✗ Как установить и настроить анализатор логов Splunk на CentOS 7 ✗

Splunk — это мощное, надежное и полностью интегрированное программное обеспечение для управления журналами в режиме реального времени для сбора, хранения, поиска, диагностики и отправки отчетов о любых журналах и машинах, в том числе структурированных, неструктурированных и сложных многострочных журналах приложений.

Он позволяет собирать, хранить, индексировать, искать, сопоставлять, визуализировать, анализировать и сообщать о любых данных журнала или машинных данных быстро и воспроизводимым образом для выявления и устранения проблем, связанных с операциями и безопасностью.

Кроме того, splunk поддерживает широкий диапазон использования журналов, таких как консолидация и сохранение журналов, безопасность, устранение неполадок в работе ИТ, устранение неполадок приложений, а также отчетность о соответствии и многое другое.

Особенности Splunk:

  • Он легко масштабируется и полностью интегрируется.
  • Поддерживает как локальные, так и удаленные источники данных.
  • Позволяет индексировать машинные данные.
  • Поддерживает поиск и корреляцию любых данных.
  • Поддерживает мониторинг и оповещение.
  • Также поддерживает отчеты и панель мониторинга для визуализации.
  • Обеспечивает гибкий доступ к реляционным базам данных, данным с разделителями полей в файлах с разделителями-запятыми (.CSV) или в других корпоративных хранилищах данных, таких как Hadoop или NoSQL.
  • Поддерживает широкий спектр вариантов использования журналов и многое другое.

В этой статье мы покажем, как установить последнюю версию Splunk  Log Analyzer и как добавить файл журнала (источник данных) и выполнить поиск через него в событиях CentOS 7 (также работает с распределением RHEL).

Рекомендованные системные требования:

  • Сервер CentOS 7 или сервер RHEL 7 с минимальной установкой.
  • Минимальная оперативка — 12 ГБ

1. Перейдите на сайт splunk, создайте учетную запись и скачайте последнюю доступную версию для своей системы со страницы загрузки Splunk Enterprise.

Пакеты RPM доступны для Red Hat, CentOS и аналогичных версий Linux.

Кроме того, вы можете загрузить его напрямую через веб-браузер или получить ссылку для загрузки и использовать команду wget commandv для захвата пакета через командную строку, как показано ниже:

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. После того как вы загрузили пакет, установите RPM Splunk Enterprise в каталог /opt/splunk по умолчанию, используя диспетчер пакетов RPM, как показано ниже:

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Затем для запуска службы используйте интерфейс командной строки Splunk Enterprise (CLI).

# /opt/splunk/bin/./splunk start 

Прочтите ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ НА ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ SPLUNK, нажав Enter.

Как только вы закончите читать, вас спросят, согласны ли вы с этим лицензионным соглашением? Введите Y для продолжения.

Do you agree with this license? [y/n]: y

Затем создайте учетные данные для учетной записи администратора, ваш пароль должен содержать не менее 8 общих печатных символов ASCII

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Если все установленные файлы не повреждены и все предварительные проверки пройдены, будет запущен демон сервера splunkd (splunkd), будет создан секретный ключ RSA 2048 бит, и вы сможете получить доступ к веб-интерфейсу splunk.

All preliminary checks passed.
Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[  OK  ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://tecmint:8000

5. Затем откройте порт 8000, который прослушивает сервер Splunk, в вашем брандмауэре, используя firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Откройте веб-браузер и введите следующий URL-адрес для доступа к веб-интерфейсу splunk.

 http://SERVER_IP:8000 

Чтобы войти в систему, используйте Username: admin и пароль, который вы создали во время процесса установки.

7. После успешного входа в систему вы попадете в консоль управления splunk, показанной на следующем снимке экрана.

Чтобы контролировать файл журнала, например /var/log/secure, нажмите «Add data».

8. Затем нажмите «Monitor», чтобы добавить данные из файла.

9. В следующем интерфейсе выберите Files & Directories.

10. Затем настройте ваш образец для мониторинга файлов и каталогов.

Чтобы контролировать все объекты в каталоге, выберите каталог.

Чтобы контролировать один файл, выберите его.

Нажмите Browse, чтобы выбрать источник данных.

11. Вам будет показан список каталогов в вашем root/ каталоге (/), перейдите к файлу журнала, который вы хотите контролировать (/var/log/secure), и нажмите «Select».

12. После выбора источника данных выберите «Continuously Monitor», чтобы посмотреть этот файл журнала и нажмите «Next», чтобы установить тип источника.

13. Затем установите тип для источника данных.

Для нашего тестового файла журнала (/var/log/secure) нам нужно выбрать операционную систему → linux_secure; это позволяет splunk знать, что файл содержит сообщения, связанные с безопасностью, из системы Linux.

Затем нажмите «Next», чтобы продолжить.

14. Вы можете дополнительно установить дополнительные входные параметры для этих данных.

Под App contex выберите «Search & Reporting». Затем нажмите «Browse. После просмотра нажмите «Submit».

15. Теперь ваш файл был успешно создан. Нажмите «Start Searching» для поиска ваших данных.

16. Чтобы просмотреть все ваши вводы данных, откройте Settings→Data→Data Inputs.

Затем нажмите на тип, который вы хотите просмотреть, например, «Files & Directories».

17. Ниже приведены дополнительные команды для управления (перезапуска или остановки) демона splunk.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

С этого момента вы можете добавить дополнительные источники данных (локальные или удаленные с помощью Splunk Forwarder), изучить ваши данные и / или установить приложения Splunk для повышения функциональности по умолчанию.

Вы можете сделать больше, прочитав документацию, представленную на официальном сайте.

Домашняя страница Splunk: https://www.splunk.com/

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40