Comment installer Splunk sur CentOS 7 Linux

{title}

Les systèmes d'exploitation actuels ont des fonctionnalités qui permettent d'enregistrer toutes les situations qui se produisent. à la fois avec le système d'exploitation lui-même et avec ses applications et composants internes. Cela facilite toutes les tâches que nous devons accomplir en tant qu'administrateurs dans les tâches de support, d'audit et de prévention des erreurs.

Grâce aux journaux d’événements, il est possible d’obtenir des détails sur les arrêts, les redémarrages ou les connexions au système, l’accès, l’édition des applications et chacune de ces tâches peuvent devenir indispensables aux efforts d’administration, quelle que soit la taille du système. organisation

Splunk a été développé comme un logiciel de grande capacité, qui peut être intégré pour gérer en temps réel les documents de l'entreprise afin de collecter, stocker, rechercher, diagnostiquer et rapporter tout enregistrement ou toute donnée généré par l'entreprise. les journaux d'applications de serveur et multilignes sont également inclus; structuré, non structuré et complexe.

C’est pourquoi, aujourd’hui, Solvetic expliquera ce qu'est Splunk et comment l’installer et le configurer sous CentOS 7 Linux étape par étape.

Qu'est-ce que Splunk?

Splunk est une plateforme de renseignement opérationnel qui permet aux administrateurs système ou réseau d’avoir accès à des informations beaucoup plus complètes sur les valeurs et les informations, ce qui permet à la société d’être plus productive, rentable, compétitive et sûre dans tous ses aspects. Interne comme externe.

Splunk gère deux domaines essentiels:

Renseignement opérationnel

Cela permet une compréhension en temps réel de tout ce qui se passe dans les systèmes informatiques et l'infrastructure technologique afin de prendre les bonnes décisions, associée aux erreurs et aux améliorations à apporter, dans la recherche du meilleur avantage pour tous.

Données de la machine

Ils contiennent des enregistrements de toutes les activités et de tous les comportements des clients, utilisateurs, transactions, applications, serveurs, réseaux et appareils mobiles, entre autres; où les configurations, les données d'API, les files de messages et bien d'autres aspects sont inclus.

Caractéristiques Splunk

Parmi les fonctionnalités offertes par cette plate-forme, nous avons:

Prendre des données de n'importe quelle information d'équipement

Splunk peut collecter et indexer le registre et les données d’équipe de n’importe quelle source; De cette manière, il sera possible de combiner les données de l'équipement avec celles des bases de données relationnelles, des magasins de données et des magasins de données Hadoop et NoSQL.

Plateforme de développement ouverte

Les développeurs peuvent créer de nouvelles applications Splunk personnalisées ou intégrer des données Splunk dans d'autres applications. ce qui nous donne la possibilité de maximiser l'utilisation de la plate-forme.

Architecture de classe affaires

Splunk a une échelle d'équilibrage automatique de la charge et de mise en cluster de plusieurs sites, afin de prendre en charge des centaines de téraoctets de données quotidiennement, d'optimiser ainsi les temps de réponse et de fournir une disponibilité continue aux administrateurs.

Applications et add-ons Splunkbase

Les applications Splunk sont disponibles pour tirer pleinement parti de la plate-forme et augmenter ainsi ses avantages.

Indexation

Splunk indexe les données de l'infrastructure informatique. De cette manière, il sera possible d'obtenir des données de sites Web, d'applications, de serveurs, de bases de données, de systèmes d'exploitation et bien plus encore.

Recherche

La recherche est la meilleure alternative pour accéder aux données dans Splunk. Il sera possible de sauvegarder une recherche sous forme de rapport et de l’utiliser pour alimenter les panneaux du tableau de bord. En outre, ces recherches offrent des informations de données telles que le calcul métrique, la recherche de conditions spécifiques, etc.

Les alertes

Les alertes Splunk nous avertissent lorsque les résultats de la recherche et en temps réel répondent également aux conditions configurées. Il est possible de configurer des alertes pour déclencher des actions telles que l'envoi d'informations d'alerte aux adresses électroniques désignées, la publication d'informations d'alerte dans un flux RSS et l'exécution d'un script personnalisé selon les besoins.

Les rapports

Splunk nous permet d’enregistrer les recherches et les pivots sous forme de rapports, puis d’ajouter des rapports aux tableaux de bord sous forme de panneaux.

Gestion de pivot

Un pivot fait référence à un tableau, graphique ou affichage de données créé avec l'éditeur de pivot. L'éditeur de tableau croisé dynamique permet aux utilisateurs d'ajouter des attributs définis par des objets de modèle de données à un tableau, un graphique ou une visualisation de données sans avoir à effectuer de recherches dans le langage de traitement de recherche (SPL) pour les générer.

Conseils

Les tableaux Splunk contiennent des panneaux de modules tels que des champs de recherche, des champs ou des graphiques afin d’afficher les résultats de la recherche en temps réel.

Configuration requise
Les systèmes d'exploitation suivants sont requis pour utiliser Splunk:

  • Solaris 10 et 11.
  • PowerLinux, noyau Little Endian version 2.6 et ultérieure.
  • zLinux, version 2.6 du noyau.
  • FreeBSD 10 et 11.
  • macOS 10.12 et 10.13.
  • AIX 7.1 et 7.2.
  • ARM Linux
  • CentOS 7.
  • Windows Server 2012, Server 2012 R2 et Server 2016.
  • Windows 10

1. Comment installer Splunk sur CentOS 7 Linux


Pour cette installation, nous avons deux options:

Option 1

La première consiste à accéder au site Web de Splunk, à créer un compte et à obtenir ainsi la dernière version disponible pour la distribution de la page de téléchargement de Splunk Enterprise. Les packages RPM sont disponibles pour Red Hat, CentOS et des versions similaires de Linux.

Le site officiel est le suivant:

Splunk

Option 2
Étape 1
Si vous ne souhaitez pas utiliser cette méthode, nous pouvons utiliser la commande wget pour la télécharger directement sur le système en exécutant la commande suivante:

 wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk=foss=fr .2-a0c72a66db66-linux-2.6-x86_64.rpm & wget = true ' 

{title}

Étape 2
Une fois le processus de téléchargement du paquet terminé, nous installerons Splunk Enterprise RPM dans le répertoire par défaut. qui est / opt / splunk en utilisant le gestionnaire de paquets RPM comme suit:

 rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 

{title}

Étape 3
Nous allons maintenant utiliser l'interface de ligne de commande Splunk Enterprise pour démarrer le service de la manière suivante:

 sudo /opt/splunk/bin/./splunk start 
Tout d’abord, nous devrons lire les contrats de licence:

{title}

Ensuite, nous devons entrer la lettre "y" pour accepter les termes de cette licence, appuyez sur "Entrée"

{title}

Étape 4
Nous devons maintenant attribuer et confirmer le mot de passe de l'utilisateur administrateur. Appuyez sur "Entrée" à nouveau

{title}

Étape 5
Le processus de configuration et d'installation de Splunk va commencer:

{title}

Étape 6
Si tous les fichiers installés sont corrects et que toutes les vérifications préliminaires sont réussies, le démon de serveur Splunk (splunkd) sera démarré, ce qui générera une clé privée RSA de 2 048 bits. Dans la dernière partie, nous verrons comment accéder à l'interface Web de Splunk:

{title}

Étape 7
Ensuite, nous allons ouvrir le port 8000, qui écoute le serveur Splunk, sur le pare-feu en utilisant firewall-cmd comme suit:

 firewall-cmd --add-port = 8000 / tcp --permanent firewall-cmd --reload 

{title}

2. Comment accéder à Splunk sous CentOS 7 Linux


Étape 1
Une fois cela fait, nous accéderons à l’interface Splunk en utilisant la syntaxe suivante:
 http: // IP_SERVIDOR: 8000 
Dans la fenêtre affichée, nous entrerons l'utilisateur admin et le mot de passe que nous avons défini lors du processus de configuration déjà décrit. Cliquez sur "Connexion"

{title}

Étape 2
Ce sera l'environnement d'application initial:

{title}

Étape 3
Pour ajouter des données à surveiller, cliquez sur la section "Ajouter des données" et voyez ce qui suit. Là on clique sur la section "Surveiller".

{title}

Étape 4
Dans ce cas, nous allons cliquer sur la catégorie "Fichiers et répertoires"

{title}

Étape 5
Dans la fenêtre suivante, nous devons configurer l'instance pour surveiller les fichiers et les répertoires des données.

{title}

Étape 6
Pour surveiller tous les objets d'un répertoire, nous allons sélectionner le répertoire respectif. Si nous voulons surveiller un seul fichier, il sera nécessaire de le sélectionner en cliquant sur "Parcourir" pour sélectionner la source de données. Les informations suivantes seront affichées:

{title}

Étape 7
Cliquez simplement sur chaque ligne pour afficher tous ses sous-répertoires où nous sélectionnerons celui que vous souhaitez. Une fois sélectionné, cliquez sur le bouton "Sélectionner".

{title}

Étape 8
Nous verrons cela. Maintenant, nous cliquons sur le bouton "Suivant" en haut.

{title}

Étape 9
Nous définirons la configuration de surveillance des données sélectionnées. Une fois cela défini, cliquez sur "Suivant".

{title}

Étape 10
Ensuite, nous verrons un résumé du processus exécuté, cliquez sur "Soumettre" pour charger la configuration.

{title}

Étape 11
Le message suivant s'affiche. Pour démarrer le processus de surveillance, cliquez sur le bouton "Lancer la recherche".

{title}

Étape 12
Ce qui suit sera affiché, on peut voir chaque événement par catégorie avec leurs informations respectives.

{title}

Étape 13
Pour voir toutes les données saisies, il faut aller à:

  • Paramètres
  • Ajouter des données
  • Entrées de données
Ensuite, nous allons cliquer sur le type de vue pour voir, par exemple, "Fichiers et répertoires", "TCP", etc.:

{title}

Ce sera le résultat:

{title}

Étape 14
En cliquant sur "Fichiers et répertoires", nous verrons les données les plus résumées:

{title}

Dans la section "Paramètres", vous pouvez accéder à la catégorie "Surveillance" afin d'afficher des informations plus précises sur le serveur:

{title}

De cette manière, Splunk est une solution intégrale pour la surveillance de divers éléments du système en temps réel et avec les meilleures fonctionnalités de configuration.