Splunk est une puissante base de données de journaux qui peut être utilisée pour rechercher, surveiller et analyser les mégadonnées générées par la machine via une interface Web. C'est un outil très utile pour analyser, explorer et rechercher des données. Vous pouvez facilement indexer, rechercher, collecter et visualiser des flux de données massifs en temps réel à partir d'une application, d'un serveur Web, d'une base de données, d'une plate-forme de serveur, d'un réseau cloud et bien d'autres à l'aide de Splunk.
Splunk inventé à partir detrois composants principaux :
- Splunk Forwarder :Il est utilisé pour collecter les logs.
- Indexeur Splunk :il est utilisé pour analyser et indexer les données.
- Splunk Search Head :Fournit une interface Web pour la recherche, l'analyse et la création de rapports.
Dans ce tutoriel, nous allons apprendre à installer Splunk sur le serveur Ubuntu 18.04 LTS (Bionic Beaver).
Exigences
- Un serveur exécutant Ubuntu 18.04 sur votre système.
- Un utilisateur non root avec des privilèges sudo.
Installer Splunk
Splunk prend en charge une large gamme de systèmes d'exploitation, notamment Windows, Linux, FreeBSD, OSX, Solaris, AIX et bien d'autres. Vous pouvez télécharger la dernière version de Splunk depuis leur site officiel ou utiliser la commande suivante :
wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Une fois le téléchargement terminé, installez le fichier téléchargé à l'aide de la commande suivante :
sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Une fois l'installation terminée avec succès, vous devriez voir la sortie suivante :
(Reading database ... 218552 files and directories currently installed.) Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ... Unpacking splunk (7.1.1) over (7.1.1) ... Setting up splunk (7.1.1) ... complete
Ensuite, vous devrez activer le service Splunk pour qu'il démarre au démarrage. Vous pouvez le faire en exécutant la commande suivante :
sudo /opt/splunk/bin/splunk enable boot-start
Ici, vous devrez accepter le contrat de licence et fournir le mot de passe administrateur comme ci-dessous :
Splunk Software License Agreement 04.24.2018 Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password: Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 2048 bit long modulus ..................+++ ..............................................................................+++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 2048 bit long modulus .............+++ ...................................+++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Adding system startup for /etc/init.d/splunk ... /etc/rc0.d/K20splunk -> ../init.d/splunk /etc/rc1.d/K20splunk -> ../init.d/splunk /etc/rc6.d/K20splunk -> ../init.d/splunk /etc/rc2.d/S20splunk -> ../init.d/splunk /etc/rc3.d/S20splunk -> ../init.d/splunk /etc/rc4.d/S20splunk -> ../init.d/splunk /etc/rc5.d/S20splunk -> ../init.d/splunk Init script installed at /etc/init.d/splunk. Init script is configured to run at boot.
Ensuite, démarrez le service Splunk à l'aide de la commande suivante :
sudo service splunk start
Vous devriez voir le résultat suivant :
Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ............+++ ............................................................................................................................................+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=Node3/O=SplunkUser Getting CA Private Key unable to write 'random state' writing RSA key Done Waiting for web server at http://127.0.0.1:8000 to be available........ Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://Node3:8000
Accéder à l'interface Web de Splunk
Le serveur Splunk est maintenant en cours d'exécution et écoute sur le port 8000. Ouvrez votre navigateur Web et saisissez l'URL http://your-server-ip:8000 , vous serez redirigé vers la page suivante :
Ici, fournissez vos identifiants de connexion administrateur, puis cliquez sur le bouton de connexion , vous devriez voir le tableau de bord Splunk dans l'écran suivant :
Liens
- Site Web Splunk