CentOS 7에 Splunk 로그 분석기를 설치하는 방법
Splunk는 실시간 기업 로그 관리를 위한 강력하고 견고하며 완벽하게 통합된 소프트웨어로, 정형, 비정형 및 복잡한 로그를 포함하여 모든 로그 및 기계 생성 데이터를 수집, 저장, 검색, 진단 및 보고합니다. 여러 줄의 응용 프로그램 로그.
이를 통해 로그 데이터 또는 기계 생성 데이터를 신속하고 반복 가능한 방식으로 수집, 저장, 색인화, 검색, 상관 관계, 시각화, 분석 및 보고하여 운영 및 보안 문제를 식별하고 해결할 수 있습니다.
또한 Splunk는 로그 통합 및 보존, 보안, IT 운영 문제 해결, 애플리케이션 문제 해결, 규정 준수 보고 등 다양한 로그 관리 사용 사례를 지원합니다.
스플렁크 기능:
- 쉽게 확장할 수 있고 완전히 통합되어 있습니다.
- 로컬 및 원격 데이터 소스를 모두 지원합니다.
- 머신 데이터 인덱싱을 허용합니다.
- 모든 데이터 검색 및 상관관계를 지원합니다.
- 데이터를 드릴다운 및 피벗할 수 있습니다.
- 모니터링 및 경고를 지원합니다.
- 시각화를 위한 보고서와 대시보드도 지원합니다.
- 관계형 데이터베이스, 쉼표로 구분된 값(.CSV) 파일의 필드 구분 데이터 또는 Hadoop 또는 NoSQL과 같은 기타 엔터프라이즈 데이터 저장소에 대한 유연한 액세스를 제공합니다.
- 광범위한 로그 관리 사용 사례 등을 지원합니다.
이 문서에서는 최신 버전의 Splunk 로그 분석기를 설치하는 방법과 로그 파일(데이터 소스)을 추가하고 이를 통해 CentOS 7 에서 이벤트를 검색하는 방법을 보여줍니다. (RHEL 배포판에서도 작동)
권장 시스템 요구 사항:
- 최소 설치가 포함된 CentOS 7 서버 또는 RHEL 7 서버.
- 최소 12GB RAM
테스트 환경:
- CentOS 7 최소 설치가 포함된 Linode VPS.
CentOS 7 로그를 모니터링하기 위해 Splunk Log Analyser 설치
1. Splunk 웹사이트로 이동하여 계정을 만들고 Splunk Enterprise 다운로드 페이지에서 시스템에 사용 가능한 최신 버전을 다운로드하세요. RPM 패키지는 Red Hat, CentOS 및 유사한 Linux 버전에서 사용할 수 있습니다.
또는 웹 브라우저를 통해 직접 다운로드하거나 다운로드 링크를 얻은 다음 wget commandv를 사용하여 표시된 대로 명령줄을 통해 패키지를 가져올 수 있습니다.
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. 패키지를 다운로드한 후 그림과 같이 RPM 패키지 관리자를 사용하여 기본 디렉터리인 /opt/splunk에 Splunk Enterprise RPM을 설치합니다. .
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete
3. 그런 다음 Splunk Enterprise 명령줄 인터페이스(CLI)를 사용하여 서비스를 시작합니다.
/opt/splunk/bin/./splunk start
Enter 키를 눌러 SPLUNK 소프트웨어 라이센스 계약을 읽어보세요. 다 읽고 나면 이 라이센스에 동의하십니까?라는 질문이 표시됩니다. 계속하려면 Y
를 입력하세요.
Do you agree with this license? [y/n]: y
그런 다음 관리자 계정에 대한 자격 증명을 만듭니다. 비밀번호에는 인쇄 가능한 총 ASCII 문자가 8개 이상 포함되어야 합니다.
Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
4. 설치된 모든 파일이 손상되지 않고 모든 예비 검사를 통과한 경우 splunk 서버 데몬(splunkd)이 시작되고 2048비트 RSA 개인 키가 생성되며 splunk 웹 인터페이스에 액세스할 수 있습니다.
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://tecmint:8000
5. 다음으로 Firewall-cmd를 사용하여 방화벽에서 Splunk 서버가 수신 대기하는 포트 8000을 엽니다.
firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload
6. 웹 브라우저를 열고 다음 URL을 입력하여 splunk 웹 인터페이스에 액세스하십시오.
http://SERVER_IP:8000
로그인하려면 사용자 이름: admin과 설치 과정에서 생성한 비밀번호를 사용하세요.
7. 로그인에 성공하면 다음 스크린샷에 표시된 Splunk 관리 콘솔로 이동하게 됩니다. 로그 파일(예: /var/log/secure
)을 모니터링하려면 데이터 추가를 클릭하세요.
8. 그런 다음 모니터링을 클릭하여 파일의 데이터를 추가합니다.
9. 다음 인터페이스에서 파일 및 디렉터리를 선택합니다.
10. 그런 다음 파일과 디렉터리의 데이터를 모니터링하도록 인스턴스를 설정합니다. 디렉터리의 모든 개체를 모니터링하려면 디렉터리를 선택합니다. 단일 파일을 모니터링하려면 해당 파일을 선택하세요. 찾아보기를 클릭하여 데이터 소스를 선택합니다.
11. root(/)
디렉토리에 있는 디렉토리 목록이 표시됩니다. 모니터링하려는 로그 파일(/var/log)로 이동합니다. /secure) 선택을 클릭하세요.
12. 데이터 소스를 선택한 후 지속적 모니터링을 선택하여 해당 로그 파일을 확인하고 다음을 클릭하여 소스 유형을 설정합니다.
13. 다음으로 데이터 소스의 소스 유형을 설정합니다. 테스트 로그 파일 (/var/log/secure)
의 경우 운영 체제→linux_secure를 선택해야 합니다. 이를 통해 Splunk는 파일에 Linux 시스템의 보안 관련 메시지가 포함되어 있음을 알 수 있습니다. 그런 다음 다음을 클릭하여 계속 진행하세요.
14. 선택적으로 이 데이터 입력에 대한 추가 입력 매개변수를 설정할 수 있습니다. 앱 컨텍스트에서 검색 및 보고를 선택합니다. 그런 다음 검토를 클릭하세요. 검토한 후 제출을 클릭하세요.
15. 이제 파일 입력이 성공적으로 생성되었습니다. 데이터를 검색하려면 검색 시작을 클릭하세요.
16. 모든 데이터 입력을 보려면 설정→데이터→데이터 입력으로 이동하세요. 그런 다음 파일 및 디렉터리 등 보려는 유형을 클릭합니다.
17. 다음은 splunk 데몬을 관리(재시작 또는 중지)하기 위한 추가 명령입니다.
/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop
이제부터 더 많은 데이터 소스(Splunk Forwarder를 사용하여 로컬 또는 원격)를 추가하고 데이터를 탐색하거나 Splunk 앱을 설치하여 기본 기능을 향상시킬 수 있습니다. 공식 웹사이트에서 제공되는 splunk 설명서를 읽으면 더 많은 작업을 수행할 수 있습니다.
Splunk 홈페이지: https://www.splunk.com/
지금은 그게 다야! Splunk는 강력하고 완벽하게 통합된 실시간 기업 로그 관리 소프트웨어입니다. 이 기사에서는 CentOS 7에 최신 버전의 Splunk 로그 분석기를 설치하는 방법을 설명했습니다. 질문이나 공유할 생각이 있는 경우 아래 의견 양식을 사용하여 저희에게 연락해 주세요.