Apprenez à utiliser Splunk et créez des sources de données.
Dans le deuxième tutoriel dédié à Splunk, nous en apprendrons plus sur son interface, mais surtout Créer une source de données nourrit le. Nous utiliserons des répéteurs.
Accueil Splunk
duper! ! ! Avant toute chose, si vous ne connaissez pas ce produit, je vous conseille de lire le premier tutoriel dédié à Splunk : Oserez-vous installer Splunk.
Avant d’utiliser Splunk, il est nécessaire de comprendre certains concepts logiciels importants. Lorsque vous vous connectez à Splunk pour la première fois, vous serez redirigé vers cette page d’accueil.
L’écran d’accueil se compose des éléments suivants :
- Barre de navigationy compris des liens vers des profils d’utilisateurs et des messages, des paramètres et des pages d’aide.
- menu des applications, vous êtes autorisé à afficher la liste des applications installées sur l’instance Splunk. Dans notre exemple, seule l’application Search & Reporting est affichée.
- Découvrez Splunk Enterprise, pour vous aider à démarrer avec les panneaux de Splunk. Vous pouvez visiter les produits, ajouter des données à Splunk et accéder aux applications et à la documentation Splunk.
- Tableau de bord d’accueilun panneau dans lequel vous pourrez ensuite ajouter vos propres tableaux de bord personnalisés.
Créer une source de données (source de données) dans Splunk
Pour utiliser Splunk, nous devons y ajouter des données. Splunk peut lire les données machine à partir de plusieurs sources, telles que :
- fichiers et répertoiresSplunk peut surveiller des fichiers spécifiques (tels que les fichiers journaux) ou des répertoires.
- événement de réseauSplunk peut indexer les données distantes de n’importe quel port réseau et les événements SNMP des périphériques distants.
- Ressources WindowsSplunk peut indexer de nombreuses entrées spécifiques à Windows, telles que le journal des événements Windows, le registre Windows, WMI et Active Directory.
- autreSplunk prend également en charge d’autres sources d’entrée, telles que les files d’attente FIFO et les entrées de script, pour obtenir des données à partir d’API et d’autres interfaces de données distantes.
Lorsque vous ajoutez des données à Splunk, il indexe les données et crée des données d’événement. Les unités individuelles de ces données sont appelées événements. Les données que vous ajoutez peuvent se trouver sur le même ordinateur que Splunk ou sur un autre ordinateur.
prévenir! ! ! Splunk stocke les données indexées et ses index dans des fichiers plats (fichiers dans un répertoire) et ne nécessite aucun logiciel de base de données.
Qu’est-ce qu’un indice ?
Les index dans Splunk ne sont que des référentiels de données. Il est stocké sur un indexeur, qui est une instance Splunk configurée pour indexer les données locales et distantes. Les données indexées peuvent ensuite être recherchées via l’application de recherche.
Lorsque l’indexeur indexe des données, il crée un ensemble de fichiers dans des ensembles de répertoires (appelés « seaux »)Ces fichiers sont organisés par âge.Chaque index occupe son propre répertoire $SPLUNK_HOME /var/lib/splunk (/opt/splunk/var/lib/splunk). Par exemple, voici un fichier d’index nommé _Base de données interne :
Les index peuvent être créés à l’aide de Splunk Web, de la ligne de commande (CLI) ou de la modification manuelle des fichiers index.conf.
prévenir! ! ! Par défaut, Splunk place toutes les données utilisateur dans un index préconfiguré appelé main. Bien entendu, vous pouvez créer vos propres index pour des raisons de sécurité et de performances.
créer un index
Comme mentionné précédemment, les index peuvent être créés à l’aide de Splunk Web, de l’interface de ligne de commande (CLI) ou en modifiant manuellement le fichier index.conf. Bien sûr, le moyen le plus simple est d’utiliser Splunk Web.
Voici les étapes à suivre :
Connectez-vous à Splunk Web avec un compte administrateur et accédez à Paramètres > Index.
La page d’index devrait s’ouvrir.Cliquez sur nouvel indice.
cette page nouvel indice devrait s’ouvrir. Vous devez fournir les informations suivantes :
- nom de l’index, le nom de l’index. Il ne peut contenir que des chiffres, des lettres minuscules, des traits de soulignement et des traits d’union, et ne peut pas commencer par un trait de soulignement ou un trait d’union.
- chemin d’origineSpécifie le chemin qui contiendra les données, laissez la valeur par défaut ($SPLUNK_DB/INDEX_NAME/db) sauf indication contraire.
- Chemin d’accès à la base de données ColddbSpécifie le chemin d’accès à l’index ($SPLUNK_DB/INDEX_NAME/colddb)
- Chemin d’accès à la base de données thaweddb, spécifie le chemin d’accès pour décompresser ou archiver l’index en vue de sa réutilisation. ($SPLUNK_DB/INDEX_NAME/thaweddb)
- Taille maximale de l’index d’entiers – La taille maximale de l’index. La valeur par défaut est 500 000 Mo.
- Taille maximale du godet, la taille de bucket cible maximale. Entrez « auto_high_volume » pour les grands index.
- Figer le chemin, le chemin d’archivage du compartiment gelé. Définissez si vous souhaitez que Splunk archive automatiquement les compartiments gelés.
- application – Demande d’index.
information! ! ! Splunk Enterprise stocke les données d’index dans des « compartiments », qui sont des répertoires contenant des données et des fichiers d’index dans les données. Un index se compose généralement de plusieurs compartiments, organisés par époque de données.
Qu’est-ce que l’expédition de fret?
Le moyen le plus efficace de collecter des données à partir de machines distantes consiste à installer un redirecteur universel sur l’hôte distant.une commissionnaire de transport général Est une version allégée dédiée de Splunk qui ne contient que les composants essentiels nécessaires à l’envoi de données. Il est similaire à Splunk Server et possède de nombreuses fonctionnalités similaires, mais il n’inclut pas Splunk Web, ni les exécutables et bibliothèques Python.
Le redirecteur est configuré pour consommer les données et les transmettre à l’indexeur Splunk pour traitement. Ils peuvent gérer exactement le même type de données et les utiliser de la même manière que n’importe quelle instance Splunk, à une différence près : ils n’indexent pas les données elles-mêmes. Ils traitent les données et les transmettent à l’indexeur Splunk, qui est ensuite indexé et recherché.
Dans un déploiement Splunk typique, le répéteur est le principal transporteur de données. Par exemple, si vous avez plusieurs serveurs Web qui génèrent des données et que vous souhaitez pouvoir rechercher ces données de manière centralisée, vous pouvez installer l’indexeur Splunk, puis installer le redirecteur sur tous les serveurs Web. Ils peuvent ensuite être configurés pour envoyer des journaux à l’indexeur, qui les stockera et les rendra disponibles pour la recherche.
Configurer le récepteur
Pour collecter les journaux des machines distantes, vous devez configurer à la fois récepteur (récepteur) avec un expédition de fretLe récepteur est l’instance Splunk qui recevra les données.
Vous pouvez utiliser Splunk Web pour configurer une instance Splunk en tant que récepteur.Connectez-vous à Splunk avec un compte administrateur et accédez à Paramètres > Envoyer et recevoir.
Cliquez sur ajouter nouveau sous la section Recevoir des données.
Spécifiez le port TCP sur lequel vous voulez que le récepteur écoute. Le port couramment utilisé est 9997 :
prévenir! ! ! Selon la version de Splunk, vous devrez peut-être redémarrer Splunk pour appliquer les modifications.
Vous pouvez configurer autant de ports d’écoute que vous le souhaitez.
Installez le redirecteur Splunk sous Windows.
en installer un Transitaire Splunk, vous devez d’abord le télécharger.va https://www.splunk.com/en_us/download/universal-forwarder.html et sélectionnez le transpondeur qui correspond à votre système d’exploitation (version 32 bits ou 64 bits pour Windows)
Dans cet exemple, nous allons installer le redirecteur Splunk sur Windows 10. Double-cliquez sur le fichier d’installation pour lancer l’installation. Vous devriez voir la page d’installation. Vous pouvez accepter les options par défaut ou personnaliser les options ici.
Créez un compte d’administrateur local pour exécuter Transitaire Splunk.
Par défaut, le transitaire universel sera installé dans C:Program FilesSplunkUniversalForwarderutilisera le compte système local et collectera les journaux des applications, du système et des événements de sécurité Windows :
Ensuite, vous devez entrer le nom d’hôte ou l’adresse IP du serveur de déploiement et le port de gestion (le port de gestion par défaut est 8089). Un serveur de déploiement peut être utilisé pour pousser les mises à jour de configuration vers les opérateurs courants. Notez qu’il s’agit d’une étape facultative. Si vous l’ignorez, vous devez entrer l’indexeur de puits à l’étape suivante.
Une fois l’installation terminée, le transporteur universel devrait démarrer automatiquement.
Utilisez Splunk pour surveiller les journaux sur Windows distant.
Si vous avez un redirecteur universel installé sur Windows, c’est assez simple.
Entrer Paramètres -> Données -> Entrée de données -> Entrée avant -> Journal des événements Windows.
information! ! ! Splunk vous permet de surveiller d’innombrables métriques Windows (fichiers, répertoires, données de performances, scripts, ports, etc.)
puis clique Nouveau journal des événements Windows distant.
A ce stade, il est important de bien comprendre ce qui est Classe serveur.
Une classe de serveur associe un ensemble de clients de déploiement à une ou plusieurs applications de déploiement. En créant une classe de serveur, vous indiquez au serveur de déploiement qu’un groupe de clients doit recevoir des mises à jour en tant que groupe d’applications.
Les groupes de clients peuvent être basés sur une variété de critères, tels que le type de machine, le système d’exploitation, l’emplacement géographique ou le type d’application.
Un client peut appartenir à plusieurs classes de serveurs. Par exemple, Windows à Kelowna fournissant des informations à une équipe d’hébergement Web peut appartenir à trois classes de serveurs : « Canada », « Windows » et « Hôte_Web » Par exemple. Ce schéma montre comment un client appartient à plusieurs classes de serveur :
Dans cet exemple, chaque client de déploiement est…
Stay connected