ค้นหาเว็บไซต์

วิธีการติดตั้ง Splunk Log Analyzer บน CentOS 7


Splunk เป็นซอฟต์แวร์ที่มีประสิทธิภาพ แข็งแกร่ง และบูรณาการโดยสมบูรณ์สำหรับการจัดการบันทึกขององค์กรแบบเรียลไทม์เพื่อรวบรวม จัดเก็บ ค้นหา วินิจฉัย และรายงานบันทึกและข้อมูลที่สร้างโดยเครื่องจักร รวมถึงข้อมูลที่มีโครงสร้าง ไม่มีโครงสร้าง และซับซ้อน บันทึกแอปพลิเคชันหลายบรรทัด

ช่วยให้คุณสามารถรวบรวม จัดเก็บ จัดทำดัชนี ค้นหา เชื่อมโยง แสดงภาพ วิเคราะห์ และรายงานเกี่ยวกับข้อมูลบันทึกหรือข้อมูลที่เครื่องสร้างขึ้นอย่างรวดเร็วและในลักษณะที่ทำซ้ำได้ เพื่อระบุและแก้ไขปัญหาด้านการปฏิบัติงานและความปลอดภัย

นอกจากนี้ splunk ยังรองรับกรณีการใช้งานการจัดการบันทึกที่หลากหลาย เช่น การรวมและการเก็บรักษาบันทึก ความปลอดภัย การแก้ไขปัญหาการดำเนินงานด้านไอที การแก้ไขปัญหาแอปพลิเคชัน ตลอดจนการรายงานการปฏิบัติตามข้อกำหนด และอื่นๆ อีกมากมาย

คุณสมบัติที่โดดเด่น:

  • สามารถปรับขนาดได้อย่างง่ายดายและบูรณาการได้อย่างสมบูรณ์
  • รองรับแหล่งข้อมูลทั้งภายในและระยะไกล
  • ช่วยให้สามารถจัดทำดัชนีข้อมูลเครื่องได้
  • รองรับการค้นหาและเชื่อมโยงข้อมูลใด ๆ
  • ช่วยให้คุณสามารถเจาะลึกและขึ้นและเปลี่ยนทิศทางข้อมูลได้
  • รองรับการติดตามและแจ้งเตือน
  • ยังรองรับรายงานและแดชบอร์ดสำหรับการแสดงภาพ
  • ให้การเข้าถึงฐานข้อมูลเชิงสัมพันธ์ ข้อมูลที่คั่นด้วยฟิลด์ในไฟล์ค่าที่คั่นด้วยเครื่องหมายจุลภาค (.CSV) หรือไปยังที่เก็บข้อมูลองค์กรอื่นๆ เช่น Hadoop หรือ NoSQL
  • รองรับกรณีการใช้งานการจัดการบันทึกที่หลากหลายและอีกมากมาย

ในบทความนี้ เราจะแสดงวิธีการติดตั้งตัววิเคราะห์บันทึก Splunk เวอร์ชันล่าสุด และวิธีเพิ่มไฟล์บันทึก (แหล่งข้อมูล) และค้นหาเหตุการณ์ใน CentOS 7 (ใช้ได้กับการกระจาย RHEL ด้วย)

ข้อกำหนดของระบบที่แนะนำ:

  1. เซิร์ฟเวอร์ CentOS 7 หรือเซิร์ฟเวอร์ RHEL 7 ที่มีการติดตั้งขั้นต่ำ
  2. แรมขั้นต่ำ 12GB

สภาพแวดล้อมการทดสอบ:

  1. Linode VPS พร้อมการติดตั้ง CentOS 7 ขั้นต่ำ

ติดตั้ง Splunk Log Analyzer เพื่อตรวจสอบบันทึก CentOS 7

1. ไปที่เว็บไซต์ splunk สร้างบัญชี และรับเวอร์ชันล่าสุดที่มีให้สำหรับระบบของคุณจากหน้าดาวน์โหลด Splunk Enterprise แพ็คเกจ RPM พร้อมใช้งานสำหรับ Red Hat, CentOS และ Linux เวอร์ชันที่คล้ายกัน

หรือคุณสามารถดาวน์โหลดได้โดยตรงผ่านเว็บเบราว์เซอร์หรือรับลิงค์ดาวน์โหลด และใช้ wget commandv เพื่อดึงแพ็คเกจผ่านทางบรรทัดคำสั่งดังที่แสดง

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. เมื่อคุณดาวน์โหลดแพ็คเกจแล้ว ให้ติดตั้ง Splunk Enterprise RPM ในไดเรกทอรีเริ่มต้น /opt/splunk โดยใช้ตัวจัดการแพ็คเกจ RPM ดังที่แสดง .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. จากนั้น ให้ใช้อินเทอร์เฟซบรรทัดคำสั่ง (CLI) ของ Splunk Enterprise เพื่อเริ่มบริการ

/opt/splunk/bin/./splunk start 

อ่านข้อตกลงใบอนุญาตซอฟต์แวร์ SPLUNK SOFTWARE โดยการกด Enter เมื่อคุณอ่านจบแล้ว คุณจะถูกถามว่า คุณเห็นด้วยกับใบอนุญาตนี้หรือไม่? ป้อน Y เพื่อดำเนินการต่อ

Do you agree with this license? [y/n]: y

จากนั้นสร้างข้อมูลรับรองสำหรับบัญชีผู้ดูแลระบบ รหัสผ่านของคุณต้องมีอักขระ ASCII ที่สามารถพิมพ์ได้ทั้งหมดอย่างน้อย 8 ตัว

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. หากไฟล์ที่ติดตั้งทั้งหมดไม่เสียหายและผ่านการตรวจสอบเบื้องต้นทั้งหมดแล้ว daemon เซิร์ฟเวอร์ splunk (splunkd) จะเริ่มทำงาน รหัสส่วนตัว RSA 2048 บิตจะถูกสร้างขึ้นและคุณ สามารถเข้าถึงเว็บอินเตอร์เฟส splunk ได้

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. จากนั้น เปิดพอร์ต 8000 ที่เซิร์ฟเวอร์ Splunk ฟัง ในไฟร์วอลล์ของคุณโดยใช้ firewall-cmd

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. เปิดเว็บเบราว์เซอร์และพิมพ์ URL ต่อไปนี้เพื่อเข้าถึงอินเทอร์เฟซเว็บ splunk

http://SERVER_IP:8000   

ในการเข้าสู่ระบบ ให้ใช้ชื่อผู้ใช้: ผู้ดูแลระบบ และรหัสผ่านที่คุณสร้างระหว่างขั้นตอนการติดตั้ง

7. หลังจากเข้าสู่ระบบสำเร็จ คุณจะเข้าสู่คอนโซลผู้ดูแลระบบ splunk ที่แสดงในภาพหน้าจอต่อไปนี้ หากต้องการตรวจสอบไฟล์บันทึก เช่น /var/log/secure ให้คลิก เพิ่มข้อมูล

8. จากนั้นคลิกที่ จอภาพ เพื่อเพิ่มข้อมูลจากไฟล์

9. จากอินเทอร์เฟซถัดไป ให้เลือก ไฟล์และไดเรกทอรี

10. จากนั้นตั้งค่าอินสแตนซ์เพื่อตรวจสอบไฟล์และไดเรกทอรีเพื่อดูข้อมูล หากต้องการมอนิเตอร์ออบเจ็กต์ทั้งหมดในไดเร็กทอรี ให้เลือกไดเร็กทอรี หากต้องการตรวจสอบไฟล์เดียว ให้เลือกไฟล์นั้น คลิก เรียกดู เพื่อเลือกแหล่งข้อมูล

11. รายการไดเร็กทอรีในไดเร็กทอรี root(/) ของคุณจะแสดงให้คุณเห็น โดยไปที่ไฟล์บันทึกที่คุณต้องการตรวจสอบ (/var/log /ปลอดภัย) และคลิก เลือก

12. หลังจากเลือกแหล่งข้อมูลแล้ว ให้เลือก ตรวจสอบอย่างต่อเนื่อง เพื่อดูไฟล์บันทึกนั้น และคลิก ถัดไป เพื่อตั้งค่าประเภทแหล่งที่มา

13. ถัดไป ตั้งค่าประเภทแหล่งที่มาสำหรับแหล่งข้อมูลของคุณ สำหรับไฟล์บันทึกการทดสอบ (/var/log/secure) เราต้องเลือก ระบบปฏิบัติการ→linux_secure; สิ่งนี้ทำให้ splunk รู้ว่าไฟล์มีข้อความที่เกี่ยวข้องกับความปลอดภัยจากระบบ Linux จากนั้นคลิก ถัดไป เพื่อดำเนินการต่อ

14. คุณสามารถเลือกตั้งค่าพารามิเตอร์อินพุตเพิ่มเติมสำหรับการป้อนข้อมูลนี้ได้ ใต้ บริบทของแอป เลือก การค้นหาและการรายงาน จากนั้นคลิกตรวจสอบ หลังจากตรวจสอบแล้ว คลิกส่ง

15. ตอนนี้ไฟล์อินพุตของคุณถูกสร้างขึ้นเรียบร้อยแล้ว คลิกที่ เริ่มการค้นหา เพื่อค้นหาข้อมูลของคุณ

16. หากต้องการดูอินพุตข้อมูลทั้งหมดของคุณ ไปที่ การตั้งค่า→ข้อมูล→อินพุตข้อมูล จากนั้นคลิกประเภทที่คุณต้องการดู เช่น ไฟล์และไดเรกทอรี

17. ต่อไปนี้เป็นคำสั่งเพิ่มเติมในการจัดการ (รีสตาร์ทหรือหยุด) splunk daemon

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

จากนี้ไป คุณสามารถเพิ่มแหล่งข้อมูลได้มากขึ้น (ภายในหรือระยะไกลโดยใช้ Splunk Forwarder) สำรวจข้อมูลของคุณและ/หรือติดตั้งแอป Splunk เพื่อปรับปรุงฟังก์ชันการทำงานเริ่มต้น คุณสามารถทำอะไรได้มากขึ้นโดยการอ่านเอกสาร splunk ที่ให้ไว้ในเว็บไซต์อย่างเป็นทางการ

หน้าแรกของ Splunk: https://www.splunk.com/

แค่นั้นแหละ! Splunk เป็นซอฟต์แวร์การจัดการบันทึกขององค์กรแบบเรียลไทม์ที่ทรงพลัง แข็งแกร่ง และบูรณาการโดยสมบูรณ์ ในบทความนี้ เราได้แสดงวิธีการติดตั้งตัววิเคราะห์บันทึก Splunk เวอร์ชันล่าสุดบน CentOS 7 หากคุณมีคำถามหรือความคิดเห็นใดๆ ที่จะแบ่งปัน โปรดใช้แบบฟอร์มความคิดเห็นด้านล่างเพื่อติดต่อเรา