Cara Install Splunk Log Analyzer di CentOS 7

Splunk adalah perangkat lunak yang kuat, kuat, dan terintegrasi penuh untuk pengelolaan log perusahaan secara real-time guna mengumpulkan, menyimpan, mencari, mendiagnosis, dan melaporkan setiap log dan data yang dihasilkan mesin, termasuk data terstruktur, tidak terstruktur, dan kompleks log aplikasi multi-baris.

Hal ini memungkinkan Anda mengumpulkan, menyimpan, mengindeks, mencari, menghubungkan, memvisualisasikan, menganalisis, dan melaporkan data log apa pun atau data yang dihasilkan mesin dengan cepat dan berulang-ulang, untuk mengidentifikasi dan menyelesaikan masalah operasional dan keamanan.

Selain itu, splunk mendukung berbagai kasus penggunaan manajemen log seperti konsolidasi dan penyimpanan log, keamanan, pemecahan masalah operasi TI, pemecahan masalah aplikasi serta pelaporan kepatuhan, dan banyak lagi.

Fitur Splunk:

  • Ini mudah diskalakan dan terintegrasi penuh.
  • Mendukung sumber data lokal dan jarak jauh.
  • Memungkinkan untuk mengindeks data mesin.
  • Mendukung pencarian dan menghubungkan data apa pun.
  • Memungkinkan Anda menelusuri, menelusuri, dan memutar seluruh data.
  • Mendukung pemantauan dan peringatan.
  • Juga mendukung laporan dan dasbor untuk visualisasi.
  • Memberikan akses fleksibel ke database relasional, data yang dibatasi kolom dalam file nilai yang dipisahkan koma (.CSV) atau ke penyimpanan data perusahaan lainnya seperti Hadoop atau NoSQL.
  • Mendukung berbagai kasus penggunaan manajemen log dan banyak lagi.

Dalam artikel ini, kami akan menunjukkan cara menginstal penganalisis log Splunk versi terbaru dan cara menambahkan file log (sumber data) serta menelusuri peristiwa di CentOS 7 (juga berfungsi pada distribusi RHEL).

Persyaratan Sistem yang Direkomendasikan:

  1. Server CentOS 7 atau Server RHEL 7 dengan Instalasi Minimal.
  2. RAM minimal 12GB

Lingkungan Uji:

  1. Linode VPS dengan instalasi minimal CentOS 7.

Instal Splunk Log Analyzer untuk Memantau Log CentOS 7

1. Kunjungi situs web splunk, buat akun, dan ambil versi terbaru yang tersedia untuk sistem Anda dari halaman unduh Splunk Enterprise. Paket RPM tersedia untuk Red Hat, CentOS, dan versi Linux serupa.

Alternatifnya, Anda dapat mendownloadnya langsung melalui browser web atau mendapatkan link download, dan menggunakan perintah wgetv untuk mengambil paket melalui baris perintah seperti yang ditunjukkan.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Setelah Anda mengunduh paket, instal Splunk Enterprise RPM di direktori default /opt/splunk menggunakan manajer paket RPM seperti yang ditunjukkan .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Selanjutnya, gunakan antarmuka baris perintah (CLI) Splunk Enterprise untuk memulai layanan.

/opt/splunk/bin/./splunk start

Bacalah PERJANJIAN LISENSI PERANGKAT LUNAK SPLUNK dengan menekan Enter. Setelah Anda selesai membacanya, Anda akan ditanya Apakah Anda setuju dengan lisensi ini? Masukkan Y untuk melanjutkan.

Do you agree with this license? [y/n]: y

Kemudian buat kredensial untuk akun administrator, kata sandi Anda harus berisi setidaknya 8 karakter ASCII yang dapat dicetak.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Jika semua file yang diinstal masih utuh dan semua pemeriksaan awal berhasil, daemon server splunk (splunkd) akan dimulai, kunci pribadi RSA 2048 bit akan dibuat dan Anda dapat mengakses antarmuka web splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Selanjutnya, buka port 8000 yang didengarkan server Splunk, di firewall Anda menggunakan firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Buka browser web dan ketik URL berikut untuk mengakses antarmuka web splunk.

http://SERVER_IP:8000

Untuk login, gunakan Nama Pengguna: admin dan kata sandi yang Anda buat saat proses instalasi.

7. Setelah login berhasil, Anda akan diarahkan ke konsol admin splunk yang ditunjukkan pada tangkapan layar berikut. Untuk memantau file log, misalnya /var/log/secure, klik Tambahkan Data.

8. Lalu klik Monitor untuk menambahkan data dari file.

9. Dari antarmuka berikutnya, pilih File & Direktori.

10. Kemudian siapkan instance untuk memantau data pada file dan direktori. Untuk memantau semua objek dalam direktori, pilih direktori. Untuk memantau satu file, pilih file tersebut. Klik Jelajahi untuk memilih sumber data.

11. Daftar direktori di direktori root(/) Anda akan ditampilkan kepada Anda, navigasikan ke file log yang ingin Anda pantau (/var/log /aman) dan klik Pilih.

12. Setelah memilih sumber data, pilih Terus Pantau untuk melihat file log tersebut dan klik Berikutnya untuk menyetel jenis sumber.

13. Selanjutnya, tetapkan jenis sumber untuk sumber data Anda. Untuk file log pengujian (/var/log/secure), kita perlu memilih Sistem Operasi→linux_secure; ini membuat splunk mengetahui bahwa file tersebut berisi pesan terkait keamanan dari sistem Linux. Lalu klik Berikutnya untuk melanjutkan.

14. Secara opsional, Anda dapat menyetel parameter masukan tambahan untuk masukan data ini. Pada Konteks aplikasi, pilih Penelusuran & Pelaporan. Lalu klik Tinjau. Setelah meninjau, klik Kirim.

15. Sekarang input file Anda telah berhasil dibuat. Klik Mulai Pencarian untuk mencari data Anda.

16. Untuk melihat semua masukan data Anda, buka Pengaturan→Data→Input Data. Kemudian klik jenis yang ingin Anda lihat misalnya File & Direktori.

17. Berikut ini adalah perintah tambahan untuk mengelola (memulai ulang atau menghentikan) daemon splunk.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Mulai sekarang, Anda dapat menambahkan lebih banyak sumber data (lokal atau jarak jauh menggunakan Splunk Forwarder), menjelajahi data Anda dan/atau menginstal aplikasi Splunk untuk meningkatkan fungsi defaultnya. Anda dapat berbuat lebih banyak dengan membaca dokumentasi splunk yang disediakan di situs resminya.

Beranda Splunk: https://www.splunk.com/

Itu saja untuk saat ini! Splunk adalah perangkat lunak pengelolaan log perusahaan real-time yang kuat, kuat, dan terintegrasi penuh. Pada artikel ini, kami menunjukkan cara menginstal versi terbaru penganalisis log Splunk di CentOS 7. Jika Anda memiliki pertanyaan atau pemikiran untuk dibagikan, gunakan formulir komentar di bawah untuk menghubungi kami.