Splunk Log Analyzer te installeren op Ubuntu 18.04 LTS

Splunk is een krachtige log database die via een web-interface gebruikt kan worden voor het zoeken, bewaken en analyseren van door machines gegenereerde big data. Het is een zeer nuttig hulpmiddel voor het analyseren, onderzoeken en doorzoeken van gegevens. Je kunt met Splunk gemakkelijk massale gegevensstromen in real-time indexeren, doorzoeken, verzamelen en visualiseren vanuit een toepassing, webserver, database, serverplatform, Cloud-netwerk en nog veel meer.

Splunk bestaat uit drie hoofdcomponenten:

  1. Splunk Forwarder : Het wordt gebruikt voor het verzamelen van de logs.
  2. Splunk Indexer : Het wordt gebruikt voor het Parseren en Indexeren van de gegevens.
  3. Splunk Search Head : Biedt een webinterface voor het zoeken, analyseren en rapporteren.

In deze handleiding gaan we leren hoe je Splunk op een Ubuntu 18.04 LTS (Bionic Beaver) server kunt installeren.

Vereisten

  • Een server met Ubuntu 18.04 op je systeem.
  • Een niet-root gebruiker met sudo privileges.

Installeer Splunk

Splunk ondersteunt een breed scala van besturingssystemen, waaronder, Windows, Linux, FreeBSD, OSX, Solaris, AIX en nog veel meer. Je kunt de nieuwste versie van de Splunk downloaden van hun officiƫle website of het volgende commando gebruiken:

wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb

Als de download voltooid is, installeer je het gedownloade bestand met het volgende commando:

sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb

Als de installatie met succes voltooid is, zou je de volgende uitvoer moeten zien:

(Reading database ... 218552 files and directories currently installed.)
Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ...
Unpacking splunk (7.1.1) over (7.1.1) ...
Setting up splunk (7.1.1) ...
complete

Vervolgens moet je de Splunk service inschakelen om te starten bij het opstarten. Je kunt dit doen door het volgende commando uit te voeren:

sudo /opt/splunk/bin/splunk enable boot-start

Hier moet je akkoord gaan met de Licentieovereenkomst en admin wachtwoord opgeven zoals hieronder:

Splunk Software License Agreement 04.24.2018

Do you agree with this license? [y/n]: y

This appears to be your first time running this version of Splunk.

An Admin password must be set before installation proceeds.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
..................+++
..............................................................................+++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 2048 bit long modulus
.............+++
...................................+++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.
 Adding system startup for /etc/init.d/splunk ...
   /etc/rc0.d/K20splunk -> ../init.d/splunk
   /etc/rc1.d/K20splunk -> ../init.d/splunk
   /etc/rc6.d/K20splunk -> ../init.d/splunk
   /etc/rc2.d/S20splunk -> ../init.d/splunk
   /etc/rc3.d/S20splunk -> ../init.d/splunk
   /etc/rc4.d/S20splunk -> ../init.d/splunk
   /etc/rc5.d/S20splunk -> ../init.d/splunk
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

Start vervolgens Splunk service met het volgende commando:

sudo service splunk start

Je zou de volgende uitvoer moeten zien:

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
............+++
............................................................................................................................................+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=Node3/O=SplunkUser
Getting CA Private Key
unable to write 'random state'
writing RSA key
Done


Waiting for web server at http://127.0.0.1:8000 to be available........ Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://Node3:8000

Toegang tot Splunk Web Interface

Splunk server draait nu en luistert op poort 8000. Open je webbrowser en typ de URL http://your-server-ip:8000, je wordt doorgestuurd naar de volgende pagina:

Splunk Inloggen

Geef hier je admin inloggegevens op, klik dan op de knop Sign In, je zou het Splunk dashboard in het volgende scherm moeten zien:

Splunk Dashboard

Links