Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。
它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。
此外,splunk还支持各种日志管理用例,例如日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告等等。
Splunk特点:
- 它易于扩展和完全集成。
- 支持本地和远程数据源。
- 允许索引机器数据。
- 支持搜索和关联任何数据。
- 允许您向下钻取和向上钻取数据。
- 支持监控和警报。
- 还支持用于可视化的报告和仪表板。
- 提供对关系数据库的灵活访问,以逗号分隔值( .CSV )文件或其他企业数据存储(如Hadoop或NoSQL)的字段分隔数据。
- 支持各种日志管理用例等等。
在本文中,我们将展示如何安装最新版本的Splunk日志分析器以及如何添加日志文件(数据源)并在其中搜索CentOS 7中的事件(也适用于RHEL分发)。
推荐的系统要求:
- 具有最小安装的CentOS 7服务器或RHEL 7服务器 。
- 最低12GB RAM
测试环境:
- Linode VPS与CentOS 7最小安装。
安装Splunk Log Analyzer以监控CentOS 7日志
1.转到splunk网站,创建一个帐户并从Splunk Enterprise下载页面获取系统的最新可用版本。 RPM软件包可用于Red Hat,CentOS和类似版本的Linux。
或者,您可以直接通过Web浏览器下载它或获取下载链接,并使用wget命令 v通过命令行获取程序包,如图所示。
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2.下载软件包后,使用RPM软件包管理器将Splunk Enterprise RPM安装在缺省目录/ opt / splunk中 ,如图所示。
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY useradd: cannot create directory /opt/splunk complete
3.接下来,使用Splunk Enterprise命令行界面(CLI)启动该服务。
# /opt/splunk/bin/./splunk start
按Enter键阅读S PLUNK SOFTWARE LICENSE AGREEMENT 。 一旦您完成阅读,您将被问到您是否同意此许可? 输入Y
继续。
Do you agree with this license? [y/n]: y
然后为管理员帐户创建凭据,您的密码必须至少包含8个可打印的ASCII字符。
Create credentials for the administrator account. Characters do not appear on the screen when you type the password. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password:
4.如果所有已安装的文件都完好无损并且所有初步检查都已通过,则将启动splunk服务器守护程序( splunkd ),将生成一个2048位RSA私钥,您可以访问splunk Web界面。
All preliminary checks passed. Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ......................+++ .....+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=youcl/O=SplunkUser Getting CA Private Key writing RSA key Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available............. Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://youcl:8000
5.接下来,使用firewall-cmd在防火墙中打开Splunk服务器监听的端口8000 。
# firewall-cmd --add-port=8000/tcp --permanent # firewall-cmd --reload
6.打开Web浏览器并键入以下URL以访问splunk Web界面。
http://SERVER_IP:8000
要登录,请使用用户名: admin以及在安装过程中创建的密码。
Splunk登录页面
7.成功登录后,您将进入以下屏幕截图中显示的splunk管理控制台。 要监视日志文件,例如/var/log/secure
,请单击“ 添加数据” 。
Splunk添加数据
8.然后单击Monitor以从文件中添加数据。
Splunk监控数据文件
9.从下一个界面中,选择“ 文件和目录” 。
选择Splunk文件和目录
10.然后设置实例以监视数据的文件和目录。 要监视目录中的所有对象,请选择该目录。 要监视单个文件,请选择它。 单击“ 浏览”以选择数据源。
选择要监视的Splunk实例
11.将显示root(/)
目录中的目录列表,导航到要监视的日志文件( / var / log / secure ),然后单击“ 选择” 。
选择监控数据源
选择监控数据文件
12.选择数据源后,选择Continuously Monitor以查看该日志文件,然后单击Next以设置源类型。
设置监视器数据源设置
13.接下来,设置数据源的源类型。 对于我们的测试日志文件(/var/log/secure)
,我们需要选择Operating System→linux_secure ; 这让splunk知道该文件包含来自Linux系统的安全相关消息。 然后单击“ 下一步”继续。
设置数据源类型
14.您可以选择为此数据输入设置其他输入参数。 在App上下文中 ,选择“ 搜索和报告” 。 然后单击Review 。 查看后,单击“ 提交” 。
设置其他输入设置
查看数据源设置
15.现在您的文件输入已成功创建。 单击开始搜索以搜索数据。
开始搜索数据
监控数据源报告
16.要查看所有数据输入,请转至设置→数据→数据输入 。 然后单击要查看的类型,例如“ 文件和目录” 。
Splunk数据输入
查看所有数据输入
17.以下是管理(重新启动或停止)splunk守护程序的其他命令。
# /opt/splunk/bin/./splunk restart # /opt/splunk/bin/./splunk stop
从现在开始,您可以使用Splunk Forwarder添加更多数据源(本地或远程),浏览数据和/或安装Splunk应用程序以增强其默认功能。 您可以通过阅读官方网站上提供的splunk文档来完成更多工作。
Splunk主页 : https : //www.splunk.com/
这就是现在! Splunk是一款功能强大,功能强大且完全集成的实时企业日志管理软件。 在本文中,我们展示了如何在CentOS 7上安装最新版本的Splunk日志分析器。如果您有任何疑问或想法要分享,请使用下面的评论表与我们联系。