Cómo instalar Splunk Log Analyzer en CentOS 7

Cómo instalar Splunk Log Analyzer en CentOS 7

Splunk. es un software potente, robusto y totalmente integrado para la gestión de registros empresariales en tiempo real para recopilar, almacenar, buscar, diagnosticar y reportar cualquier registro y datos generados por máquina, incluidos los estructurados y no estructurados. y registros de aplicaciones complejas de varias líneas.

Le permite recopilar, almacenar, indexar, buscar, correlacionar, visualizar, analizar e informar sobre cualquier registro de datos o datos generados por máquina de forma rápida y repetible, para identificar y resolver problemas operativos y de seguridad.

Además, splunk admite una amplia gama de casos de uso de administración de registros, como consolidación y retención de registros, seguridad, resolución de problemas de operaciones de TI, resolución de problemas de aplicaciones e informes de cumplimiento y mucho más.

Funciones de Splunk:

  • Es fácilmente escalable y completamente integrado.
  • Admite fuentes de datos locales y remotas.
  • Permite la indexación datos de la máquina.
  • Admite la búsqueda y correlación de cualquier dato.
  • Le permite explorar hacia abajo y hacia arriba y pivotar a través de los datos.
  • Soporta monitoreo y alerta.
  • También es compatible con informes y paneles para visualización.
  • Proporciona acceso flexible a bases de datos relacionales, campo datos delimitados en archivos de valores separados por comas ( .CSV. o en otros almacenes de datos empresariales como Hadoop o NoSQL.
  • Admite una amplia gama de casos de uso de administración de registros y mucho más .

En este artículo, mostraremos cómo instalar la última versión del analizador de registros Splunk. y cómo agregar un archivo de registro (fuente de datos) y buscar para eventos en CentOS 7. (también funciona en la distribución RHEL. .

Requisitos del sistema recomendados:

  1. Un servidor CentOS 7 o un servidor RHEL 7 con instalación mínima.
  2. Mínimo 12 GB de RAM

Entorno de prueba:

  1. Linode VPS con instalación mínima de CentOS 7.

Instale Splunk Log Analyzer para monitorear los registros de CentOS 7

1.. Vaya a la splunk, cree una cuenta y obtenga la última versión disponible para su sistema en la página de descarga de Splunk Enterprise. Los paquetes RPM están disponibles para Red Hat, CentOS y versiones similares de Linux.

freestar.config.enabled_slots.push

Alternativamente, puede descárguelo directamente a través del navegador web u obtenga el enlace de descarga, y use wget commandv para tomar el paquete a través de la línea de comando como se muestra.

# wget-O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64. rpm ‘https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true’ <> 2.. Una vez que haya descargado el paquete, instale Splunk Enterprise RPM. en el directorio predeterminado /opt/splunk. usando el administrador de paquetes RPM como mostrado.

# rpm-i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm. advertencia: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Encabezado V4 DSA/SHA1 Firma, ID de clave 653fb112: NOKE Y useradd: no se puede crear el directorio /opt/splunk. completo

3.. A continuación, use la interfaz de línea de comandos (CLI) de Splunk Enterprise. para iniciar el servicio.

#/opt/splunk/bin/./splunk start

Lea el ACUERDO DE LICENCIA DE SOFTWARE DE S PLUNK. presionando Enter. Una vez que haya terminado de leerlo, se le preguntará ¿Está de acuerdo con esta licencia? Ingrese Y para continuar.

¿Está de acuerdo con esta licencia? [y/n]: y

Luego cree las credenciales para la cuenta de administrador, su contraseña debe contener al menos 8 caracteres ASCII imprimibles en total.

Cree credenciales para la cuenta de administrador. Los caracteres no aparecen en la pantalla cuando escribe la contraseña. La contraseña debe contener al menos: * 8 caracteres ASCII imprimibles en total. Introduzca una nueva contraseña: confirme la nueva contraseña:

4.. Si todos los archivos instalados están intactos y se han superado todas las comprobaciones preliminares, el demonio del servidor splunk ( splunkd. Al iniciar, se generará una clave privada RSA de 2048 bits y podrá acceder a la interfaz web splunk.

Todos los controles preliminares pasaron. Iniciando el demonio del servidor splunk (splunkd) … Generando una clave privada RSA de 2048 bits …………………. +++ ….. +++ escribiendo una nueva clave privada en ‘privKeySecure.pem’—–Firma ok asunto =/CN = tecmint/O = SplunkUser Obteniendo la clave privada de CA escribiendo la clave RSA Listo [OK] Esperando servidor web en http://127.0.0.1:8000. estará disponible …………. Listo Si se atasca, estamos aquí para ayudarlo. Busque respuestas aquí: http://docs.splunk.com La interfaz web de Splunk se encuentra en http://tecmint: 8000.

5.. A continuación, abra el puerto 8000. en el que escucha el servidor Splunk, en su firewall usando firewall-cmd.

# firewall-cmd–add-port = 8000/tcp–permanent # firewall-cmd–reload

6.. Abra un navegador web y escriba la siguiente URL para acceder a la interfaz web splunk.

http://SERVER_IP: 8000

Para iniciar sesión, utilice Nombre de usuario: admin. y la contraseña que creó durante el proceso de instalación.

Página de inicio de sesión de Splunk Página de inicio de sesión de Splunk Página de inicio de sesión de Splunk

7.. Después de iniciar sesión correctamente, accederá a la consola de administración de splunk que se muestra en la siguiente captura de pantalla. Para monitorear un archivo de registro, por ejemplo/var/log/secure, haga clic en Agregar datos.

Agregue datos de Splunk Agregue datos de Splunk Agregue datos de Splunk

8. Luego haga clic en Monitor. para agregar datos de un archivo.

Archivo de datos del monitor Splunk Archivo de datos de monitor de Splunk Archivo de datos del monitor Splunk

9.. En la siguiente interfaz, elija Archivos y directorios.

Seleccione Archivo Splunk y Directorios Seleccionar archivos y directorios de Splunk Seleccione Archivo y directorios Splunk

10.. Luego configure la instancia para monitorear archivos y directorios en busca de datos. Para monitorear todos los objetos en un directorio, seleccione el directorio. Para monitorear un solo archivo, selecciónelo. Haga clic en Examinar. para seleccionar la fuente de datos.

Seleccionar instancia de Splunk para monitorear Seleccionar instancia de Splunk para monitorear Seleccione la instancia de Splunk para monitorear

11.. Una lista de directorios en su Se le mostrará el directorio raíz (/), navegue hasta el archivo de registro que desea monitorear (/var/log/secure. y haga clic en Seleccionar.

Seleccionar fuente de datos del monitor Seleccione Monitor Data Source Seleccionar monitor Fuente de datos Seleccionar archivo de datos del monitor Seleccionar datos del monitor F ile Seleccionar archivo de datos del monitor

12.. Después de seleccionar la fuente de datos, seleccione Supervisar continuamente. para ver ese archivo de registro y haga clic en Siguiente. para establecer el tipo de fuente.

Establecer fuente de datos del monitor Configuración Establecer la configuración de la fuente de datos del monitor Establecer la configuración de la fuente de datos del monitor

13.. A continuación, configure el tipo de fuente para su fuente de datos. Para nuestro archivo de registro de prueba (/var/log/secure), debemos seleccionar Sistema operativo → linux_secure. esto le permite a splunk saber que el archivo contiene mensajes relacionados con la seguridad de un sistema Linux. Luego haga clic en Siguiente. para continuar.

Establecer tipo de fuente de datos Establecer tipo de fuente de datos Establecer el tipo de fuente de datos

14. Opcionalmente, puede establecer parámetros de entrada adicionales para esta entrada de datos. En Contexto de la aplicación. seleccione Búsqueda e informes. Luego, haga clic en Revisar. Después de revisar, haga clic en Enviar.

Establecer configuraciones de entrada adicionales Establecer configuraciones de entrada adicionales Establecer configuraciones de entrada adicionales Revisar la configuración de la fuente de datos Revisar la configuración de la fuente de datos Revisar la configuración de la fuente de datos

15.. Ahora la entrada de su archivo se ha creado correctamente. Haga clic en Iniciar búsqueda. para buscar sus datos.

Comenzar a buscar datos Comenzar a buscar datos Comenzar a buscar datos Supervisar informes de fuentes de datos Supervisar informes de fuentes de datos Supervisar informes de fuentes de datos

16.. Para ver todas las entradas de datos, vaya a Configuración → Datos → Entradas de datos. Luego haga clic en el tipo que desea ver, por ejemplo, Archivos y directorios.

Entradas de datos de Splunk Splunk Data Inputs Splunk D ata Entradas Ver todas las entradas de datos Ver todas las entradas de datos Ver todas las entradas de datos

17.. Los siguientes son c adicionales comandos para administrar (reiniciar o detener) el demonio splunk.

#/opt/splunk/bin/./splunk restart #/opt/splunk/bin/./splunk stop

De ahora en adelante, puede agregar más fuentes de datos (locales o remotas usando Splunk Forwarder. , explore sus datos y/o instale aplicaciones de Splunk para mejorar su funcionalidad predeterminada. Puede hacer más leyendo la documentación de splunk proporcionada en el sitio web oficial.

Página de inicio de Splunk. https://www.splunk.com/

Eso es por ahora! Splunk. es un software de gestión de registros empresariales en tiempo real potente, robusto y totalmente integrado. En este artículo, mostramos cómo instalar la última versión del analizador de registros de Splunk en CentOS 7. Si tiene alguna pregunta o idea para compartir, use el formulario de comentarios a continuación para comunicarse con nosotros.

September 30, 2021 by Ultimos Post

You may also like...