CentOS 7 に Splunk Log Analyzer をインストールする方法
Splunk は、リアルタイムのエンタープライズ ログ管理のための強力で堅牢な完全に統合されたソフトウェアで、構造化データ、非構造化データ、複雑なデータなど、あらゆるログや機械生成データを収集、保存、検索、診断、レポートできます。複数行のアプリケーション ログ。
これにより、ログ データや機械生成データを迅速かつ反復可能な方法で収集、保存、インデックス付け、検索、関連付け、視覚化、分析、レポートし、運用上およびセキュリティ上の問題を特定して解決できます。
さらに、splunk は、ログの統合と保持、セキュリティ、IT 運用のトラブルシューティング、アプリケーションのトラブルシューティング、コンプライアンスレポートなど、幅広いログ管理のユースケースをサポートしています。
Splunk の機能:
- 簡単に拡張でき、完全に統合されています。
- ローカルとリモートの両方のデータ ソースをサポートします。
- マシンデータのインデックス作成を可能にします。
- あらゆるデータの検索と関連付けをサポートします。
- データ全体をドリルダウンおよびドリルアップし、ピボットすることができます。
- 監視とアラートをサポートします。
- 視覚化のためのレポートとダッシュボードもサポートします。
- リレーショナル データベース、カンマ区切り値 (.CSV) ファイルのフィールド区切りデータ、または Hadoop や NoSQL などの他のエンタープライズ データ ストアへの柔軟なアクセスを提供します。
- 幅広いログ管理のユースケースなどをサポートします。
この記事では、Splunk ログ アナライザーの最新バージョンをインストールする方法と、CentOS 7 でログ ファイル (データ ソース) を追加してそのファイルを通じてイベントを検索する方法を説明します。 > (RHEL ディストリビューションでも動作します)。
推奨システム要件:
- 最小限のインストールが行われた CentOS 7 サーバーまたは RHEL 7 サーバー。
- 最小 12GB RAM
テスト環境:
- CentOS 7 の最小インストールを備えた Linode VPS。
Splunk Log Analyzer をインストールして CentOS 7 ログを監視する
1. Splunk Web サイトにアクセスしてアカウントを作成し、Splunk Enterprise ダウンロード ページからシステムで利用可能な最新バージョンを取得します。 RPM パッケージは、Red Hat、CentOS、および同様のバージョンの Linux で利用できます。
あるいは、Web ブラウザー経由で直接ダウンロードするか、ダウンロード リンクを取得し、wget commandv を使用してコマンド ライン経由でパッケージを取得することもできます (図を参照)。
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. パッケージをダウンロードしたら、次に示すように RPM パッケージ マネージャーを使用して、Splunk Enterprise RPM をデフォルト ディレクトリ /opt/splunk にインストールします。 。
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete
3. 次に、Splunk Enterprise コマンドライン インターフェイス (CLI) を使用してサービスを開始します。
/opt/splunk/bin/./splunk start
Enter を押して、SPLUNK ソフトウェア使用許諾契約を最後までお読みください。読み終わると、「このライセンスに同意しますか?」と尋ねられます。続行するには、Y
を入力してください。
Do you agree with this license? [y/n]: y
次に、管理者アカウントの資格情報を作成します。パスワードには、印刷可能な合計 8 文字以上の ASCII 文字が含まれている必要があります。
Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
4. インストールされているすべてのファイルが損傷しておらず、すべての事前チェックに合格した場合、Splunk サーバー デーモン (splunkd) が起動され、2048 ビット RSA 秘密キーが生成され、 Splunk Web インターフェイスにアクセスできるようになります。
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://tecmint:8000
5. 次に、firewall-cmd を使用して、ファイアウォールで Splunk サーバーがリッスンするポート 8000 を開きます。
firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload
6. Web ブラウザを開き、次の URL を入力して Splunk Web インターフェイスにアクセスします。
http://SERVER_IP:8000
ログインするには、ユーザー名: admin と、インストール プロセス中に作成したパスワードを使用します。
7. ログインに成功すると、次のスクリーンショットに示す Splunk 管理コンソールが表示されます。ログ ファイル (/var/log/secure
など) を監視するには、[データの追加] をクリックします。
8. 次に、[モニター] をクリックしてファイルからデータを追加します。
9. 次のインターフェースで、ファイルとディレクトリを選択します。
10. 次に、ファイルとディレクトリのデータを監視するようにインスタンスをセットアップします。ディレクトリ内のすべてのオブジェクトを監視するには、ディレクトリを選択します。単一のファイルを監視するには、そのファイルを選択します。 [参照] をクリックしてデータ ソースを選択します。
11. root(/)
ディレクトリ内のディレクトリのリストが表示されます。監視するログ ファイル (/var/log) に移動します。 /secure) を選択し、選択をクリックします。
12. データ ソースを選択したら、[継続的に監視] を選択してログ ファイルを監視し、[次へ] をクリックしてソース タイプを設定します。
13. 次に、データ ソースのソース タイプを設定します。テスト ログ ファイル (/var/log/secure)
の場合は、Operating System→linux_secure を選択する必要があります。これにより、ファイルに Linux システムからのセキュリティ関連メッセージが含まれていることを Splunk に知らせます。次に、[次へ] をクリックして続行します。
14. 必要に応じて、このデータ入力に対して追加の入力パラメータを設定できます。 [アプリのコンテキスト] で [検索とレポート] を選択します。次に [レビュー] をクリックします。確認したら、[送信] をクリックします。
15. これで、ファイル入力が正常に作成されました。データを検索するには、[検索開始] をクリックします。
16. すべてのデータ入力を表示するには、[設定]→[データ]→[データ入力]に移動します。次に、ファイルとディレクトリなど、表示するタイプをクリックします。
17. 以下は、splunk デーモンを管理 (再起動または停止) するための追加のコマンドです。
/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop
今後は、さらにデータ ソース (ローカルまたはSplunk フォワーダー を使用したリモート) を追加したり、データを探索したり、デフォルト機能を強化するために Splunk アプリをインストールしたりすることができます。公式 Web サイトで提供されている Splunk ドキュメントを読むことで、さらに多くのことを行うことができます。
Splunk ホームページ: https://www.splunk.com/
今のところはここまでです! Splunk は、強力かつ堅牢で完全に統合されたリアルタイムのエンタープライズ ログ管理ソフトウェアです。この記事では、Splunk ログ アナライザーの最新バージョンを CentOS 7 にインストールする方法を説明しました。ご質問や共有したい考えがある場合は、以下のコメント フォームを使用してご連絡ください。