeterminada. Puede hacer más al leer la documentación dividida que se proporciona en el sitio web oficial.

Página de inicio de Splunk : https://www.splunk.com/

¡Eso es todo por ahora! Splunk es un software de gestión de registro empresarial en tiempo real, potente, robusto y totalmente integrado. En este artículo, mostramos cómo instalar la última versión del analizador de registros Splunk en CentOS 7. Si tiene preguntas o pensamientos para compartir, use el formulario de comentarios a continuación para comunicarse con nosotros.