Huidige besturingssystemen hebben functionaliteiten die het mogelijk maken om elke situatie die zich voordoet vast te leggen; zowel met het besturingssysteem zelf als met zijn applicaties en interne componenten. Dit vergemakkelijkt alle taken die we als beheerders moeten uitvoeren binnen de ondersteunings-, audit- en foutpreventietaken.
Dankzij de gebeurtenislogboeken is het mogelijk om details te verkrijgen van het afsluiten, opnieuw opstarten of inloggen in het systeem, toegangen, editie van applicaties en elk van deze taken kan essentieel worden voor beheerprocedures, ongeacht de grootte van de organisatie.
Splunk is ontwikkeld als software met grote capaciteit, die kan worden geïntegreerd om het beheer van bedrijfsrecords in realtime uit te voeren om alle records of gegevens die door de server worden gegenereerd, te verzamelen, op te slaan, te doorzoeken, te diagnosticeren en te rapporteren. lijntoepassingslogboeken zijn ook inbegrepen; gestructureerd, ongestructureerd en complex.
Daarom zal Solvetic vandaag uitleggen wat Splunk is en hoe je het stap voor stap installeert en configureert op CentOS 7 op Linux.
Wat is Splunk?Splunk is een operationeel intelligentieplatform waarmee systeem- of netwerkbeheerders toegang hebben tot veel completere details over waarden en informatie waarmee het bedrijf productiever, winstgevender, concurrerender en veiliger kan zijn in alle aspecten, zowel intern als extern.
Splunk behandelt twee essentiële gebieden, namelijk:
operationele intelligentieDit stelt ons in staat om in realtime alles te begrijpen wat er gebeurt in IT-systemen en in de technologische infrastructuur om de juiste beslissingen te nemen, in verband met fouten en verbeteringen die moeten worden aangebracht, waarbij we streven naar het beste voordeel voor iedereen.
MachinegegevensDeze bevatten de records van alle activiteiten en gedragingen van onder meer klanten, gebruikers, transacties, applicaties, servers, netwerken en mobiele apparaten; waar configuraties, API-gegevens, berichtenwachtrijen en nog veel meer zijn inbegrepen.
Splunk-functiesOnder de functies die door dit platform worden aangeboden, hebben we:
Neem gegevens van alle apparatuurinformatieSplunk kan gegevens van het register en van de computer zelf van elke bron verzamelen en indexeren; zo wordt het mogelijk om de data op de computer te combineren met de data in de relationele databases, datawarehouses en datawarehouses Hadoop en NoSQL.
Open ontwikkelplatformOntwikkelaars kunnen nieuwe aangepaste Splunk-applicaties maken of Splunk-gegevens integreren in andere applicaties; wat ons de mogelijkheid geeft om het gebruik van het platform maximaal te schalen.
Enterprise-class architectuurSplunk is geschaald voor automatische load balancing en multi-site clustering om dagelijks honderden terabytes aan gegevens te ondersteunen om responstijden te optimaliseren en continue beschikbaarheid voor beheerders te bieden.
Splunkbase-apps en plug-insEr zijn Splunk-applicaties beschikbaar om optimaal te profiteren van het platform en zo uw winst te vergroten.
IndexerenSplunk indexeert de data in de IT-infrastructuur. Op deze manier wordt het mogelijk om gegevens te verkrijgen van websites, applicaties, servers, databases, besturingssystemen en nog veel meer.
ZoekenZoeken is het beste alternatief voor toegang tot gegevens in Splunk. Het is mogelijk om een zoekopdracht op te slaan als een rapport en deze te gebruiken om de dashboardpanelen te voeden. Bovendien bieden deze zoekopdrachten gegevensinformatie zoals metrische berekening, zoeken naar specifieke voorwaarden en meer.
WaarschuwingenSplunk alerts informeren ons wanneer zoek- en realtime resultaten voldoen aan de voorwaarden die op deze manier zijn geconfigureerd. Waarschuwingen kunnen worden geconfigureerd om acties te activeren, zoals het verzenden van waarschuwingsinformatie naar aangewezen e-mailadressen, het plaatsen van waarschuwingsinformatie naar een RSS-feed en het uitvoeren van een aangepast script indien nodig.
RapportenMet Splunk kunnen we zoekopdrachten en pivots opslaan als rapporten, om later rapporten als dashboards aan dashboards toe te voegen.
DraaipuntbeheerEen spil verwijst naar een tabel, grafiek of gegevensvisualisatie die is gemaakt met de Pivot Editor. Met de Pivot Editor kunnen gebruikers attributen toevoegen die zijn gedefinieerd door datamodelobjecten aan een tabel, grafiek of datavisualisatie zonder dat ze zoekopdrachten in de Search Processing Language (SPL) hoeven uit te voeren om ze te genereren.
BordenSplunk-dashboards bevatten dashboards van modules zoals zoekvakken, velden of grafieken voor het weergeven van zoek- en realtime resultaten.
systeem vereisten
De volgende besturingssystemen zijn vereist om Splunk te gebruiken:
- Solaris 10 en 11.
- PowerLinux, Little Endian kernel versie 2.6 en hoger.
- zLinux, kernelversie 2.6.
- FreeBSD 10 en 11.
- macOS 10.12 en 10.13.
- AIX 7.1 en 7.2.
- ARM-Linux.
- CentOS 7.
- Windows Server 2012, Server 2012 R2 en Server 2016.
- Windows 10.
1. Hoe Splunk op CentOS 7 Linux te installeren
Voor deze installatie hebben we twee opties:
Optie 1De eerste is om naar de Splunk-website te gaan, een account aan te maken en zo de nieuwste versie beschikbaar te maken voor distributie op de Splunk Enterprise-downloadpagina. RPM-pakketten zijn beschikbaar voor Red Hat, CentOS en vergelijkbare versies van Linux.
De officiële website is als volgt:
Optie 2
Stap 1
Als u deze methode niet wilt gebruiken, kunnen we de opdracht wget gebruiken om deze rechtstreeks naar het systeem te downloaden door de volgende opdracht uit te voeren:
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1 .2-a0c72a66db66-linux-2.6-x86_64.rpm & wget = waar '
Stap 2
Zodra het downloadproces van het pakket is voltooid, gaan we Splunk Enterprise RPM installeren in de standaardmap; dat is / opt / splunk met behulp van RPM-pakketbeheerder als volgt:
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
Stap 3
Nu gaan we de Splunk Enterprise command line interface (CLI) gebruiken om de service als volgt te starten:
sudo /opt/splunk/bin/./splunk startAllereerst moeten we de licentieovereenkomsten lezen:
Vervolgens moeten we de letter "y" invoeren om de voorwaarden van deze licentie te accepteren, we drukken op "Enter"
Stap 4
Nu moeten we het wachtwoord van de beheerdergebruiker toewijzen en bevestigen. Opnieuw drukken we op "Enter"
Stap 5
Het zal het Splunk setup- en installatieproces starten:
Stap 6
Als alle geïnstalleerde bestanden correct zijn en alle voorafgaande controles zijn geslaagd, zal de Splunk-serverdaemon (splunkd) starten en een 2048-bits RSA-privésleutel genereren. In het laatste deel zullen we zien hoe we toegang krijgen tot de Splunk-webinterface:
Stap 7
Vervolgens openen we poort 8000, waar de Splunk-server naar luistert, op de firewall met behulp van de firewall-cmd als volgt:
firewall-cmd --add-port = 8000 / tcp --permanente firewall-cmd --reload
2. Hoe toegang te krijgen tot Splunk op CentOS 7 Linux
Stap 1
Zodra dit is gebeurd, hebben we toegang tot de Splunk-interface met behulp van de volgende syntaxis:
http: // SERVER_IP: 8000In het weergegeven venster zullen we de gebruikersbeheerder en het wachtwoord invoeren dat we hebben gedefinieerd tijdens het reeds beschreven configuratieproces. Klik op "Aanmelden"
Stap 2
Dit wordt de initiële omgeving van de applicatie:
VERGROTEN
Stap 3
Om gegevens aan de monitor toe te voegen, klikt u op het gedeelte "Gegevens toevoegen" en we zullen het volgende zien. Daar klikken we op het gedeelte "Monitor".
Stap 4
In dit geval klikken we op de categorie "Bestanden en mappen"
Stap 5
In het volgende venster moeten we de instantie configureren om bestanden en mappen op gegevens te controleren.
Stap 6
Om alle objecten in een directory te controleren, selecteren we de betreffende directory. Als we een enkel bestand willen controleren, moet het worden geselecteerd door op "Bladeren" te klikken om de gegevensbron te selecteren, het volgende wordt weergegeven:
Stap 7
Klik gewoon op elke regel om alle submappen weer te geven waar we de gewenste zullen selecteren. Eenmaal geselecteerd, klikken we op de knop "Selecteren".
Stap 8
We zullen dit zien; nu klikken we bovenaan op de knop "Volgende".
VERGROTEN
Stap 9
We zullen de bewakingsinstellingen voor de geselecteerde gegevens definiëren. Zodra dit is gedefinieerd, klikt u op "Volgende".
VERGROTEN
Stap 10
Vervolgens zien we een samenvatting van het uitgevoerde proces, klik op "Verzenden" om de configuratie te laden.
VERGROTEN
Stap 11
Het volgende wordt weergegeven, om het monitoringproces te starten, klikt u op de knop "Start zoeken".
VERGROTEN
Stap 12
Het volgende wordt weergegeven, daar kunnen we elk evenement per categorie bekijken met de bijbehorende informatie.
VERGROTEN
Stap 13
Om alle gegevensinvoer te zien, moeten we naar:
- Instellingen.
- Gegevens toevoegen.
- Gegevensinvoer.
Dit wordt het resultaat:
VERGROTEN
Stap 14
Door op "Bestanden en mappen" te klikken, zien we de meest samengevatte gegevens:
VERGROTEN
Vanuit het gedeelte "Instellingen" kunnen we naar de categorie "Bewaking" gaan om meer precieze details van de server te zien:
VERGROTEN
Op deze manier is Splunk een allesomvattende oplossing om verschillende elementen van het systeem in realtime en met de beste configuratiefuncties te monitoren.
