I sistemi operativi attuali hanno funzionalità che consentono di registrare ogni situazione che si verifica; sia con il sistema operativo stesso che con le sue applicazioni e componenti interni. Ciò facilita tutte le attività che come amministratori dobbiamo svolgere nell'ambito delle attività di supporto, controllo e prevenzione degli errori.
Grazie ai log degli eventi è possibile ottenere dettagli su spegnimenti, riavvii o login al sistema, accessi, edizione di applicazioni e ognuna di queste attività può diventare essenziale per le procedure di amministrazione indipendentemente dalle dimensioni dell'organizzazione.
Splunk è stato sviluppato come un software di grande capacità, che può essere integrato per eseguire la gestione dei record aziendali in tempo reale al fine di raccogliere, archiviare, ricercare, diagnosticare e riportare qualsiasi record o dato che viene generato dal server e multi- sono inclusi anche i registri delle applicazioni di linea; strutturato, non strutturato e complesso.
Ecco perché oggi Solvetic spiegherà passo dopo passo cos'è Splunk e come installarlo e configurarlo su CentOS 7 su Linux.
Cos'è Splunk?Splunk è una piattaforma di intelligence operativa, che consente agli amministratori di sistema o di rete di avere accesso a dettagli molto più completi su valori e informazioni che possono consentire all'azienda di essere più produttiva, redditizia, competitiva e sicura in tutti gli aspetti sia interni che esterni.
Splunk gestisce due aree essenziali che sono:
Intelligenza operativaQuesto ci permette di comprendere in tempo reale tutto ciò che accade nei sistemi informatici e nell'infrastruttura tecnologica al fine di prendere decisioni corrette, associate ad errori e miglioramenti da apportare, cercando il massimo beneficio per tutti.
Dati macchinaQuesti contengono i record di tutte le attività e il comportamento di clienti, utenti, transazioni, applicazioni, server, reti e dispositivi mobili, tra gli altri; dove sono incluse configurazioni, dati API, code di messaggi e molto altro.
Caratteristiche di SplunkTra le funzionalità offerte da questa piattaforma abbiamo:
Prendi i dati da qualsiasi informazione sull'attrezzaturaSplunk può raccogliere e indicizzare dati dal registro e dal computer stesso da qualsiasi fonte; in questo modo sarà possibile combinare i dati sul computer con i dati nei database relazionali, data warehouse e data warehouse Hadoop e NoSQL.
Piattaforma di sviluppo apertaGli sviluppatori possono creare nuove applicazioni Splunk personalizzate o integrare i dati Splunk in altre applicazioni; che ci dà l'opportunità di scalare al massimo l'utilizzo della piattaforma.
Architettura di classe enterpriseSplunk è dimensionato per il bilanciamento automatico del carico e il clustering multisito per supportare centinaia di terabyte di dati ogni giorno per ottimizzare i tempi di risposta e fornire disponibilità continua per gli amministratori.
App e plugin SplunkbaseLe applicazioni Splunk sono disponibili per sfruttare appieno la piattaforma e quindi aumentare i tuoi profitti.
IndicizzazioneSplunk indicizza i dati nell'infrastruttura IT. In questo modo sarà possibile ottenere dati da siti web, applicazioni, server, database, sistemi operativi e molto altro.
RicercaLa ricerca è la migliore alternativa per accedere ai dati in Splunk. Sarà possibile salvare una ricerca come report e utilizzarla per alimentare i pannelli della dashboard. Inoltre, queste ricerche offrono informazioni sui dati come il calcolo delle metriche, la ricerca di condizioni specifiche e altro ancora.
AvvisiGli avvisi Splunk ci informano quando la ricerca e i risultati in tempo reale soddisfano le condizioni configurate in questo modo. Gli avvisi possono essere configurati per attivare azioni come l'invio di informazioni sugli avvisi a indirizzi e-mail designati, la pubblicazione di informazioni sugli avvisi in un feed RSS e l'esecuzione di uno script personalizzato secondo necessità.
RapportiSplunk ci consente di salvare ricerche e pivot come report, per aggiungere successivamente report ai dashboard come dashboard.
Gestione pivotUn pivot fa riferimento a una tabella, un grafico o una visualizzazione dati creata con l'editor pivot. L'editor Pivot consente agli utenti di aggiungere attributi definiti da oggetti del modello di dati a una tabella, grafico o visualizzazione dei dati senza dover eseguire ricerche in Search Processing Language (SPL) per generarli.
tavoleI dashboard Splunk contengono dashboard di moduli come caselle di ricerca, campi o grafici allo scopo di visualizzare la ricerca e i risultati in tempo reale.
Requisiti di sistema
Per utilizzare Splunk sono necessari i seguenti sistemi operativi:
- Solaris 10 e 11.
- PowerLinux, kernel Little Endian versione 2.6 e successive.
- zLinux, versione del kernel 2.6.
- FreeBSD 10 e 11.
- macOS 10.12 e 10.13.
- AIX 7.1 e 7.2.
- ARM Linux.
- CentOS7.
- Windows Server 2012, Server 2012 R2 e Server 2016.
- Windows 10.
1. Come installare Splunk su CentOS 7 Linux
Per questa installazione abbiamo due opzioni:
opzione 1Il primo è andare al sito Web di Splunk, creare un account e quindi ottenere l'ultima versione disponibile per la distribuzione nella pagina di download di Splunk Enterprise. I pacchetti RPM sono disponibili per Red Hat, CentOS e versioni simili di Linux.
Il sito ufficiale è il seguente:
opzione 2
Passo 1
Nel caso in cui non si desideri utilizzare questo metodo, possiamo utilizzare il comando wget per scaricarlo direttamente nel sistema eseguendo il seguente comando:
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1 .2-a0c72a66db66-linux-2.6-x86_64.rpm & wget = true '
Passo 2
Una volta completato il processo di download del pacchetto, installeremo Splunk Enterprise RPM nella directory predefinita; che è / opt / splunk usando il gestore di pacchetti RPM come segue:
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
Passaggio 3
Ora useremo l'interfaccia della riga di comando (CLI) di Splunk Enterprise per avviare il servizio in questo modo:
sudo /opt/splunk/bin/./splunk startPrima di tutto, sarà necessario leggere gli accordi sui termini di licenza:
Quindi, dobbiamo inserire la lettera "y" per accettare i termini di questa licenza, premiamo "Invio"
Passaggio 4
Ora dobbiamo assegnare, e confermare, la password dell'utente amministratore. Premiamo nuovamente "Invio"
Passaggio 5
Inizierà il processo di installazione e installazione di Splunk:
Passaggio 6
Se tutti i file installati sono corretti e tutti i controlli preliminari passano, il demone del server Splunk (splunkd) si avvierà, generando una chiave privata RSA a 2048 bit. Nella parte finale vedremo come accedere all'interfaccia web di Splunk:
Passaggio 7
Successivamente, apriremo la porta 8000, che il server Splunk sta ascoltando, sul firewall utilizzando firewall-cmd come segue:
firewall-cmd --add-port = 8000 / tcp --permanent firewall-cmd --reload
2. Come accedere a Splunk su CentOS 7 Linux
Passo 1
Fatto ciò, accederemo all'interfaccia di Splunk utilizzando la seguente sintassi:
http: // SERVER_IP: 8000Nella finestra visualizzata inseriremo l'utente admin e la password che abbiamo definito durante il processo di configurazione già descritto. Clicca su "Accedi"
Passo 2
Questo sarà l'ambiente iniziale dell'applicazione:
INGRANDIRE
Passaggio 3
Per aggiungere dati da monitorare, fai clic sulla sezione "Aggiungi dati" e vedremo quanto segue. Lì clicchiamo sulla sezione "Monitoraggio".
Passaggio 4
In questo caso faremo clic sulla categoria "File e directory"
Passaggio 5
Nella finestra successiva dobbiamo configurare l'istanza per monitorare file e directory per i dati.
Passaggio 6
Per monitorare tutti gli oggetti in una directory, selezioneremo la rispettiva directory. Se vogliamo monitorare un singolo file, sarà necessario selezionarlo cliccando su "Sfoglia" per selezionare la sorgente dati, verrà visualizzato quanto segue:
Passaggio 7
Basta fare clic su ciascuna riga per visualizzare tutte le sue sottodirectory in cui selezioneremo quella desiderata. Una volta selezionato, facciamo clic sul pulsante "Seleziona".
Passaggio 8
Vedremo questo; ora facciamo clic sul pulsante "Avanti" in alto.
INGRANDIRE
Passaggio 9
Definiremo le impostazioni di monitoraggio per i dati selezionati. Una volta definito questo, fare clic su "Avanti".
INGRANDIRE
Passaggio 10
Quindi vedremo un riepilogo del processo eseguito, fare clic su "Invia" per caricare la configurazione.
INGRANDIRE
Passaggio 11
Verrà visualizzato quanto segue, per avviare il processo di monitoraggio, fare clic sul pulsante "Inizia la ricerca".
INGRANDIRE
Passaggio 12
Verrà visualizzato quanto segue, lì possiamo vedere ogni evento per categoria con le sue rispettive informazioni.
INGRANDIRE
Passaggio 13
Per vedere tutti i dati inseriti, dobbiamo andare su:
- Impostazioni.
- Aggiungi dati.
- Input di dati.
Questo sarà il risultato:
INGRANDIRE
Passaggio 14
Cliccando su "File & Directory" vedremo i dati più riepilogati:
INGRANDIRE
Dalla sezione "Impostazioni" possiamo passare alla categoria "Monitoraggio" per vedere i dettagli più precisi del server:
INGRANDIRE
In questo modo, Splunk è una soluzione completa per monitorare i vari elementi del sistema in tempo reale e con le migliori caratteristiche di configurazione.