Splunk 是一个强大的日志数据库,可用于通过网络界面搜索、监控和分析机器生成的大数据。 它是分析、探索和搜索数据的非常有用的工具。 您可以轻松地实时索引、搜索、收集和可视化来自应用程序、Web 服务器、数据库、服务器平台的大量数据流, Cloud-network 和更多使用 Splunk。
此外,splunk 支持广泛的日志管理用例,例如日志整合和保留、安全性、IT 操作故障排除、应用程序故障排除以及合规性报告等等。
在本教程中,我们将学习 如何安装 Splunk 日志分析器以及如何添加日志文件并在 CentOS 7 服务器中搜索事件.
Splunk 功能
它易于扩展和完全集成。 支持本地和远程数据源。 允许索引机器数据。 支持搜索和关联任何数据。 允许您向下钻取和向上钻取以及跨数据透视。 支持监控和告警。 还支持用于可视化的报告和仪表板。 提供对关系数据库、逗号分隔值 (.CSV) 文件中的字段分隔数据或其他企业数据存储(如 Hadoop 或 NoSQL)的灵活访问。 支持广泛的日志管理用例等等。
在 CentOS 7 Linux 上安装 Splunk 日志分析器
一、下载 使用 wget 命令的 Splunk 日志分析器:
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
下载完成后,使用以下命令安装下载的文件:
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
接下来,使用 Splunk Enterprise 命令行界面 (CLI) 来启动服务。
# /opt/splunk/bin/./splunk start
在这里,您需要同意许可协议并提供 admin 密码如下:
如果所有安装的文件都完好无损并且所有初步检查均通过,则将启动 splunk 服务器守护程序 (splunkd),将生成 2048 位 RSA 私钥,您可以访问 splunk Web 界面。
配置防火墙
Splunk 日志分析器 可以在端口 8000 上访问。如果您的系统上运行了防火墙,那么您需要允许从外部网络访问端口 8000。 运行以下命令以允许端口 8000 通过防火墙:
# firewall-cmd --add-port=8000/tcp --permanent # firewall-cmd --reload
访问 Splunk 日志文件分析器 Web 界面
现在您可以通过 https://IP:8000/ 或 https://hostname:8000 访问您的 Splunk Web 界面。 要登录,请使用用户名: admin 以及您在安装过程中创建的密码。
成功登录后,您将登陆splunk admin 控制台显示在以下屏幕截图中。
然后,单击监视器以从文件添加数据。
这 添加数据选项卡 打开三个选项: 上传, 监视器 和 向前. 这里我们的任务是监控一个文件夹,所以我们继续使用 Monitor。
将向您显示根 (/) 目录中的目录列表,导航到您要监视的日志文件 (/var/日志/安全) 并单击选择。
选择数据源后,选择 持续监控 查看该日志文件并单击 下一个 设置源类型。
接下来,为您的数据源设置源类型。 对于我们的测试日志文件(/var/日志/安全),我们需要选择Operating 系统→linux_secure; 这让 splunk 知道该文件包含来自 Linux 系统的安全相关消息。 然后单击下一步继续。
您可以选择为此数据输入设置其他输入参数。 在应用程序上下文下,选择 S搜索和报告. 然后点击 审查. 审核后点击 提交.
现在,您可以根据需要开始搜索和监控日志文件。
就这些!
结论
这只是 Splunking 的一个简单示例,您可以向其中添加尽可能多的任务并探索您的服务器数据。 我希望这篇文章对你有用。 感谢您阅读本文,我建议您对此提出宝贵的建议和意见。 现在就试试 Splunk 吧!!
