Vous osez installer Splunk sur Ubuntu, j’ose.


Dans cet article, je vais vous montrer comment installer Splenk sur Ubuntu. L’objectif de Splunk est de traiter et d’organiser les données pour les rendre utiles aux utilisateurs sans manipuler les données brutes.C’est vraiment l’un des outils les plus puissants Analyser, explorer et rechercher des donnéesC’est aussi l’un des moyens les plus simples Indexez, recherchez, collectez et visualisez les flux de données volumineuses en temps réel À partir d’applications, de serveurs Web, de bases de données, de plates-formes de serveurs, de réseaux cloud et d’autres appareils.

Architecture Splunk classique

Splunk a trois composants principaux, comme suit :

  • Transitaire Splunk
  • Indexeur Splunk
  • Tête de recherche Splunk

comme vous pouvez le voir, Transitaire Splunk pour le transfert de données. Il s’agit du composant utilisé pour la collecte des journaux.

Indexeur Splunk est un composant pour l’analyse et l’indexation des données. Les instances Splunk convertissent les données entrantes en événements et les stockent dans l’index pour effectuer efficacement les opérations de recherche.

finalement, Tête de recherche Splunk est une interface graphique pour la recherche, l’analyse et le reporting.

Installer Splunk sur Ubuntu 20.04

Créez un compte Splunk et téléchargez le freeware Splunk sur leur site officiel via le lien suivant (vous êtes limité à 500Mo de bande passante par jour. Pour découvrir Splunk c’est l’idéal et même faire un peu de dépannage dans votre box) : Pas de Splunk.


duper! ! ! Pour vous éviter les tracas si vous êtes sur une machine virtuelle, Splunk propose désormais un téléchargement direct depuis l’utilitaire wget.Lorsque vous atteignez la page de téléchargement, dans outil utile Cliquez sur Télécharger via la ligne de commande (wget) et récupérez la ligne de commande.

A Voir  Utilisez FonePaw pour restaurer des données sur votre iPhone ou iPad.

# wget -O splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb ‘https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.4&product=splunk&filename=splunk- 8.0.4-767223ac207f-linux-2.6-amd64.deb&wget=true’

Une fois les fichiers téléchargés sur le serveur Ubuntu, vous pouvez exécuter la commande dpkg pour installer le serveur Splunk.

# sudo dpkg -i splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb

Nous devons maintenant créer script init.d afin que vous puissiez facilement démarrer et arrêter Splunk.Allez dans le répertoire binaire Splunk /opt/splunk/bin/ et exécutez l’exécutable Splunk avec les paramètres suivants.

# cd /opt/splunk/bin/ # ./splunk enable startup startup

Au cours de ce processus, vous pouvez appuyer sur la barre d’espace pour parcourir le contrat de licence, puis taper Oui Acceptez-le comme indiqué dans le journal d’installation, puis définissez votre identifiant et votre mot de passe.

Enfin, nous pouvons démarrer le service Splunk avec la commande suivante :

# service splunk start

Vous pouvez désormais accéder à votre interface Web Splunk sur http://server-IP:8000/. Vous devez vous assurer que le port 8000 est ouvert sur le pare-feu et/ou le réseau de votre serveur.

Vous devriez arriver à cette interface :

Vous pouvez fournir les identifiants de connexion de l’administrateur créés lors de la phase d’installation pour accéder à votre interface graphique Splunk.

Une fois connecté, vous pourrez utiliser le tableau de bord Splunk :

Vous avez terminé l’installation de Splunk. Rien de difficile.

Ajouter une tâche

La page d’accueil présente différentes catégories. Vous pouvez choisir ce qui vous convient et commencer à utiliser le splunking.

Je vais vous montrer un exemple de tâche simple à ajouter à un système Splunk.La tâche consiste à ajouter le dossier /var/journal de votre serveur au système Splunk pour le suivre.

Ouvrir Interface Web de Splunk et sélectionnez les options Ajoutez des données pour commencer.

Étiqueter « ajouter des données » Trois options s’ouvrent : Charger, surveiller et transmettre.

Chaque option est explicite, avec une brève description de l’objectif.Ici, notre tâche est de surveiller un dossier, nous choisissons donc Regardez.

dans les options surveiller (moniteur)il existe les quatre catégories suivantes :

  • Fichiers et répertoires : Regarder les fichiers/dossiers
  • Collecteur d’événements HTTP : Surveiller le flux de données sur http
  • TCP/UDP : Surveiller le trafic sur les ports TCP/UDP
  • scénario: Surveiller les scripts ou commandes personnalisés
A Voir  3 logiciels pour surveiller votre conjoint.

Selon notre objectif, je choisis l’option fichiers et répertoires.

Maintenant, cliquez sur parcourir et sélectionnez le dossier /var/journal Le serveur à surveiller.

Après avoir sélectionné un paramètre, vous pouvez cliquer sur Ce qui suit Passez ensuite à un autre écran en cliquant sur Abstrait et Soumission TP.

Vous avez maintenant ajouté avec succès votre première source de données à Splunk pour surveiller votre répertoire local.

Vous pouvez commencer à rechercher et à surveiller les journaux du serveur Splunk selon vos besoins.Cliquez sur commencer la recherche.

Ceci n’est qu’un exemple simple de Splunking, vous pouvez y ajouter autant de tâches que vous le souhaitez et parcourir les données des serveurs locaux ou distants. Splunk vous fournit également des outils pour créer des graphiques et des visualisations à l’aide de plusieurs champs et métriques basés sur l’analyse des journaux.

A bientôt, de nouveaux articles sur Splunk et Splunking.