Cómo instalar Splunk en Ubuntu 18.04

En este artículo, explicaré cómo instalar la última versión de Splunk en el servidor Ubuntu 18.04. Splunk tiene como objetivo procesar los datos para que sean útiles para el usuario sin manipular los datos originales. Es una de las herramientas más poderosas para analizar, explorar y buscar datos. Es una de las formas más fáciles de indexar, buscar, recopilar y visualizar flujos de datos masivos en tiempo real desde la aplicación, servidores web, bases de datos, plataformas de servidores, Cloud-redes y muchos más.

Arquitectura de Splunk

Hay tres componentes principales en Splunk, como se muestra a continuación:

  1. Promotor de Splunk
  2. Indexador de Splunk
  3. Cabezal de búsqueda Splunk

Como puede ver, Splunk Forwarder se utiliza para el reenvío de datos. Es el componente que se utiliza para recopilar los registros. Splunk Indexer es el que se utiliza para analizar e indexar los datos. La instancia de Splunk transforma los datos entrantes en eventos y los almacena en índices para realizar operaciones de búsqueda de manera eficiente. Por último, el cabezal de búsqueda de Splunk, que es una interfaz gráfica que se utiliza para buscar, analizar y generar informes.

Instalación de Splunk en Ubuntu 18.04

Cree una cuenta de Splunk y descargue el software Splunk Enterprise desde su sitio web oficial aquí.

Ahora cargue el archivo descargado en su servidor Ubuntu 18.04 y colóquelo en un directorio temporal. A continuación, podemos ejecutar el dpkg comando para instalar el servidor Splunk.

# dpkg -i splunk-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb
 Selecting previously unselected package splunk.
 (Reading database ... 66600 files and directories currently installed.)
 Preparing to unpack splunk-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb ...
 Unpacking splunk (7.1.0) ...
 Setting up splunk (7.1.0) ...
 complete

En segundo lugar, necesitamos crear el init.d script para que podamos iniciar y detener Splunk fácilmente. Cambie al directorio binario de Splunk en /optar/splunk/compartimiento/ y ejecute el ejecutable de Splunk con los siguientes argumentos.

#cd /opt/splunk/bin/
# ./splunk enable boot-start

Splunk Software License Agreement 04.24.2018

Do you agree with this license? [y/n]: y
Do you agree with this license? [y/n]: y

This appears to be your first time running this version of Splunk.

An Admin password must be set before installation proceeds.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
.......+++
................+++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 2048 bit long modulus
.............................................................+++
............+++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

Durante este proceso, puede Press the Spacebar para revisar el acuerdo de licencia y luego escribir Y para aceptarlo como se muestra en los registros de instalación. Finalmente, podemos iniciar el servicio Splunk con el siguiente comando:

# service splunk start

Ahora puede acceder a su interfaz web de Splunk en https://Server-IP:8000/ or https://Server-hostname:8000 . Debe asegurarse de que este puerto 8000 esté abierto en el firewall de su servidor.

Puede proporcionar el admin credenciales de inicio de sesión creadas durante la fase de instalación para acceder a la interfaz GUI de Splunk. Una vez que haya iniciado sesión, tendrá su Tablero de Splunk listo para usar.

Hay diferentes categorías enumeradas en la página de inicio. Puede elegir el requerido y comenzar a hacer Splunking.

Agregar una tarea

Estoy agregando un example para una tarea sencilla que se ha agregado al sistema Splunk. Solo vea mis instantáneas para comprender cómo lo agregué. Mi tarea es agregar / var / log carpeta al sistema Splunk para su seguimiento.

Paso 1:

Abra la interfaz web de Splunk y elija la opción Agregar datos para comenzar.

Paso 2:

La pestaña Agregar datos se abre con tres opciones: cargar, monitorear y reenviar. Cada opción se explica por sí misma con una breve descripción del propósito. Aquí nuestra tarea es monitorear una carpeta, así que seguimos adelante con Monitor.

En la opción Monitor, hay cuatro categorías como se muestra a continuación:

Files & Directories: Para monitorear archivos / carpetas

HTTP Event Collector: Supervisar flujos de datos a través de HTTP

TCP/ UDP: Supervisar el tráfico a través de los puertos TCP / UDP

Scripts: Supervisar comandos o scripts personalizados

Paso 3:

Según nuestro propósito, elijo el Files & Directories opción.

Etapa 4:

Ahora, estoy navegando por la ruta exacta de la carpeta. /var/log desde el servidor para monitorear. Una vez que seleccione la configuración, puede hacer clic en Siguiente y revisar.

Una vez revisada toda la configuración, puede hacer clic en 'Submit' para concluir.

Paso 5:

Ahora ha agregado con éxito su fuente de datos a Splunk para su monitoreo. Puede comenzar a buscar y monitorear el archivo de registro según sea necesario. He reducido los registros a Apache aplicación en el servidor.

Esto es solo un simple example para Splunking, puede agregar tantas tareas a esto y explorar los datos de su servidor local o remoto. También le proporciona herramientas para crear tablas y visualizaciones usando múltiples campos y métricas dependiendo de su análisis de registro.

Lea también:

  • Cómo instalar Splunk en CentOS 7
  • Amoladora angular: herramienta para formatear y analizar archivos de registro en Linux

Splunk es un absoluto admin solución para el procesamiento de registros. Es una herramienta de análisis y recopilación de registros definitiva. Espero que este artículo sea informativo y útil para ti. Recomiendo sus valiosas sugerencias y comentarios al respecto. Feliz spunking !!