웹사이트 검색

CentOS 7에 Splunk 로그 분석기를 설치하는 방법

Splunk는 실시간 기업 로그 관리를 위한 강력하고 견고하며 완벽하게 통합된 소프트웨어로, 정형, 비정형 및 복잡한 로그를 포함하여 모든 로그 및 기계 생성 데이터를 수집, 저장, 검색, 진단 및 보고합니다. 여러 줄의 응용 프로그램 로그.

이를 통해 로그 데이터 또는 기계 생성 데이터를 신속하고 반복 가능한 방식으로 수집, 저장, 색인화, 검색, 상관 관계, 시각화, 분석 및 보고하여 운영 및 보안 문제를 식별하고 해결할 수 있습니다.

또한 Splunk는 로그 통합 및 보존, 보안, IT 운영 문제 해결, 애플리케이션 문제 해결, 규정 준수 보고 등 다양한 로그 관리 사용 사례를 지원합니다.

스플렁크 기능:

  • 쉽게 확장할 수 있고 완전히 통합되어 있습니다.
  • 로컬 및 원격 데이터 소스를 모두 지원합니다.
  • 머신 데이터 인덱싱을 허용합니다.
  • 모든 데이터 검색 및 상관관계를 지원합니다.
  • 데이터를 드릴다운 및 피벗할 수 있습니다.
  • 모니터링 및 경고를 지원합니다.
  • 시각화를 위한 보고서와 대시보드도 지원합니다.
  • 관계형 데이터베이스, 쉼표로 구분된 값(.CSV) 파일의 필드 구분 데이터 또는 Hadoop 또는 NoSQL과 같은 기타 엔터프라이즈 데이터 저장소에 대한 유연한 액세스를 제공합니다.
  • 광범위한 로그 관리 사용 사례 등을 지원합니다.

이 문서에서는 최신 버전의 Splunk 로그 분석기를 설치하는 방법과 로그 파일(데이터 소스)을 추가하고 이를 통해 CentOS 7 에서 이벤트를 검색하는 방법을 보여줍니다. (RHEL 배포판에서도 작동)

권장 시스템 요구 사항:

  1. 최소 설치가 포함된 CentOS 7 서버 또는 RHEL 7 서버.
  2. 최소 12GB RAM

테스트 환경:

  1. CentOS 7 최소 설치가 포함된 Linode VPS.

CentOS 7 로그를 모니터링하기 위해 Splunk Log Analyser 설치

1. Splunk 웹사이트로 이동하여 계정을 만들고 Splunk Enterprise 다운로드 페이지에서 시스템에 사용 가능한 최신 버전을 다운로드하세요. RPM 패키지는 Red Hat, CentOS 및 유사한 Linux 버전에서 사용할 수 있습니다.

또는 웹 브라우저를 통해 직접 다운로드하거나 다운로드 링크를 얻은 다음 wget commandv를 사용하여 표시된 대로 명령줄을 통해 패키지를 가져올 수 있습니다.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. 패키지를 다운로드한 후 그림과 같이 RPM 패키지 관리자를 사용하여 기본 디렉터리인 /opt/splunkSplunk Enterprise RPM을 설치합니다. .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. 그런 다음 Splunk Enterprise 명령줄 인터페이스(CLI)를 사용하여 서비스를 시작합니다.

/opt/splunk/bin/./splunk start

Enter 키를 눌러 SPLUNK 소프트웨어 라이센스 계약을 읽어보세요. 다 읽고 나면 이 라이센스에 동의하십니까?라는 질문이 표시됩니다. 계속하려면 Y를 입력하세요.

Do you agree with this license? [y/n]: y

그런 다음 관리자 계정에 대한 자격 증명을 만듭니다. 비밀번호에는 인쇄 가능한 총 ASCII 문자가 8개 이상 포함되어야 합니다.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. 설치된 모든 파일이 손상되지 않고 모든 예비 검사를 통과한 경우 splunk 서버 데몬(splunkd)이 시작되고 2048비트 RSA 개인 키가 생성되며 splunk 웹 인터페이스에 액세스할 수 있습니다.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. 다음으로 Firewall-cmd를 사용하여 방화벽에서 Splunk 서버가 수신 대기하는 포트 8000을 엽니다.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. 웹 브라우저를 열고 다음 URL을 입력하여 splunk 웹 인터페이스에 액세스하십시오.

http://SERVER_IP:8000

로그인하려면 사용자 이름: admin과 설치 과정에서 생성한 비밀번호를 사용하세요.

7. 로그인에 성공하면 다음 스크린샷에 표시된 Splunk 관리 콘솔로 이동하게 됩니다. 로그 파일(예: /var/log/secure)을 모니터링하려면 데이터 추가를 클릭하세요.

8. 그런 다음 모니터링을 클릭하여 파일의 데이터를 추가합니다.

9. 다음 인터페이스에서 파일 및 디렉터리를 선택합니다.

10. 그런 다음 파일과 디렉터리의 데이터를 모니터링하도록 인스턴스를 설정합니다. 디렉터리의 모든 개체를 모니터링하려면 디렉터리를 선택합니다. 단일 파일을 모니터링하려면 해당 파일을 선택하세요. 찾아보기를 클릭하여 데이터 소스를 선택합니다.

11. root(/) 디렉토리에 있는 디렉토리 목록이 표시됩니다. 모니터링하려는 로그 파일(/var/log)로 이동합니다. /secure) 선택을 클릭하세요.

12. 데이터 소스를 선택한 후 지속적 모니터링을 선택하여 해당 로그 파일을 확인하고 다음을 클릭하여 소스 유형을 설정합니다.

13. 다음으로 데이터 소스의 소스 유형을 설정합니다. 테스트 로그 파일 (/var/log/secure)의 경우 운영 체제→linux_secure를 선택해야 합니다. 이를 통해 Splunk는 파일에 Linux 시스템의 보안 관련 메시지가 포함되어 있음을 알 수 있습니다. 그런 다음 다음을 클릭하여 계속 진행하세요.

14. 선택적으로 이 데이터 입력에 대한 추가 입력 매개변수를 설정할 수 있습니다. 앱 컨텍스트에서 검색 및 보고를 선택합니다. 그런 다음 검토를 클릭하세요. 검토한 후 제출을 클릭하세요.

15. 이제 파일 입력이 성공적으로 생성되었습니다. 데이터를 검색하려면 검색 시작을 클릭하세요.

16. 모든 데이터 입력을 보려면 설정→데이터→데이터 입력으로 이동하세요. 그런 다음 파일 및 디렉터리 등 보려는 유형을 클릭합니다.

17. 다음은 splunk 데몬을 관리(재시작 또는 중지)하기 위한 추가 명령입니다.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

이제부터 더 많은 데이터 소스(Splunk Forwarder를 사용하여 로컬 또는 원격)를 추가하고 데이터를 탐색하거나 Splunk 앱을 설치하여 기본 기능을 향상시킬 수 있습니다. 공식 웹사이트에서 제공되는 splunk 설명서를 읽으면 더 많은 작업을 수행할 수 있습니다.

Splunk 홈페이지: https://www.splunk.com/

지금은 그게 다야! Splunk는 강력하고 완벽하게 통합된 실시간 기업 로그 관리 소프트웨어입니다. 이 기사에서는 CentOS 7에 최신 버전의 Splunk 로그 분석기를 설치하는 방법을 설명했습니다. 질문이나 공유할 생각이 있는 경우 아래 의견 양식을 사용하여 저희에게 연락해 주세요.