So installieren Sie Splunk Log Analyzer auf CentOS 7

Splunk ist eine leistungsstarke, robuste und vollständig integrierte Software für Echtzeit-Unternehmensprotokollverwaltung zum Sammeln, Speichern, Suchen, Diagnose und Bericht über Protokoll- und maschinellgenerierte Daten, einschließlich strukturierter, unstrukturierter und komplexer Multi-Line-Anwendungsprotokolle.

Sie ermöglichen es Ihnen, alle Protokolldaten oder maschinellgenerierten Daten schnell und wiederholbar zu sammeln, zu speichern, zu indexieren, zu suchen, zu korrelieren, zu visualisieren, zu analysieren und zu melden, um Betriebs- und Sicherheitsprobleme zu identifizieren und zu beheben.

Darüber hinaus unterstützt Splunk eine breite Palette von Anwendungsfällen für Protokollverwaltungen wie Protokollkonsolidierung und -bindung, Sicherheit, IT -Operations -Fehlerbehebung, Anwendung Fehlerbehebung sowie Compliance -Berichterstattung und vieles mehr.

Splunk -Merkmale:

• Es ist leicht skalierbar und vollständig integriert.
• Unterstützt sowohl lokale als auch Fern -Datenquellen.
• Ermöglicht die Indexierungsmaschinendaten.
• Unterstützt die Suche und Korrelation von Daten.
• Ermöglicht es Ihnen, Daten nach unten zu bohren und über Daten zu drehen.
• Unterstützt die Überwachung und Alarmierung.
• Unterstützt auch Berichte und Dashboards für die Visualisierung.
• Bietet flexiblen Zugriff auf relationale Datenbanken, das Feld ist abgenommene Daten im von Kommas getrennten Wert (Wert.CSV) Dateien oder an andere Unternehmensdatenspeicher wie Hadoop oder NoSQL.
• Unterstützt eine breite Palette von Verwendungsfällen für Protokollverwaltungen und vieles mehr.

In diesem Artikel werden wir zeigen, wie die neueste Version von installiert wird Splunk Protokollanalysator und So fügen Sie eine Protokolldatei (Datenquelle) hinzu und suchen Sie sie nach Ereignissen in Centos 7 (arbeitet auch an Rhel Verteilung).

Empfohlene Systemanforderungen:

1. Ein CentOS 7 -Server oder RHEL 7 -Server mit minimaler Installation.
2. Mindestens 12 GB RAM

Test Umgebung:

1. Linode VPS mit CentOS 7 minimaler Installation.

Installieren Sie Splunk Log Analyzer, um CentOS 7 -Protokolle zu überwachen

1. Gehen Sie zur Splunk -Website, erstellen Sie ein Konto und holen Sie sich die neueste verfügbare Version für Ihr System auf der Splunk Enterprise -Download -Seite. RPM -Pakete sind für Red Hat, CentOS und ähnliche Versionen von Linux erhältlich.

Alternativ können Sie es direkt über den Webbrowser herunterladen oder den Download -Link abrufen und mit WGet Commandv das Paket über die Befehlszeile wie gezeigt abrufen.

# WGet -o splunk -7.1.2-A0C72A66DB66-Linux-2.6-X86_64.rpm 'https: // www.Splunk.com/bin/splunk/downloadActivityservlet?Architecture = x86_64 & Platform = Linux & Version = 7.1.2 & product = spunk & fileName = splunk-7.1.2-A0C72A66DB66-Linux-2.6-X86_64.rpm & wget = true ' 

2. Sobald Sie das Paket heruntergeladen haben, installieren Sie das Splunk Enterprise Drehzahl im Standardverzeichnis /opt/splunk Verwenden Sie den RPM -Paket -Manager wie gezeigt.

# rpm -i splunk -7.1.2-A0C72A66DB66-Linux-2.6-X86_64.Drehzahl Warnung: Splunk-7.1.2-A0C72A66DB66-Linux-2.6-X86_64.RPM: Header V4 DSA/SHA1 Signature, Key ID 653FB112: Nokey UserAdd: Verzeichnis kann nicht erstellen /opt/splunk vollständig 

3. Verwenden Sie als nächstes die Splunk Enterprise Befehlszeilenschnittstelle (CLI), um den Dienst zu starten.

#/opt/splunk/bin/./Splunk Start 

Lesen Sie die s durchPlunk -Softwarelizenzvereinbarung durch Drücken Eingeben. Sobald Sie es gelesen haben, werden Sie gefragt, ob Sie dieser Lizenz zustimmen? Eingeben Y weitermachen.

Stimmen Sie dieser Lizenz zu? [y/n]: y

Erstellen Sie dann Anmeldeinformationen für das Administratorkonto. Ihr Passwort muss mindestens 8 druckbare ASCII -Zeichen enthalten.

Erstellen Sie Anmeldeinformationen für das Administratorkonto. Zeichen werden auf dem Bildschirm nicht angezeigt, wenn Sie das Passwort eingeben. Das Passwort muss mindestens: * 8 druckbare ASCII -Zeichen (en) enthalten. Bitte geben Sie ein neues Passwort ein: Bitte bestätigen Sie ein neues Passwort: 

4. Wenn alle installierten Dateien intakt sind und alle vorläufigen Überprüfungen bestanden haben, ist der Splunk Server -Daemon (Splunkd) wird gestartet, ein 2048 -Bit -RSA -Privatschlüssel wird generiert und Sie können in der Lage sein, auf die Splunk -Weboberfläche zugreifen zu können.

Alle vorläufigen Schecks bestanden. Starten von Splunk Server -Daemon (Splunkd)… Generieren eines 2048 -Bit -RSA -privaten Schlüssels… +++… +++ Neue private Schlüssel zu 'privkeySecure schreiben.PEM '----- Signatur OK Betreff =/cn = tecmint/o = splunkuser Erhalten Sie CA Private Schlüssel, das RSA-Schlüssel geschrieben hat http: // 127.0.0.1: 8000 Um verfügbar zu sein ... fertig, wenn Sie stecken bleiben, sind wir hier, um zu helfen. Suchen Sie hier nach Antworten: http: // docs.Splunk.com Die Splunk -Weboberfläche ist bei http: // tecmint: 8000 

5. Als nächstes öffnen Sie Port 8000 Welcher Splunk-Server hört in Ihrer Firewall mit der Firewall-CMD an.

# Firewall-CMD --add-Port = 8000/TCP --Permanent # Firewall-CMD-Reload 

6. Öffnen Sie einen Webbrowser und geben Sie die folgende URL ein, um auf die Splunk -Weboberfläche zuzugreifen.

http: // server_ip: 8000 

Verwenden Sie den Benutzernamen, um sich anzumelden: Administrator und das Passwort, das Sie während des Installationsprozesses erstellt haben.

Splunk Anmeldeseite

7. Nach einer erfolgreichen Anmeldung landen Sie in der Splunk -Administratorkonsole, die im folgenden Screenshot gezeigt ist. Zum Beispiel eine Protokolldatei überwachen /var/log/sicher, klicke auf Daten hinzufügen.

Splunk Daten hinzufügen

8. Klicken Sie dann auf Monitor Daten aus einer Datei hinzufügen.

Splunk Monitor -Datendatei

9. Wählen Sie über die nächste Schnittstelle aus Dateien und Verzeichnisse.

Wählen Sie Splunk -Datei und Verzeichnisse aus

10. Richten Sie dann die Instanz ein, um Dateien und Verzeichnisse für Daten zu überwachen. Um alle Objekte in einem Verzeichnis zu überwachen, wählen Sie das Verzeichnis aus. Um eine einzelne Datei zu überwachen, wählen Sie sie aus. Klicke auf Durchsuche So wählen Sie die Datenquelle aus.

Wählen Sie Splunk Instance, um zu überwachen

11. Eine Liste von Verzeichnissen in Ihrem Wurzel(/) Das Verzeichnis wird Ihnen angezeigt. Navigieren Sie zu der von Ihnen überwachten Protokolldatei (/var/log/sicher) und klicken Wählen.

Wählen Sie die Datenquelle überwachen Wählen Sie die Datendatei überwachen

12. Wählen Sie nach Auswahl der Datenquelle aus Kontinuierlich überwachen So sehen Sie sich diese Protokolldatei an und klicken Sie auf Nächste Quellentyp einstellen.

Stellen Sie die Einstellungen zur Datenquelle des Monitors ein

13. Setzen Sie als Nächstes den Quellentyp für Ihre Datenquelle. Für unsere Testprotokolldatei (/var/log/sicher), Wir müssen auswählen Betriebssystem → linux_secure; Auf diese Weise informiert Splunk, dass die Datei sicherheitsrelevante Nachrichten aus einem Linux -System enthält. Dann klick Nächste fortfahren.

Datenquellentyp festlegen

14. Sie können optional zusätzliche Eingabeparameter für diese Dateneingabe festlegen. Unter App -Kontext, wählen Suche & Berichterstattung. Dann klick Rezension. Nach der Überprüfung klicken Sie auf Einreichen.

Stellen Sie zusätzliche Eingabeeinstellungen ein Datenquelleneinstellungen überprüfen

15. Jetzt wurde Ihre Dateieingabe erfolgreich erstellt. Klicke auf Fang an zu suchen Um Ihre Daten zu durchsuchen.

Beginnen Sie mit der Suche nach Daten Datenquellenberichte überwachen

16. Um alle Ihre Dateneingaben anzuzeigen, gehen Sie zu Einstellungen → Daten → Dateneingaben. Klicken Sie dann auf den Typ, den Sie zum Beispiel anzeigen möchten Dateien und Verzeichnisse.

Splunk -Dateneingaben Alle Dateneingaben anzeigen

17. Im Folgenden finden Sie zusätzliche Befehle zum Verwalten (neu oder stoppen) den Splunk -Daemon.

#/opt/splunk/bin/./splunk restart #/opt/splunk/bin/./Splunk Stopp 

Von nun an können Sie weitere Datenquellen hinzufügen (lokal oder Fernbedienung verwenden Splunk -Spediteur), erkunden Sie Ihre Daten und/oder installieren Sie Splunk -Apps, um die Standardfunktionalität zu verbessern. Sie können mehr tun, indem Sie die Splunk -Dokumentation auf der offiziellen Website lesen.

Splunk Homepage: https: // www.Splunk.com/

Das war es fürs Erste! Splunk ist eine leistungsstarke, robuste und vollständig integrierte Echtzeit-Unternehmens-Log-Verwaltungssoftware in Echtzeit. In diesem Artikel haben wir gezeigt, wie Sie die neueste Version von Splunk Log Analyzer auf CentOS 7 installieren. Wenn Sie Fragen oder Gedanken zu teilen haben, verwenden Sie das folgende Kommentarformular, um uns zu erreichen.