“CentOS 7” -de “Splunk Log Analyzer” -i nädip gurmaly

“Splunk”, hakyky, gündelik hasaba alyş dolandyryşy üçin gurluşly, gurulmadyk we çylşyrymly köp setirli programma ýazgylaryny goşmak bilen, gündelik we maşyn tarapyndan döredilen maglumatlary ýygnamak, saklamak, gözlemek, anyklamak we hasabat bermek üçin güýçli, ygtybarly we doly birleşdirilen programma üpjünçiligi.

Operasiýa we howpsuzlyk meselelerini kesgitlemek we çözmek üçin size islendik gündelik maglumatlary ýa-da maşyn tarapyndan döredilen maglumatlary çalt we gaýtalanyp görnüşde ýygnamaga, saklamaga, indekslemäge, gözlemäge, korrelýasiýa etmäge, göz öňüne getirmäge, derňemäge we hasabat bermäge mümkinçilik berýär.

Mundan başga-da, “splunk” gündeligi birleşdirmek we saklamak, howpsuzlyk, IT amallarynyň näsazlyklaryny düzetmek, amaly näsazlyklary düzetmek, şeýle hem ýerine ýetiriş hasabaty we ş.m. ýaly köp sanly gündelik dolandyryş ulanyş ýagdaýlaryny goldaýar.

• Ansatlyk bilen ulaldylyp we doly birleşdirilen.
• localerli we uzakdaky maglumat çeşmelerini goldaýar.
• Maşyn maglumatlaryny indeksirlemäge mümkinçilik berýär.
• Islendik maglumatlary gözlemegi we baglanyşygy goldaýar.
• Aşakda ýokaryk burawlamaga we maglumatlaryň üstünde durmaga mümkinçilik berýär.
• Gözegçiligi we duýduryşy goldaýar.
• Şeýle hem wizuallaşdyrmak üçin hasabatlary we dolandyryş panellerini goldaýar.
• Baglanyşyk maglumat bazalaryna çeýe girişi, vergi bilen bölünen baha (.CSV) faýllarynda ýa-da Hadoop ýa-da NoSQL ýaly beýleki kärhana maglumat dükanlaryna çeýe giriş berýär.
• logurnal dolandyryşyny ulanmagyň giň gerimlerini we başga-da köp zady goldaýar.

Bu makalada, “Splunk” log analizatorynyň iň soňky wersiýasyny nädip gurmalydygyny we gündelik faýly (maglumat çeşmesini) nädip goşmalydygyny we CentOS 7-de bolup geçen wakalary gözläp taparys (RHEL paýlanyşynda hem işleýär).

1. Minimal gurnamaly RHEL 7 serweri.
2. Iň az 12GB RAM

1. CentOS 7 minimal gurnama bilen Linode VPS.

CentOS 7 surnallaryna gözegçilik etmek üçin “Splunk Log Analyzer” -i guruň

1. Bölünen web sahypasyna giriň, hasap açyň we “Splunk Enterprise” göçürip alyş sahypasyndan ulgamyňyz üçin iň täze wersiýany alyň. RPM paketleri Red Hat, CentOS we Linux-yň şuňa meňzeş wersiýalary üçin elýeterlidir.

Ativea-da bolmasa, gönüden-göni web brauzeri arkaly göçürip alyp ýa-da göçürip almak baglanyşygyny alyp bilersiňiz we görkezilişi ýaly buýruk setiriniň üsti bilen bukjany almak üçin wget commandv ulanyp bilersiňiz.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Bukjany göçürip alanyňyzdan soň, görkezilişi ýaly RPM paket dolandyryjysyny ulanyp, “Splunk Enterprise RPM” -ni deslapky kataloga/opt/splunk guruň.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Ondan soň, hyzmaty başlamak üçin “Splunk Enterprise” buýruk setiri interfeýsini (CLI) ulanyň.

# /opt/splunk/bin/./splunk start 

“SPLUNK” programma üpjünçiligi ygtyýarnamasy şertnamasyny Enter basyp okaň. Ony okanyňyzdan soň sizden soralar Bu ygtyýarnama bilen ylalaşýarsyňyzmy? Dowam etmek üçin Y giriziň.

Do you agree with this license? [y/n]: y

Soňra administrator hasaby üçin şahsyýetnamalary dörediň, parolyňyzda azyndan 8 sany çap edilip bilinjek ASCII nyşan bolmaly.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Gurlan faýllaryň hemmesi bitewi bolsa we deslapky barlaglaryň hemmesi geçse, bölünen serwer daemon (splunkd) başlar, 2048 bitlik RSA şahsy açary dörediler we bölünen web interfeýsine girip bilersiňiz.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Ondan soň, diwar diwary-cmd ulanyp, Splunk serweri diňleýän 8000 porty açyň.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Web brauzerini açyň we bölünen web interfeýsine girmek üçin aşakdaky URL ýazyň.

http://SERVER_IP:8000   

Giriş üçin Ulanyjy ady: administrator we gurnama döwründe döreden parolyňyzy ulanyň.

7. Üstünlikli girişden soň, aşakdaky skrinshotda görkezilen bölünen administrator konsolyna düşersiňiz. Fileurnal faýlyna gözegçilik etmek üçin, mysal üçin /var/log/safe , Maglumat goşmak düwmesine basyň.

8. Soňra bir faýldan maglumat goşmak üçin Monitor düwmesine basyň.

9. Indiki interfeýsden Faýllar we direktoriýalary saýlaň.

10. Soňra maglumatlar üçin faýllara we kataloglara gözegçilik etmek üçin mysal düzüň. Katalogdaky ähli obýektlere gözegçilik etmek üçin katalogy saýlaň. Fileeke faýla gözegçilik etmek üçin ony saýlaň. Maglumat çeşmesini saýlamak üçin Göz aýlamak düwmesine basyň.

11. kök (/) bukjasyndaky kataloglaryň sanawy size görkeziler, gözegçilik etmek isleýän gündelik faýlyňyza geçiň (/ var/log/safe) we Saýlamak düwmesine basyň.

12. Maglumat çeşmesini saýlanyňyzdan soň, şol gündelik faýly görmek üçin “Dowamly Monitor” saýlaň we çeşme görnüşini bellemek üçin “Indiki” düwmesine basyň.

13. Ondan soň, maglumat çeşmesi üçin çeşme görnüşini düzüň. Synag gündeligimiz faýly (/ var/log/safe) üçin Operasiýa ulgamy → linux_secure saýlamaly; bu faýlda Linux ulgamyndan howpsuzlyk bilen baglanyşykly habarlaryň bardygyny bilmäge mümkinçilik berýär. Soňra dowam etmek üçin Indiki düwmesine basyň.

14. Bu maglumatlary girizmek üçin goşmaça giriş parametrlerini saýlap bilersiňiz. Programma kontekstinde Gözleg we Hasabat saýlaň. Soňra Syn basyň. Gözden geçirenden soň, Ibermek düwmesine basyň.

15. Indi faýl girişiňiz üstünlikli döredildi. Maglumatlaryňyzy gözlemek üçin gözläp başlaň.

16. datahli maglumat girişleriňizi görmek üçin Sazlamalar → Maglumatlar → Maglumat girişlerine gidiň. Soňra görmek isleýän görnüşiňize basyň, mysal üçin Faýllar we direktoriýalar.

17. Aşakda bölünen daimi dolandyrmak (täzeden başlamak ýa-da duruzmak) üçin goşmaça buýruklar bar.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Mundan beýläk has köp maglumat çeşmesini goşup bilersiňiz (“Splunk Forwarder” -i ulanyp ýerli ýa-da uzakdan), maglumatlaryňyzy öwrenip we/ýa-da deslapky işleýşini güýçlendirmek üçin “Splunk” programmalaryny gurup bilersiňiz. Resmi web sahypasynda berlen bölekleýin resminamalary okap has köp zat edip bilersiňiz.

Bölünen baş sahypa: https://www.splunk.com/

Häzirlikçe! “Splunk” güýçli, ygtybarly we doly birleşdirilen, real wagt kärhana gündeligini dolandyrmak programma üpjünçiligi. Bu makalada, CentOS 7-de Splunk log analizatorynyň iň soňky wersiýasyny nädip gurmalydygyny görkezdik, paýlaşmak üçin soraglaryňyz ýa-da pikirleriňiz bar bolsa, bize ýetmek üçin aşakdaky düşündiriş formuny ulanyň.