CentOS 7'ye Splunk Log Analizörü Nasıl Kurulur

Splunk, yapılandırılmış, yapılandırılmamış ve karmaşık veriler de dahil olmak üzere tüm günlük ve makine tarafından oluşturulan verileri toplamak, depolamak, aramak, teşhis etmek ve raporlamak için gerçek zamanlı kurumsal günlük yönetimine yönelik güçlü, sağlam ve tamamen entegre bir yazılımdır. çok satırlı uygulama günlükleri.

Operasyonel ve güvenlik sorunlarını tanımlamak ve çözmek için herhangi bir günlük verisini veya makine tarafından oluşturulan verileri hızlı ve tekrarlanabilir bir şekilde toplamanıza, saklamanıza, indekslemenize, aramanıza, ilişkilendirmenize, görselleştirmenize, analiz etmenize ve raporlamanıza olanak tanır.

Buna ek olarak splunk, günlük birleştirme ve saklama, güvenlik, BT operasyonlarında sorun giderme, uygulama sorunlarını gidermenin yanı sıra uyumluluk raporlaması ve çok daha fazlası gibi çok çeşitli günlük yönetimi kullanım durumlarını destekler.

Splunk'ın Özellikleri:

  • Kolayca ölçeklenebilir ve tamamen entegredir.
  • Hem yerel hem de uzak veri kaynaklarını destekler.
  • Makine verilerinin indekslenmesine izin verir.
  • Her türlü veriyi aramayı ve ilişkilendirmeyi destekler.
  • Veriler arasında detaya inmenize, ilerlemenize ve pivot yapmanıza olanak tanır.
  • İzleme ve uyarıyı destekler.
  • Ayrıca görselleştirmeye yönelik raporları ve kontrol panellerini de destekler.
  • İlişkisel veritabanlarına, virgülle ayrılmış değer (.CSV) dosyalarındaki alanla ayrılmış verilere veya Hadoop ya da NoSQL gibi diğer kurumsal veri depolarına esnek erişim sağlar.
  • Çok çeşitli günlük yönetimi kullanım örneklerini ve çok daha fazlasını destekler.

Bu makalede, Splunk günlük analiz aracının en son sürümünün nasıl kurulacağını, bir günlük dosyasının (veri kaynağı) nasıl ekleneceğini ve CentOS 7 'deki olayların nasıl aranacağını göstereceğiz. (ayrıca RHEL dağıtımında da çalışır).

Tavsiye Edilen Sistem Gereksinimleri:

  1. Minimal Kurulumlu bir CentOS 7 Sunucusu veya RHEL 7 Sunucusu.
  2. Minimum 12GB RAM

Test ortamı:

  1. CentOS 7 minimum kurulumlu Linode VPS.

CentOS 7 Günlüklerini İzlemek için Splunk Log Analizörünü Kurun

1. Splunk web sitesine gidin, bir hesap oluşturun ve Splunk Enterprise indirme sayfasından sisteminiz için mevcut en son sürümü edinin. Red Hat, CentOS ve Linux'un benzer sürümleri için RPM paketleri mevcuttur.

Alternatif olarak, doğrudan web tarayıcısı aracılığıyla indirebilir veya indirme bağlantısını alabilir ve gösterildiği gibi komut satırı aracılığıyla paketi almak için wget commandv'yi kullanabilirsiniz.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Paketi indirdikten sonra, gösterildiği gibi RPM paket yöneticisini kullanarak Splunk Enterprise RPM'yi varsayılan /opt/splunk dizinine yükleyin. .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Ardından, hizmeti başlatmak için Splunk Enterprise komut satırı arayüzünü (CLI) kullanın.

/opt/splunk/bin/./splunk start

Enter tuşuna basarak SPLUNK YAZILIM LİSANS SÖZLEŞMESİNİ okuyun. Okumayı tamamladığınızda size şu soru sorulacaktır: Bu lisansı kabul ediyor musunuz? Devam etmek için Y girin.

Do you agree with this license? [y/n]: y

Daha sonra yönetici hesabı için kimlik bilgileri oluşturun; şifreniz toplam en az 8 yazdırılabilir ASCII karakter içermelidir.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Yüklü tüm dosyalar sağlamsa ve tüm ön kontroller başarılıysa, splunk sunucusu arka plan programı (splunkd) başlatılacak, 2048 bitlik bir RSA özel anahtarı oluşturulacak ve siz splunk web arayüzüne erişebilir.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Ardından, güvenlik duvarı-cmd'yi kullanarak Splunk sunucusunun dinlediği 8000 bağlantı noktasını güvenlik duvarınızda açın.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Splunk web arayüzüne erişmek için bir web tarayıcısı açın ve aşağıdaki URL'yi yazın.

http://SERVER_IP:8000

Oturum açmak için Kullanıcı Adı: admin'i ve yükleme işlemi sırasında oluşturduğunuz şifreyi kullanın.

7. Başarılı bir giriş yaptıktan sonra, aşağıdaki ekran görüntüsünde gösterilen splunk yönetici konsoluna ulaşacaksınız. Bir günlük dosyasını (örneğin /var/log/secure) izlemek için Veri Ekle'yi tıklayın.

8. Daha sonra bir dosyadan veri eklemek için İzle'yi tıklayın.

9. Sonraki arayüzden Dosyalar ve Dizinler'i seçin.

10. Ardından, verileri dosya ve dizinlerde izleyecek şekilde örneği ayarlayın. Bir dizindeki tüm nesneleri izlemek için dizini seçin. Tek bir dosyayı izlemek için onu seçin. Veri kaynağını seçmek için Gözat'ı tıklayın.

11. root(/) dizininizdeki dizinlerin bir listesi size gösterilecektir, izlemek istediğiniz günlük dosyasına gidin (/var/log /secure) ve Seç'i tıklayın.

12. Veri kaynağını seçtikten sonra, o günlük dosyasını izlemek için Sürekli İzle'yi seçin ve kaynak türünü ayarlamak için İleri'yi tıklayın.

13. Ardından, veri kaynağınız için kaynak türünü ayarlayın. Test günlük dosyamız (/var/log/secure) için İşletim Sistemi→linux_secure'u seçmemiz gerekiyor; bu, splunk'ın dosyanın bir Linux sisteminden gelen güvenlikle ilgili mesajlar içerdiğini bilmesini sağlar. Daha sonra devam etmek için İleri'yi tıklayın.

14. Bu veri girişi için isteğe bağlı olarak ek giriş parametreleri ayarlayabilirsiniz. Uygulama bağlamı altında Arama ve Raporlama'yı seçin. Ardından İncele'yi tıklayın. İnceledikten sonra Gönder'i tıklayın.

15. Artık dosya girişiniz başarıyla oluşturuldu. Verilerinizi aramak için Aramaya Başla'yı tıklayın.

16. Tüm veri girişlerinizi görüntülemek için Ayarlar→Veri→Veri Girişleri'ne gidin. Ardından, görüntülemek istediğiniz türü tıklayın (örneğin, Dosyalar ve Dizinler).

17. Aşağıda splunk arka plan programını yönetmek (yeniden başlatmak veya durdurmak) için ek komutlar bulunmaktadır.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Artık daha fazla veri kaynağı ekleyebilir (Splunk Forwarder'ı kullanarak yerel veya uzak), verilerinizi keşfedebilir ve/veya varsayılan işlevselliğini geliştirmek için Splunk uygulamalarını yükleyebilirsiniz. Resmi web sitesinde sağlanan splunk belgelerini okuyarak daha fazlasını yapabilirsiniz.

Splunk Ana Sayfası: https://www.splunk.com/

Şimdilik bu kadar! Splunk güçlü, sağlam ve tamamen entegre, gerçek zamanlı bir kurumsal günlük yönetimi yazılımıdır. Bu yazımızda Splunk log analyzer'ın son sürümünün CentOS 7'ye nasıl kurulacağını gösterdik. Paylaşmak istediğiniz sorularınız veya düşünceleriniz varsa bize ulaşmak için aşağıdaki yorum formunu kullanın.