Giunsa ang Pag-install sa Splunk Log Analyzer sa CentOS 7

Ang Splunk usa ka gamhanan, lig-on, ug bug-os nga integrated software alang sa real-time nga pagdumala sa log sa negosyo aron mangolekta, magtipig, mangita, mag-diagnose ug magreport sa bisan unsang log ug datos nga hinimo sa makina, lakip ang structured, unstructured, ug komplikadong multi-line application logs.

Gitugotan ka niini sa pagkolekta, pagtipig, pag-indeks, pagpangita, pag-correlate, paghanduraw, pag-analisar ug pagreport sa bisan unsang data sa log o datos nga hinimo sa makina nga dali ug sa usa ka balik-balik nga paagi, aron mahibal-an ug masulbad ang mga isyu sa operasyon ug seguridad.

Dugang pa, gisuportahan sa splunk ang usa ka halapad nga mga kaso sa paggamit sa pagdumala sa log sama sa pagkonsolida ug pagpadayon sa log, seguridad, pag-troubleshoot sa mga operasyon sa IT, pag-troubleshoot sa aplikasyon ingon man ang pagtaho sa pagsunod ug daghan pa.

  • Kini dali ma-scalable ug hingpit nga na-integrate.
  • Nagsuporta sa lokal ug layo nga tinubdan sa datos.
  • Gitugotan ang pag-indeks sa datos sa makina.
  • Nagsuporta sa pagpangita ug pagsumpay sa bisan unsang datos.
  • Gitugotan ka nga mag-drill down ug pataas ug mag-pivot sa datos.
  • Nagsuporta sa pagmonitor ug pagpaalerto.
  • Gisuportahan usab ang mga taho ug mga dashboard alang sa pagtan-aw.
  • Naghatag og flexible access sa relational databases, field delimited data sa comma-separated value (.CSV) files o sa ubang enterprise data stores sama sa Hadoop o NoSQL.
  • Nagsuporta sa usa ka halapad nga mga kaso sa paggamit sa pagdumala sa log ug daghan pa.

Sa kini nga artikulo, ipakita namon kung giunsa ang pag-install sa labing bag-ong bersyon sa Splunk log analyzer ug kung giunsa pagdugang usa ka log file (tinubdan sa datos) ug pangitaa kini alang sa mga panghitabo sa CentOS 7 (nagtrabaho usab sa pag-apod-apod sa RHEL).

  1. Usa ka RHEL 7 Server nga adunay Minimal nga Pag-install.
  2. Minimum nga 12GB RAM

  1. Linode VPS nga adunay CentOS 7 gamay nga pag-install.

I-install ang Splunk Log Analyzer aron ma-monitor ang CentOS 7 Logs

1. Adto sa splunk website, paghimo og account ug kuhaa ang pinakabag-o nga available nga bersyon para sa imong sistema gikan sa Splunk Enterprise download page. Ang mga pakete sa RPM magamit alang sa Red Hat, CentOS, ug parehas nga mga bersyon sa Linux.

Sa laing paagi, mahimo nimo kining i-download direkta pinaagi sa web browser o pagkuha sa link sa pag-download, ug gamita ang wget commandv aron makuha ang package pinaagi sa command line sama sa gipakita.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Kung na-download na nimo ang package, i-install ang Splunk Enterprise RPM sa default directory /opt/splunk gamit ang RPM package manager sama sa gipakita.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Sunod, gamita ang Splunk Enterprise command-line interface (CLI) aron masugdan ang serbisyo.

# /opt/splunk/bin/./splunk start

Basaha ang SPLUNK SOFTWARE LICENSE AGREEMENT pinaagi sa pagpindot sa Enter. Kung nahuman na nimo ang pagbasa niini, pangutan-on ka Mouyon ka ba sa kini nga lisensya? Isulod ang Y aron magpadayon.

Do you agree with this license? [y/n]: y

Dayon paghimo og mga kredensyal alang sa administrator account, ang imong password kinahanglang adunay labing menos 8 ka kinatibuk-ang maimprinta nga (mga) karakter sa ASCII.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Kung ang tanan nga na-install nga mga file wala’y labot ug ang tanan nga pasiuna nga pagsusi gipasa, ang splunk server daemon (splunkd) magsugod, usa ka 2048 bit RSA nga pribadong yawe ang mabuhat ug mahimo nimong ma-access ang splunk web interface.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Sunod, ablihi port 8000 nga Splunk server naminaw sa, sa imong firewall sa paggamit sa firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Ablihi ang usa ka web browser ug i-type ang mosunod nga URL aron ma-access ang splunk web interface.

http://SERVER_IP:8000

Sa pag-login, gamita ang Username: admin ug ang password nga imong gibuhat sa panahon sa proseso sa pag-instalar.

7. Human sa usa ka malampuson nga login, kamo sa yuta sa splunk admin console nga gipakita sa mosunod nga screenshot. Para mamonitor ang log file, pananglitan /var/log/secure, i-klik ang Add Data.

8. Dayon i-klik ang Monitor aron makadugang og data gikan sa usa ka file.

9. Gikan sa sunod nga interface, pagpili Files & Directories.

10. Dayon i-setup ang instance aron mamonitor ang mga file ug mga direktoryo alang sa datos. Aron ma-monitor ang tanan nga mga butang sa usa ka direktoryo, pilia ang direktoryo. Aron ma-monitor ang usa ka file, pilia kini. I-klik ang Browse aron mapili ang tinubdan sa datos.

11. Usa ka lista sa mga direktoryo sa imong root(/) direktoryo ang ipakita kanimo, navigate sa log file nga gusto nimong bantayan (/var/log/secure) ug i-klik ang Select.

12. Human sa pagpili sa tinubdan sa datos, pilia ang Padayon nga Pag-monitor aron tan-awon ang maong log file ug i-klik ang Next aron itakda ang source type.

13. Sunod, set source type para sa imong data source. Para sa among test log file (/var/log/secure), kinahanglan namong pilion ang Operating System→linux_secure; kini nagpahibalo sa splunk nga ang file adunay mga mensahe nga may kalabutan sa seguridad gikan sa usa ka sistema sa Linux. Unya i-klik ang Sunod aron magpadayon.

14. Mahimo nimong opsyonal nga itakda ang dugang nga mga parameter sa pag-input alang niini nga pag-input sa datos. Ubos sa konteksto sa App, pilia ang Pagpangita ug Pagreport. Dayon i-klik ang Review. Human sa pagsusi, i-klik ang Isumite.

15. Karon ang imong file input nahimo nga malampuson. I-klik ang Start Searching aron pangitaon ang imong data.

16. Para tan-awon ang tanan nimong data inputs, adto sa Settings→Data→Data Inputs. Dayon i-klik ang tipo nga gusto nimong tan-awon pananglitan Files & Directories.

17. Ang mosunod mao ang dugang nga mga sugo sa pagdumala (pag-restart o paghunong) sa splunk daemon.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Sukad karon, makadugang ka ug dugang mga tinubdan sa datos (lokal o hilit gamit ang Splunk Forwarder), susiha ang imong data ug/o i-install ang Splunk apps para sa pagpausbaw sa default functionality niini. Mahimo nimo ang labi pa pinaagi sa pagbasa sa splunk nga dokumentasyon nga gihatag sa opisyal nga website.

Splunk Homepage: https://www.splunk.com/

Mao na sa pagkakaron! Ang Splunk usa ka gamhanan, lig-on ug hingpit nga nahiusa, real-time nga software sa pagdumala sa log sa negosyo. Niini nga artikulo, gipakita namo kung unsaon pag-instalar sa pinakabag-o nga bersyon sa Splunk log analyzer sa CentOS 7. Kung naa kay pangutana o mga hunahuna nga ipaambit, gamita ang comment form sa ubos para maabot mi.