Wie man Splunk Log Analyzer auf Ubuntu 18.04 LTS installiert

Splunk ist eine leistungsstarke Protokolldatenbank, die für die Suche, Überwachung und Analyse von maschinengenerierten großen Daten über eine Weboberfläche verwendet werden kann. Es ist ein sehr nützliches Werkzeug zur Analyse, Erforschung und Suche von Daten. Mit Splunk können Sie massive Datenströme in Echtzeit von einer Anwendung, einem Webserver, einer Datenbank, einer Serverplattform, einem Cloud-Netzwerk und vielen mehr indizieren, suchen, sammeln und visualisieren.

Splunk besteht aus drei Hauptkomponenten:

  1. Splunk Forwarder: Es wird zum Sammeln der Protokolle verwendet.
  2. Splunk Indexer: Er dient zum Parsen und Indizieren der Daten.
  3. Splunk-Suchkopf: Bietet eine Weboberfläche für die Suche, Analyse und Berichterstattung.

In diesem Tutorial werden wir lernen, wie man Splunk auf Ubuntu 18.04 LTS (Bionic Beaver) Server installiert.

Anforderungen

  • Ein Server mit Ubuntu 18.04 auf Ihrem System.
  • Ein Nicht-Root-Benutzer mit sudo-Rechten.

Splunk installieren

Splunk unterstützt eine Vielzahl von Betriebssystemen, darunter Windows, Linux, FreeBSD, OSX, Solaris, AIX und viele mehr. Du kannst die neueste Version des Splunks von der offiziellen Website herunterladen oder den folgenden Befehl verwenden:

wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb

Nachdem der Download abgeschlossen ist, installieren Sie die heruntergeladene Datei mit dem folgenden Befehl:

sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb

Nachdem die Installation erfolgreich abgeschlossen wurde, sollten Sie die folgende Ausgabe sehen:

(Reading database ... 218552 files and directories currently installed.)
Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ...
Unpacking splunk (7.1.1) over (7.1.1) ...
Setting up splunk (7.1.1) ...
complete

Als nächstes müssen Sie den Splunk-Dienst aktivieren, um beim Booten zu starten. Sie können dies tun, indem Sie den folgenden Befehl ausführen:

sudo /opt/splunk/bin/splunk enable boot-start

Hier müssen Sie der Lizenzvereinbarung zustimmen und das Admin-Passwort wie folgt eingeben:

Splunk Software License Agreement 04.24.2018

Do you agree with this license? [y/n]: y

This appears to be your first time running this version of Splunk.

An Admin password must be set before installation proceeds.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
..................+++
..............................................................................+++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 2048 bit long modulus
.............+++
...................................+++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.
 Adding system startup for /etc/init.d/splunk ...
   /etc/rc0.d/K20splunk -> ../init.d/splunk
   /etc/rc1.d/K20splunk -> ../init.d/splunk
   /etc/rc6.d/K20splunk -> ../init.d/splunk
   /etc/rc2.d/S20splunk -> ../init.d/splunk
   /etc/rc3.d/S20splunk -> ../init.d/splunk
   /etc/rc4.d/S20splunk -> ../init.d/splunk
   /etc/rc5.d/S20splunk -> ../init.d/splunk
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

Als nächstes starten Sie den Splunk-Dienst mit dem folgenden Befehl:

sudo service splunk start

Sie sollten die folgende Ausgabe sehen:

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
............+++
............................................................................................................................................+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=Node3/O=SplunkUser
Getting CA Private Key
unable to write 'random state'
writing RSA key
Done


Waiting for web server at http://127.0.0.1:8000 to be available........ Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://Node3:8000

Zugriff auf Splunk Web Interface

Der Splunk-Server läuft nun und lauscht auf Port 8000. Öffnen Sie Ihren Webbrowser und geben Sie die URL http://your-server-ip:8000 ein, Sie werden auf die folgende Seite weitergeleitet:

Splunk Login

Geben Sie hier Ihre Anmeldedaten für den Admin ein, klicken Sie dann auf die Schaltfläche Anmelden, Sie sollten das Splunk-Dashboard auf dem folgenden Bildschirm sehen:

Splunk Dashboard

Links

Das könnte Dich auch interessieren …