วิธีการติดตั้ง Splunk Log Analyzer บน CentOS 7
Splunk เป็นซอฟต์แวร์ที่มีประสิทธิภาพ แข็งแกร่ง และบูรณาการโดยสมบูรณ์สำหรับการจัดการบันทึกขององค์กรแบบเรียลไทม์เพื่อรวบรวม จัดเก็บ ค้นหา วินิจฉัย และรายงานบันทึกและข้อมูลที่สร้างโดยเครื่องจักร รวมถึงข้อมูลที่มีโครงสร้าง ไม่มีโครงสร้าง และซับซ้อน บันทึกแอปพลิเคชันหลายบรรทัด
ช่วยให้คุณสามารถรวบรวม จัดเก็บ จัดทำดัชนี ค้นหา เชื่อมโยง แสดงภาพ วิเคราะห์ และรายงานเกี่ยวกับข้อมูลบันทึกหรือข้อมูลที่เครื่องสร้างขึ้นอย่างรวดเร็วและในลักษณะที่ทำซ้ำได้ เพื่อระบุและแก้ไขปัญหาด้านการปฏิบัติงานและความปลอดภัย
นอกจากนี้ splunk ยังรองรับกรณีการใช้งานการจัดการบันทึกที่หลากหลาย เช่น การรวมและการเก็บรักษาบันทึก ความปลอดภัย การแก้ไขปัญหาการดำเนินงานด้านไอที การแก้ไขปัญหาแอปพลิเคชัน ตลอดจนการรายงานการปฏิบัติตามข้อกำหนด และอื่นๆ อีกมากมาย
คุณสมบัติที่โดดเด่น:
- สามารถปรับขนาดได้อย่างง่ายดายและบูรณาการได้อย่างสมบูรณ์
- รองรับแหล่งข้อมูลทั้งภายในและระยะไกล
- ช่วยให้สามารถจัดทำดัชนีข้อมูลเครื่องได้
- รองรับการค้นหาและเชื่อมโยงข้อมูลใด ๆ
- ช่วยให้คุณสามารถเจาะลึกและขึ้นและเปลี่ยนทิศทางข้อมูลได้
- รองรับการติดตามและแจ้งเตือน
- ยังรองรับรายงานและแดชบอร์ดสำหรับการแสดงภาพ
- ให้การเข้าถึงฐานข้อมูลเชิงสัมพันธ์ ข้อมูลที่คั่นด้วยฟิลด์ในไฟล์ค่าที่คั่นด้วยเครื่องหมายจุลภาค (.CSV) หรือไปยังที่เก็บข้อมูลองค์กรอื่นๆ เช่น Hadoop หรือ NoSQL
- รองรับกรณีการใช้งานการจัดการบันทึกที่หลากหลายและอีกมากมาย
ในบทความนี้ เราจะแสดงวิธีการติดตั้งตัววิเคราะห์บันทึก Splunk เวอร์ชันล่าสุด และวิธีเพิ่มไฟล์บันทึก (แหล่งข้อมูล) และค้นหาเหตุการณ์ใน CentOS 7 (ใช้ได้กับการกระจาย RHEL ด้วย)
ข้อกำหนดของระบบที่แนะนำ:
- เซิร์ฟเวอร์ CentOS 7 หรือเซิร์ฟเวอร์ RHEL 7 ที่มีการติดตั้งขั้นต่ำ
- แรมขั้นต่ำ 12GB
สภาพแวดล้อมการทดสอบ:
- Linode VPS พร้อมการติดตั้ง CentOS 7 ขั้นต่ำ
ติดตั้ง Splunk Log Analyzer เพื่อตรวจสอบบันทึก CentOS 7
1. ไปที่เว็บไซต์ splunk สร้างบัญชี และรับเวอร์ชันล่าสุดที่มีให้สำหรับระบบของคุณจากหน้าดาวน์โหลด Splunk Enterprise แพ็คเกจ RPM พร้อมใช้งานสำหรับ Red Hat, CentOS และ Linux เวอร์ชันที่คล้ายกัน
หรือคุณสามารถดาวน์โหลดได้โดยตรงผ่านเว็บเบราว์เซอร์หรือรับลิงค์ดาวน์โหลด และใช้ wget commandv เพื่อดึงแพ็คเกจผ่านทางบรรทัดคำสั่งดังที่แสดง
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. เมื่อคุณดาวน์โหลดแพ็คเกจแล้ว ให้ติดตั้ง Splunk Enterprise RPM ในไดเรกทอรีเริ่มต้น /opt/splunk โดยใช้ตัวจัดการแพ็คเกจ RPM ดังที่แสดง .
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete
3. จากนั้น ให้ใช้อินเทอร์เฟซบรรทัดคำสั่ง (CLI) ของ Splunk Enterprise เพื่อเริ่มบริการ
/opt/splunk/bin/./splunk start
อ่านข้อตกลงใบอนุญาตซอฟต์แวร์ SPLUNK SOFTWARE โดยการกด Enter เมื่อคุณอ่านจบแล้ว คุณจะถูกถามว่า คุณเห็นด้วยกับใบอนุญาตนี้หรือไม่? ป้อน Y
เพื่อดำเนินการต่อ
Do you agree with this license? [y/n]: y
จากนั้นสร้างข้อมูลรับรองสำหรับบัญชีผู้ดูแลระบบ รหัสผ่านของคุณต้องมีอักขระ ASCII ที่สามารถพิมพ์ได้ทั้งหมดอย่างน้อย 8 ตัว
Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
4. หากไฟล์ที่ติดตั้งทั้งหมดไม่เสียหายและผ่านการตรวจสอบเบื้องต้นทั้งหมดแล้ว daemon เซิร์ฟเวอร์ splunk (splunkd) จะเริ่มทำงาน รหัสส่วนตัว RSA 2048 บิตจะถูกสร้างขึ้นและคุณ สามารถเข้าถึงเว็บอินเตอร์เฟส splunk ได้
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://tecmint:8000
5. จากนั้น เปิดพอร์ต 8000 ที่เซิร์ฟเวอร์ Splunk ฟัง ในไฟร์วอลล์ของคุณโดยใช้ firewall-cmd
firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload
6. เปิดเว็บเบราว์เซอร์และพิมพ์ URL ต่อไปนี้เพื่อเข้าถึงอินเทอร์เฟซเว็บ splunk
http://SERVER_IP:8000
ในการเข้าสู่ระบบ ให้ใช้ชื่อผู้ใช้: ผู้ดูแลระบบ และรหัสผ่านที่คุณสร้างระหว่างขั้นตอนการติดตั้ง
7. หลังจากเข้าสู่ระบบสำเร็จ คุณจะเข้าสู่คอนโซลผู้ดูแลระบบ splunk ที่แสดงในภาพหน้าจอต่อไปนี้ หากต้องการตรวจสอบไฟล์บันทึก เช่น /var/log/secure
ให้คลิก เพิ่มข้อมูล
8. จากนั้นคลิกที่ จอภาพ เพื่อเพิ่มข้อมูลจากไฟล์
9. จากอินเทอร์เฟซถัดไป ให้เลือก ไฟล์และไดเรกทอรี
10. จากนั้นตั้งค่าอินสแตนซ์เพื่อตรวจสอบไฟล์และไดเรกทอรีเพื่อดูข้อมูล หากต้องการมอนิเตอร์ออบเจ็กต์ทั้งหมดในไดเร็กทอรี ให้เลือกไดเร็กทอรี หากต้องการตรวจสอบไฟล์เดียว ให้เลือกไฟล์นั้น คลิก เรียกดู เพื่อเลือกแหล่งข้อมูล
11. รายการไดเร็กทอรีในไดเร็กทอรี root(/)
ของคุณจะแสดงให้คุณเห็น โดยไปที่ไฟล์บันทึกที่คุณต้องการตรวจสอบ (/var/log /ปลอดภัย) และคลิก เลือก
12. หลังจากเลือกแหล่งข้อมูลแล้ว ให้เลือก ตรวจสอบอย่างต่อเนื่อง เพื่อดูไฟล์บันทึกนั้น และคลิก ถัดไป เพื่อตั้งค่าประเภทแหล่งที่มา
13. ถัดไป ตั้งค่าประเภทแหล่งที่มาสำหรับแหล่งข้อมูลของคุณ สำหรับไฟล์บันทึกการทดสอบ (/var/log/secure)
เราต้องเลือก ระบบปฏิบัติการ→linux_secure; สิ่งนี้ทำให้ splunk รู้ว่าไฟล์มีข้อความที่เกี่ยวข้องกับความปลอดภัยจากระบบ Linux จากนั้นคลิก ถัดไป เพื่อดำเนินการต่อ
14. คุณสามารถเลือกตั้งค่าพารามิเตอร์อินพุตเพิ่มเติมสำหรับการป้อนข้อมูลนี้ได้ ใต้ บริบทของแอป เลือก การค้นหาและการรายงาน จากนั้นคลิกตรวจสอบ หลังจากตรวจสอบแล้ว คลิกส่ง
15. ตอนนี้ไฟล์อินพุตของคุณถูกสร้างขึ้นเรียบร้อยแล้ว คลิกที่ เริ่มการค้นหา เพื่อค้นหาข้อมูลของคุณ
16. หากต้องการดูอินพุตข้อมูลทั้งหมดของคุณ ไปที่ การตั้งค่า→ข้อมูล→อินพุตข้อมูล จากนั้นคลิกประเภทที่คุณต้องการดู เช่น ไฟล์และไดเรกทอรี
17. ต่อไปนี้เป็นคำสั่งเพิ่มเติมในการจัดการ (รีสตาร์ทหรือหยุด) splunk daemon
/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop
จากนี้ไป คุณสามารถเพิ่มแหล่งข้อมูลได้มากขึ้น (ภายในหรือระยะไกลโดยใช้ Splunk Forwarder) สำรวจข้อมูลของคุณและ/หรือติดตั้งแอป Splunk เพื่อปรับปรุงฟังก์ชันการทำงานเริ่มต้น คุณสามารถทำอะไรได้มากขึ้นโดยการอ่านเอกสาร splunk ที่ให้ไว้ในเว็บไซต์อย่างเป็นทางการ
หน้าแรกของ Splunk: https://www.splunk.com/
แค่นั้นแหละ! Splunk เป็นซอฟต์แวร์การจัดการบันทึกขององค์กรแบบเรียลไทม์ที่ทรงพลัง แข็งแกร่ง และบูรณาการโดยสมบูรณ์ ในบทความนี้ เราได้แสดงวิธีการติดตั้งตัววิเคราะห์บันทึก Splunk เวอร์ชันล่าสุดบน CentOS 7 หากคุณมีคำถามหรือความคิดเห็นใดๆ ที่จะแบ่งปัน โปรดใช้แบบฟอร์มความคิดเห็นด้านล่างเพื่อติดต่อเรา