如何在Ubuntu 18.04上安装Splunk
在本文中,我将解释如何在Ubuntu 18.04服务器上安装最新的Splunk。
Splunk旨在处理数据以使其对用户有用,而无需处理原始数据。
它是用于分析,探索和搜索数据的最强大的工具之一。
这是实时索引,搜索,收集和可视化来自应用程序,Web服务器,数据库,服务器平台,云网络等的大量数据流的最简单方法之一。
Splunk架构
Splunk中包含三个主要组件,如下所示:
- Splunk转发器
- Splunk索引器
- Splunk搜索头
如我们所见,Splunk转发器用于数据转发。
它是用于收集日志的组件。
Splunk Indexer是用于解析和索引数据的工具。
Splunk实例将传入的数据转换为事件,并将其存储在索引中,以便有效地执行搜索操作。
最后是Splunk搜索头,它是用于搜索,分析和报告的图形界面。
在Ubuntu 18.04上安装Splunk
创建一个Splunk帐户,并从此处的官方下载Splunk Enterprise软件。
现在,将下载的文件上传到Ubuntu 18.04服务器,并将其放置在临时目录中。
接下来,我们可以运行“ dpkg”命令来安装Splunk服务器。
~# dpkg -i splunk-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb Selecting previously unselected package splunk. (Reading database ... 66600 files and directories currently installed.) Preparing to unpack splunk-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb ... Unpacking splunk (7.1.0) ... Setting up splunk (7.1.0) ... complete
其次,我们需要创建'init.d'脚本,以便我们可以轻松启动和停止Splunk。
转到/opt/splunk/bin /下的Splunk二进制目录,并使用以下参数运行Splunk可执行文件。
#cd /opt/splunk/bin/ # ./splunk enable boot-start Splunk Software License Agreement 04.24.2016 Do you agree with this license? [y/n]: y Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password: Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 2048 bit long modulus .......+++ ................+++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 2048 bit long modulus .............................................................+++ ............+++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Init script installed at /etc/init.d/splunk. Init script is configured to run at boot.
在此过程中,我们可以“按空格键”查看许可协议,然后按“ Y”接受,如安装日志中所示。
最后,我们可以使用以下命令启动Splunk服务:
# service splunk start
现在,我们可以通过'http://Server-IP:8000 /或者http://Server-hostname:8000'访问Splunk Web界面。
我们需要确保在服务器防火墙上打开此端口8000。
我们可以提供在安装阶段创建的管理员登录凭据,以访问Splunk GUI界面。
登录后,我们就可以使用Splunk仪表板了。
主页上列出了不同的类别。
我们可以选择所需的一个并开始Splunking。
添加任务
我要为一个简单的任务添加一个示例,该示例已添加到Splunk系统中。
只需查看我的快照即可了解如何添加快照。
我的任务是将/var/log文件夹添加到Splunk系统进行监视。
步骤1 :
打开Splunk Web界面,然后选择Add Data选项。
第2步 :
将打开“添加数据”选项卡,其中包含三个选项:“上载”,“监视”和“转发”。
每个选项都是不言自明的,并简要说明了目的。
其中我们的任务是监视文件夹,因此我们继续使用Monitor。
在“监视器”选项中,有四个类别,如下所示:
'文件和目录:'监视文件/文件夹
“ HTTP事件收集器:”通过HTTP监视数据流
“ TCP/UDP:”监视TCP/UDP端口上的流量
“脚本:”监视自定义脚本或者命令
第三步:
根据我们的目的,我选择“文件和目录”选项。
第四步 :
现在,我正在从服务器浏览要监视的确切文件夹路径“/var/log”。
选择设置后,可以单击“下一步”和“查看”。
审查完所有设置后,我们可以单击“提交”以得出结论。
第五步:
现在,我们已成功将数据源添加到Splunk进行监视。
我们可以根据需要开始搜索和监视日志文件。
我将日志范围缩小到服务器上的Apache应用程序。
