Splunk是一款功能強大,功能強大且完全集成的軟體,用於即時企業日誌管理,可收集,存儲,搜索,診斷和報告任何日誌和機器生成的資料,包括結構化,非結構化和複雜的多行應用程式日誌。
它允許您以可重複的方式快速,可重複地收集,存儲,索引,搜索,關聯,視覺化,分析和報告任何日誌資料或機器生成的資料,以識別和解決操作和安全問題。
此外,splunk還支援各種日誌管理用例,例如日誌整合和保留,安全性,IT操作故障排除,應用程式故障排除以及合規性報告等等。
Splunk特點:
- 它易於擴展和完全集成。
- 支援本地和遠端資料來源。
- 允許索引機器資料。
- 支援搜索和關聯任何資料。
- 允許您向下鑽取和向上鑽取資料。
- 支持監控和警報。
- 還支持用於視覺化的報告和儀錶板。
- 提供對關聯式資料庫的靈活訪問,以逗號分隔值(.CSV )檔或其他企業資料存儲(如Hadoop或NoSQL)的欄位分隔資料。
- 支援各種日誌管理用例等等。
在本文中,我們將展示如何安裝最新版本的Splunk日誌分析器以及如何添加日誌檔(資料來源)並在其中搜索CentOS 7中的事件(也適用於RHEL分發)。
1.下載linux版本splunk-7.3.2-c60db69f8e32-linux-2.6-x86_64.rpm
https://www.splunk.com/en_us/download/splunk-enterprise.html
2.安裝rpm包
# rpm -i splunk-7.3.2-c60db69f8e32-linux-2.6-x86_64.rpm warning: splunk-7.3.2-c60db69f8e32-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY useradd: cannot create directory /opt/splunk complete
3.啟動服務
# /opt/splunk/bin/./splunk start
4.按enter閱讀PLUNK SOFTWARE LICENSE AGREEMENT
Do you agree with this license? [y/n]: y
5.建立管理員帳號 密碼必須至少包含總共8個可打印ASCII字符
Create credentials for the administrator account. Characters do not appear on the screen when you type the password. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password:
6.安裝檢查都通過 會啟動splunk服務
All preliminary checks passed. Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ......................+++ .....+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=youcl/O=SplunkUser Getting CA Private Key writing RSA key Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available............. Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://youcl:8000
7.防火牆開啟8000 port
# firewall-cmd --add-port=8000/tcp --permanent # firewall-cmd --reload
8.瀏覽器開啟 http://:server_ip:8000
可以接收aws的來源來分析log
參考資料
https://cloud.google.com/solutions/exporting-stackdriver-logging-for-splunk?hl=zh-tw
https://aws.amazon.com/tw/quickstart/architecture/splunk-enterprise/