Cómo instalar el analizador de registro de Splunk en Centos 7

Flojo es un software potente, robusto y totalmente integrado para la administración de registros empresariales en tiempo real para recopilar, almacenar, buscar, diagnosticar e informar cualquier datos generados por registro y máquina, incluidos registros de aplicaciones de múltiples líneas estructuradas, no estructuradas y complejas.

Le permite recopilar, almacenar, indexar, buscar, correlacionar, visualizar, analizar e informar sobre cualquier datos de registro o datos de máquina generados rápidamente y de manera repetible, para identificar y resolver problemas operativos y de seguridad.

Además, Splunk admite una amplia gama de casos de uso de gestión de registros, como consolidación y retención de registros, seguridad, solución de problemas de operaciones de TI, solución de problemas de aplicaciones, así como informes de cumplimiento y mucho más.

Características de Splunk:

• Es fácilmente escalable y completamente integrado.
• Admite fuentes de datos locales y remotas.
• Permite indexar los datos de la máquina.
• Admite buscar y correlacionar cualquier dato.
• Le permite profundizar y subir y pivotar en los datos.
• Admite monitoreo y alerta.
• También admite informes y paneles para la visualización.
• Proporciona acceso flexible a bases de datos relacionales, datos delimitados de campo en el valor separado por comas (.CSV) archivos o en otras tiendas de datos empresariales como Hadoop o NoSQL.
• Admite una amplia gama de casos de uso de gestión de registros y mucho más.

En este artículo, mostraremos cómo instalar la última versión de Flojo Registro de registro y cómo agregar un archivo de registro (fuente de datos) y buscar en él los eventos en Centos 7 (también funciona Rhel distribución).

Requisitos del sistema recomendados:

1. Un servidor CentOS 7 o un servidor Rhel 7 con instalación mínima.
2. Mínimo de 12 GB de RAM

Entorno de prueba:

1. VPS Linode con CentOS 7 Instalación mínima.

Instale el analizador de registro de Splunk para monitorear CentOS 7 registros

1. Vaya al sitio web de Splunk, cree una cuenta y tome la última versión disponible para su sistema desde la página de descarga de Splunk Enterprise. Los paquetes de RPM están disponibles para Red Hat, CentOS y versiones similares de Linux.

Alternativamente, puede descargarlo directamente a través del navegador web o obtener el enlace de descarga, y usar WGet commandv para tomar el paquete a través de la línea de comando como se muestra.

# wget -o splunk -7.1.2-A0C72A66DB66-Linux-2.6-x86_64.rpm 'https: // www.flojo.com/bin/splunk/downloadActivityServlet?arquitectura = x86_64 & plataforma = linux & versión = 7.1.2 & Product = Splunk & FileName = Splunk-7.1.2-A0C72A66DB66-Linux-2.6-x86_64.rpm & wget = true ' 

2. Una vez que haya descargado el paquete, instale el Splunk Enterprise RPM En el directorio predeterminado /OPT/Splunk Uso del administrador de paquetes RPM como se muestra.

# rpm -i splunk -7.1.2-A0C72A66DB66-Linux-2.6-x86_64.rpm Advertencia: Splunk-7.1.2-A0C72A66DB66-Linux-2.6-x86_64.RPM: encabezado V4 DSA/SHA1 Firma, ID de clave 653FB112: Nokey UserAdd: No se puede crear directorio /OPT/Splunk completo 

3. A continuación, usa el Splunk Enterprise Interfaz de línea de comandos (CLI) para iniciar el servicio.

#/opt/splunk/bin/./Splunk Start 

Leer el SAcuerdo de licencia de software de Plunk presionando Ingresar. Una vez que haya completado leerlo, se le preguntará, ¿está de acuerdo con esta licencia?? Ingresar Y continuar.

¿Estás de acuerdo con esta licencia?? [y/n]: Y

Luego cree credenciales para la cuenta de administrador, su contraseña debe contener al menos 8 cargos de ASCII imprimibles totales.

Crear credenciales para la cuenta de administrador. Los caracteres no aparecen en la pantalla cuando escribe la contraseña. La contraseña debe contener al menos: * 8 carácter (s) total de ASCII imprimible. Ingrese una nueva contraseña: confirme una nueva contraseña: 

4. Si todos los archivos instalados están intactos y se pasan todas las verificaciones preliminares, el Splunk Server Daemon (splunkd) se iniciará, se generará una clave privada RSA de 2048 bits y puede acceder a la interfaz web Splunk.

Se aprobaron todos los controles preliminares. Iniciar Splunk Server Daemon (Splunkd) ... Generación de una clave privada RSA de 2048 bit ... +++ ... +++ Escribir nueva clave privada para 'PrivKeySegurice.PEM '----- firma ok somett =/cn = tecMint/o = splunkuser obteniendo CA Clave privada Escritura RSA Clave RSA Hecha [OK] Esperando servidor web en http: // 127.0.0.1: 8000 estar disponible ... Hecho si te quedas atascado, estamos aquí para ayudar. Busque respuestas aquí: http: // documentos.flojo.com la interfaz web de Splunk en http: // tecmint: 8000 

5. Siguiente, abrir puerto 8000 En qué servidor Splunk escucha, en su firewall usando el firewall-CMD.

# firewall-cmd --Add-puerto = 8000/tcp --Permanent # firewall-cmd--Reload 

6. Abra un navegador web y escriba la siguiente URL para acceder a la interfaz web Splunk.

http: // server_ip: 8000 

Para iniciar sesión, use el nombre de usuario: administración y la contraseña que creó durante el proceso de instalación.

Página de inicio de sesión de Splunk

7. Después de un inicio de sesión exitoso, aterrizará en la consola de administración de Splunk que se muestra en la siguiente captura de pantalla. Para monitorear un archivo de registro, por ejemplo /var/log/seguro, haga clic en Agregar datos.

Splunk Agregar datos

8. Luego haga clic en Monitor Para agregar datos de un archivo.

Archivo de datos de Splunk Monitor

9. Desde la siguiente interfaz, elija Archivos y directorios.

Seleccione Archivo Splunk y directorios

10. Luego configure la instancia para monitorear archivos y directorios para obtener datos. Para monitorear todos los objetos en un directorio, seleccione el directorio. Para monitorear un solo archivo, seleccionarlo. Haga clic en Navegar Para seleccionar la fuente de datos.

Seleccione la instancia de Splunk para monitorear

11. Una lista de directorios en su raíz(/) Se le mostrará el directorio, navegue al archivo de registro que desea monitorear (/var/log/seguro) y haga clic Seleccionar.

Seleccione la fuente de datos de monitor Seleccione Monitor de datos de datos

12. Después de seleccionar la fuente de datos, seleccione Monitorear continuamente Para ver ese archivo de registro y haga clic en Próximo Para establecer el tipo de fuente.

Establecer la configuración de la fuente de datos del monitor

13. A continuación, establezca el tipo de fuente para su fuente de datos. Para nuestro archivo de registro de prueba (/var/log/seguro), Necesitamos seleccionar Sistema operativo → Linux_Secure; Esto le permite a Splunk saber que el archivo contiene mensajes relacionados con la seguridad de un sistema Linux. Luego haga clic Próximo para proceder.

Establecer el tipo de fuente de datos

14. Opcionalmente, puede establecer parámetros de entrada adicionales para esta entrada de datos. Bajo Contexto de la aplicación, seleccionar Búsqueda e informes. Luego haga clic Revisar. Después de revisar, haga clic Entregar.

Establecer configuraciones de entrada adicionales Revisar la configuración de la fuente de datos

15. Ahora la entrada de su archivo se ha creado con éxito. Haga clic en Empezar a buscar Para buscar sus datos.

Comience a buscar datos Monitorear informes de fuente de datos

dieciséis. Para ver todas sus entradas de datos, vaya a Configuración → Datos → entradas de datos. Luego haga clic en el tipo que desea ver, por ejemplo, Archivos y directorios.

Entradas de datos de Splunk Ver todas las entradas de datos

17. Los siguientes son comandos adicionales para administrar (reiniciar o detener) el Daemon Splunk.

#/opt/splunk/bin/./splunk reiniciar #/opt/splunk/bin/./Splunk Stop 

De ahora en adelante, puede agregar más fuentes de datos (locales o remotas utilizando Reenvío), explore sus datos y/o instale aplicaciones Splunk para mejorar su funcionalidad predeterminada. Puede hacer más leyendo la documentación de Splunk proporcionada en el sitio web oficial.

Página de inicio de Splunk: https: // www.flojo.com/

Eso es todo por ahora! Flojo es un software de administración de registros empresarial potente, robusto y totalmente integrado en tiempo real. En este artículo, mostramos cómo instalar la última versión de Splunk Log Analyzer en Centos 7. Si tiene alguna pregunta o pensamiento para compartir, use el formulario de comentarios a continuación para comunicarse con nosotros.