Pesquisa de site

Como instalar o Splunk Log Analyzer no CentOS 7

Splunk é um software poderoso, robusto e totalmente integrado para gerenciamento de log corporativo em tempo real para coletar, armazenar, pesquisar, diagnosticar e relatar qualquer log e dados gerados por máquina, incluindo estruturados, não estruturados e complexos logs de aplicativos multilinha.

Ele permite coletar, armazenar, indexar, pesquisar, correlacionar, visualizar, analisar e relatar quaisquer dados de log ou dados gerados por máquina de forma rápida e repetível, para identificar e resolver problemas operacionais e de segurança.

Além disso, o splunk oferece suporte a uma ampla variedade de casos de uso de gerenciamento de log, como consolidação e retenção de log, segurança, solução de problemas de operações de TI, solução de problemas de aplicativos, bem como relatórios de conformidade e muito mais.

Recursos do Splunk:

  • É facilmente escalonável e totalmente integrado.
  • Suporta fontes de dados locais e remotas.
  • Permite indexar dados da máquina.
  • Suporta pesquisa e correlação de quaisquer dados.
  • Permite que você faça drill down e up e dinamize os dados.
  • Suporta monitoramento e alertas.
  • Também oferece suporte a relatórios e painéis para visualização.
  • Fornece acesso flexível a bancos de dados relacionais, dados delimitados por campos em arquivos de valores separados por vírgula (.CSV) ou a outros armazenamentos de dados corporativos, como Hadoop ou NoSQL.
  • Suporta uma ampla variedade de casos de uso de gerenciamento de log e muito mais.

Neste artigo, mostraremos como instalar a versão mais recente do analisador de log Splunk e como adicionar um arquivo de log (fonte de dados) e pesquisar eventos nele no CentOS 7 (também funciona na distribuição RHEL).

Requisitos de sistema recomendados:

  1. Um servidor CentOS 7 ou servidor RHEL 7 com instalação mínima.
  2. Mínimo de 12 GB de RAM

Ambiente de teste:

  1. Linode VPS com instalação mínima do CentOS 7.

Instale o Splunk Log Analyzer para monitorar os logs do CentOS 7

1. Acesse o site do Splunk, crie uma conta e obtenha a versão mais recente disponível para o seu sistema na página de download do Splunk Enterprise. Pacotes RPM estão disponíveis para Red Hat, CentOS e versões semelhantes do Linux.

Alternativamente, você pode baixá-lo diretamente através do navegador da web ou obter o link de download e usar wget commandv para obter o pacote através da linha de comando, conforme mostrado.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Depois de baixar o pacote, instale o Splunk Enterprise RPM no diretório padrão /opt/splunk usando o gerenciador de pacotes RPM conforme mostrado .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Em seguida, use a interface de linha de comando (CLI) do Splunk Enterprise para iniciar o serviço.

/opt/splunk/bin/./splunk start

Leia o CONTRATO DE LICENÇA DE SOFTWARE SPLUNK pressionando Enter. Depois de terminar de lê-lo, você será perguntado Você concorda com esta licença? Digite Y para continuar.

Do you agree with this license? [y/n]: y

Em seguida, crie credenciais para a conta de administrador. Sua senha deve conter pelo menos 8 caracteres ASCII imprimíveis no total.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Se todos os arquivos instalados estiverem intactos e todas as verificações preliminares forem aprovadas, o daemon do servidor splunk (splunkd) será iniciado, uma chave privada RSA de 2048 bits será gerada e você pode ser capaz de acessar a interface web do splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Em seguida, abra a porta 8000 na qual o servidor Splunk escuta, em seu firewall usando o firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Abra um navegador da web e digite o seguinte URL para acessar a interface da web do splunk.

http://SERVER_IP:8000

Para fazer login, use o nome de usuário: admin e a senha que você criou durante o processo de instalação.

7. Após um login bem-sucedido, você chegará ao console de administração do splunk mostrado na captura de tela a seguir. Para monitorar um arquivo de log, por exemplo /var/log/secure, clique em Adicionar dados.

8. Em seguida, clique em Monitor para adicionar dados de um arquivo.

9. Na próxima interface, escolha Arquivos e diretórios.

10. Em seguida, configure a instância para monitorar arquivos e diretórios em busca de dados. Para monitorar todos os objetos em um diretório, selecione o diretório. Para monitorar um único arquivo, selecione-o. Clique em Navegar para selecionar a fonte de dados.

11. Uma lista de diretórios em seu diretório root(/) será mostrada para você, navegue até o arquivo de log que deseja monitorar (/var/log /secure) e clique em Selecionar.

12. Depois de selecionar a fonte de dados, selecione Monitoramento contínuo para observar o arquivo de log e clique em Avançar para definir o tipo de fonte.

13. Em seguida, defina o tipo de fonte para sua fonte de dados. Para nosso arquivo de log de teste (/var/log/secure), precisamos selecionar Sistema Operacional→linux_secure; isso permite ao splunk saber que o arquivo contém mensagens relacionadas à segurança de um sistema Linux. Em seguida, clique em Avançar para prosseguir.

14. Opcionalmente, você pode definir parâmetros de entrada adicionais para esta entrada de dados. Em Contexto do aplicativo, selecione Pesquisa e relatórios. Em seguida, clique em Revisar. Após analisar, clique em Enviar.

15. Agora seu arquivo de entrada foi criado com sucesso. Clique em Iniciar pesquisa para pesquisar seus dados.

16. Para visualizar todas as suas entradas de dados, vá para Configurações→Dados→Entradas de dados. Em seguida, clique no tipo que deseja visualizar, por exemplo Arquivos e diretórios.

17. A seguir estão comandos adicionais para gerenciar (reiniciar ou parar) o daemon splunk.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

A partir de agora, você pode adicionar mais fontes de dados (locais ou remotas usando o Splunk Forwarder), explorar seus dados e/ou instalar aplicativos Splunk para aprimorar sua funcionalidade padrão. Você pode fazer mais lendo a documentação do splunk fornecida no site oficial.

Página inicial do Splunk: https://www.splunk.com/

Por enquanto é isso! Splunk é um software de gerenciamento de logs corporativos em tempo real, poderoso, robusto e totalmente integrado. Neste artigo, mostramos como instalar a versão mais recente do analisador de log Splunk no CentOS 7. Se você tiver alguma dúvida ou opinião para compartilhar, use o formulário de comentários abaixo para entrar em contato conosco.