Splunk簡介,部署,使用

簡介

Splunk是一款功能強大，功能強大且完全集成的軟件，用於實時企業日志管理，可收集，存儲，搜索，診斷和報告任何日志和機器生成的數據，包括結構化，非結構化和復雜的多行應用程序日志。
​

它允許您以可重復的方式快速，可重復地收集，存儲，索引，搜索，關聯，可視化，分析和報告任何日志數據或機器生成的數據，以識別和解決操作和安全問題。
​

此外，splunk還支持各種日志管理用例，例如日志整合和保留，安全性，IT操作故障排除，應用程序故障排除以及合規性報告等等;
​

特點

• 它易於擴展和完全集成;
• 支持本地和遠程數據源;
• 允許索引機器數據;
• 支持搜索和關聯任何數據;
• 允許您向下鑽取和向上鑽取數據;
• 支持監控和警報;
• 還支持用於可視化的報告和儀表板;
• 提供對關系數據庫的靈活訪問，以逗號分隔值（ .CSV ）文件或其他企業數據存儲（如Hadoop或NoSQL）的字段分隔數據;
• 支持各種日志管理用例等等;

部署

轉到splunk網站，創建一個帳戶並從Splunk Enterprise下載頁面獲取系統的最新可用版本。 RPM軟件包可用於Red Hat，CentOS和類似版本的Linux。

下載

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

安裝

下載軟件包后，使用RPM軟件包管理器將Splunk Enterprise RPM安裝在缺省目錄/opt/splunk中 
rpm -ivh splunk-8.2.0-e053ef3c985f-linux-2.6-x86_64.rpm 
warning: splunk-8.2.0-e053ef3c985f-linux-2.6-x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID b3cd4420: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:splunk-8.2.0-e053ef3c985f        ################################# [100%]
cp: cannot stat ‘/opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag’: No such file or directory
complete

啟動

/opt/splunk/bin/splunk start

按Enter鍵閱讀S PLUNK SOFTWARE LICENSE AGREEMENT 。 一旦您完成閱讀，您將被問到您是否同意此許可？ 輸入Y繼續。
​

Do you agree with this license? [y/n]: y
​

然后為管理員帳戶創建憑據，您的密碼必須至少包含8個可打印的ASCII字符。
​

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4.如果所有已安裝的文件都完好無損並且所有初步檢查都已通過，則將啟動splunk服務器守護程序（ splunkd ），將生成一個2048位RSA私鑰，您可以訪問splunk Web界面。

All preliminary checks passed.
Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=howtoing/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[  OK  ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://howtoing:8000

5.接下來，使用firewall-cmd在防火牆中打開Splunk服務器監聽的端口8000

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

使用

6.打開Web瀏覽器並鍵入以下URL以訪問splunk Web界面。
http://SERVER_IP:8000
​

要登錄，請使用用戶名： admin以及在安裝過程中創建的密碼。

7.成功登錄后，您將進入以下屏幕截圖中顯示的splunk管理控制台。 要監視日志文件，例如/var/log/secure ，請單擊“ 添加數據” 。
​

8.然后單擊Monitor以從文件中添加數據。

**Splunk監控數據文件**

9.從下一個界面中，選擇“ 文件和目錄”
​

選擇Splunk文件和目錄

10.然后設置實例以監視數據的文件和目錄。 要監視目錄中的所有對象，請選擇該目錄。 要監視單個文件，請選擇它。 單擊“ 瀏覽”以選擇數據源。
​

選擇要監視的Splunk實例
​

​

11.將顯示root(/)目錄中的目錄列表，導航到要監視的日志文件（ / var / log / secure ），然后單擊“ 選擇” 。
​

選擇監控數據文件

12.選擇數據源后，選擇Continuously Monitor以查看該日志文件，然后單擊Next以設置源類型
​

設置監視器數據源設置

13.接下來，設置數據源的源類型。 對於我們的測試日志文件(/var/log/secure) ，我們需要選擇Operating System→linux_secure ; 這讓splunk知道該文件包含來自Linux系統的安全相關消息。 然后單擊“ 下一步”繼續

設置數據源類型
​

14.您可以選擇為此數據輸入設置其他輸入參數。 在App上下文中 ，選擇“ 搜索和報告” 。 然后單擊Review 。 查看后，單擊“ 提交”