网站搜索

如何在 CentOS 7 上安装 Splunk 日志分析器

Splunk 是一款功能强大、稳健且完全集成的软件,用于实时企业日志管理,用于收集、存储、搜索、诊断和报告任何日志和机器生成的数据,包括结构化、非结构化和复杂的数据多行应用程序日志。

它允许您以可重复的方式快速收集、存储、索引、搜索、关联、可视化、分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。

此外,splunk 支持广泛的日志管理用例,例如日志整合和保留、安全性、IT 操作故障排除、应用程序故障排除以及合规性报告等等。

斯普龙克特点:

  • 它易于扩展且完全集成。
  • 支持本地和远程数据源。
  • 允许索引机器数据。
  • 支持搜索和关联任何数据。
  • 允许您向下钻取、向上钻取以及跨数据进行旋转。
  • 支持监控和报警。
  • 还支持可视化报告和仪表板。
  • 提供对关系数据库、逗号分隔值 (.CSV) 文件中的字段分隔数据或其他企业数据存储(例如 Hadoop 或 NoSQL)的灵活访问。
  • 支持广泛的日志管理用例等等。

在本文中,我们将展示如何安装最新版本的 Splunk 日志分析器以及如何添加日志文件(数据源)并通过它搜索 CentOS 7 中的事件> (也适用于 RHEL 发行版)。

推荐系统要求:

  1. 具有最小安装的 CentOS 7 服务器或 RHEL 7 服务器。
  2. 最低 12GB 内存

测试环境:

  1. 采用 CentOS 7 最小安装的 Linode VPS。

安装Splunk日志分析器来监控CentOS 7日志

1. 转至 splunk 网站,创建帐户并从 Splunk Enterprise 下载页面获取适合您的系统的最新可用版本。 RPM 软件包可用于 Red Hat、CentOS 和类似版本的 Linux。

或者,您可以直接通过网络浏览器下载或获取下载链接,然后使用 wget commandv 通过命令行抓取包,如图所示。

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. 下载软件包后,使用 RPM 软件包管理器将 Splunk Enterprise RPM 安装在默认目录 /opt/splunk 中,如图所示。

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. 接下来,使用 Splunk Enterprise 命令行界面 (CLI) 启动服务。

/opt/splunk/bin/./splunk start

Enter 阅读 SPLUNK 软件许可协议。阅读完后,系统会询问您是否同意此许可证?输入 Y 继续。

Do you agree with this license? [y/n]: y

然后为管理员帐户创建凭据,您的密码必须至少包含 8 个可打印 ASCII 字符。

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4.如果所有安装的文件都完好无损并且所有初步检查都通过,则 splunk 服务器守护进程 (splunkd) 将启动,将生成 2048 位 RSA 私钥,您可以使用可以访问 splunk Web 界面。

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. 接下来,使用firewall-cmd 在防火墙中打开 Splunk 服务器侦听的端口 8000

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. 打开 Web 浏览器并键入以下 URL 以访问 splunk Web 界面。

http://SERVER_IP:8000

要登录,请使用用户名:admin 和您在安装过程中创建的密码。

7.成功登录后,您将登陆splunk管理控制台,如下图所示。要监视日志文件(例如 /var/log/secure),请单击添加数据

8. 然后单击监控以添加文件中的数据。

9.在下一个界面中,选择文件和目录

10. 然后设置实例来监视文件和目录中的数据。要监视目录中的所有对象,请选择该目录。要监视单个文件,请选择它。单击浏览选择数据源。

11. 将显示 root(/) 目录中的目录列表,导航到您要监控的日志文件 (/var/log /secure),然后单击选择

12.选择数据源后,选择连续监控以监视该日志文件,然后单击下一步设置源类型。

13. 接下来,设置数据源的源类型。对于我们的测试日志文件(/var/log/secure),我们需要选择操作系统→linux_secure;这让 splunk 知道该文件包含来自 Linux 系统的安全相关消息。然后单击下一步继续。

14.您可以选择为此数据输入设置其他输入参数。在应用上下文下,选择搜索和报告。然后点击审核。审核完毕后,点击提交

15. 现在您的文件输入已成功创建。单击开始搜索来搜索您的数据。

16. 要查看所有数据输入,请转至设置→数据→数据输入。然后单击您要查看的类型,例如文件和目录

17. 以下是用于管理(重新启动或停止)splunk 守护程序的附加命令。

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

从现在开始,您可以添加更多数据源(使用 Splunk Forwarder 进行本地或远程)、探索您的数据和/或安装 Splunk 应用程序以增强其默认功能。您可以通过阅读官网提供的 splunk 文档来完成更多操作。

Splunk 主页:https://www.splunk.com/

现在就是这样! Splunk 是一款功能强大、稳健且完全集成的实时企业日志管理软件。在本文中,我们展示了如何在 CentOS 7 上安装最新版本的 Splunk 日志分析器。如果您有任何问题或想法要分享,请使用下面的评论表与我们联系。