Splunk Log Analyzer te installeren op Ubuntu 18.04 LTS
Splunk is een krachtige log database die via een web-interface gebruikt kan worden voor het zoeken, bewaken en analyseren van door machines gegenereerde big data. Het is een zeer nuttig hulpmiddel voor het analyseren, onderzoeken en doorzoeken van gegevens. Je kunt met Splunk gemakkelijk massale gegevensstromen in real-time indexeren, doorzoeken, verzamelen en visualiseren vanuit een toepassing, webserver, database, serverplatform, Cloud-netwerk en nog veel meer.
Splunk bestaat uit drie hoofdcomponenten:
- Splunk Forwarder : Het wordt gebruikt voor het verzamelen van de logs.
- Splunk Indexer : Het wordt gebruikt voor het Parseren en Indexeren van de gegevens.
- Splunk Search Head : Biedt een webinterface voor het zoeken, analyseren en rapporteren.
In deze handleiding gaan we leren hoe je Splunk op een Ubuntu 18.04 LTS (Bionic Beaver) server kunt installeren.
Vereisten
- Een server met Ubuntu 18.04 op je systeem.
- Een niet-root gebruiker met sudo privileges.
Installeer Splunk
Splunk ondersteunt een breed scala van besturingssystemen, waaronder, Windows, Linux, FreeBSD, OSX, Solaris, AIX en nog veel meer. Je kunt de nieuwste versie van de Splunk downloaden van hun officiƫle website of het volgende commando gebruiken:
wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Als de download voltooid is, installeer je het gedownloade bestand met het volgende commando:
sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Als de installatie met succes voltooid is, zou je de volgende uitvoer moeten zien:
(Reading database ... 218552 files and directories currently installed.) Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ... Unpacking splunk (7.1.1) over (7.1.1) ... Setting up splunk (7.1.1) ... complete
Vervolgens moet je de Splunk service inschakelen om te starten bij het opstarten. Je kunt dit doen door het volgende commando uit te voeren:
sudo /opt/splunk/bin/splunk enable boot-start
Hier moet je akkoord gaan met de Licentieovereenkomst en admin wachtwoord opgeven zoals hieronder:
Splunk Software License Agreement 04.24.2018 Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password: Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 2048 bit long modulus ..................+++ ..............................................................................+++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 2048 bit long modulus .............+++ ...................................+++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Adding system startup for /etc/init.d/splunk ... /etc/rc0.d/K20splunk -> ../init.d/splunk /etc/rc1.d/K20splunk -> ../init.d/splunk /etc/rc6.d/K20splunk -> ../init.d/splunk /etc/rc2.d/S20splunk -> ../init.d/splunk /etc/rc3.d/S20splunk -> ../init.d/splunk /etc/rc4.d/S20splunk -> ../init.d/splunk /etc/rc5.d/S20splunk -> ../init.d/splunk Init script installed at /etc/init.d/splunk. Init script is configured to run at boot.
Start vervolgens Splunk service met het volgende commando:
sudo service splunk start
Je zou de volgende uitvoer moeten zien:
Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ............+++ ............................................................................................................................................+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=Node3/O=SplunkUser Getting CA Private Key unable to write 'random state' writing RSA key Done Waiting for web server at http://127.0.0.1:8000 to be available........ Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://Node3:8000
Toegang tot Splunk Web Interface
Splunk server draait nu en luistert op poort 8000. Open je webbrowser en typ de URL http://your-server-ip:8000, je wordt doorgestuurd naar de volgende pagina:
Geef hier je admin inloggegevens op, klik dan op de knop Sign In, je zou het Splunk dashboard in het volgende scherm moeten zien:
