Splunk описание
Splunk – это мощная база данных журналов, которая может использоваться для поиска, мониторинга и анализа больших данных через веб-интерфейс.
Это очень полезный инструмент для анализа, изучения и поиска данных в логах.
Вы можете легко индексировать, искать, собирать и визуализировать массивные потоки данных в реальном времени из приложения, веб-сервера, базы данных, серверной платформы, облачной сети и многих других служб, используя Splunk.
Splunk состоит из трех основных компонентов:
- Splunk Forwarder: используется для сбора журналов.
- Splunk Indexer: используется для анализа и индексирования данных.
- Splunk Search Head: предоставляет веб-интерфейс для поиска, анализа и отчетности.
В этой статье мы узнаем, как установить Splunk на сервере Ubuntu 18.04 LTS (Bionic Beaver).
Установка Splunk
Splunk поддерживает широкий спектр операционных систем, включая Windows, Linux, FreeBSD, OSX, Solaris, AIX и многие другие.
Вы можете загрузить последнюю версию Splunk с официального сайта или использовать следующую команду:
# wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Как только загрузка будет завершена, установите загруженный файл, используя следующую команду:
# sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
После успешного завершения установки вы увидите следующий результат:
(Reading database ... 218552 files and directories currently installed.) Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ... Unpacking splunk (7.1.1) over (7.1.1) ... Setting up splunk (7.1.1) ... complete
Затем вам нужно включить службу Splunk для запуска во время загрузки.
Вы можете сделать это, выполнив следующую команду:
# sudo /opt/splunk/bin/splunk enable boot-start
Затем вам нужно включить службу Splunk для запуска во время загрузки. Вы можете сделать это, выполнив следующую команду:
# /opt/splunk/bin/splunk enable boot-start
Здесь вам нужно будет согласиться с Лицензионным соглашением и предоставить пароль администратора, как показано ниже:
Splunk Software License Agreement 04.24.2018 Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password: Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 2048 bit long modulus ..................+++ ..............................................................................+++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 2048 bit long modulus .............+++ ...................................+++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Adding system startup for /etc/init.d/splunk ... /etc/rc0.d/K20splunk -> ../init.d/splunk /etc/rc1.d/K20splunk -> ../init.d/splunk /etc/rc6.d/K20splunk -> ../init.d/splunk /etc/rc2.d/S20splunk -> ../init.d/splunk /etc/rc3.d/S20splunk -> ../init.d/splunk /etc/rc4.d/S20splunk -> ../init.d/splunk /etc/rc5.d/S20splunk -> ../init.d/splunk Init script installed at /etc/init.d/splunk. Init script is configured to run at boot.
Затем запустите службу Splunk, используя следующую команду:
# sudo service splunk start
Вы должны увидеть следующий результат:
Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ............+++ ............................................................................................................................................+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=Node3/O=SplunkUser Getting CA Private Key unable to write 'random state' writing RSA key Done Waiting for web server at http://127.0.0.1:8000 to be available........ Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://Node3:8000
Доступ к веб-интерфейсу Splunk
В настоящее время запущен сервер Splunk и прослушивается порт 8000.
Откройте веб-браузер и введите URL-адрес http://your-server-ip: 8000, вы будете перенаправлены на следующую страницу:
Здесь укажите свои учетные данные для входа от администратора, затем нажмите кнопку «Sing in», вы увидите панель инструментов Splunk на следующем экране: