Les systèmes d'exploitation actuels ont des fonctionnalités qui permettent d'enregistrer chaque situation qui se produit; à la fois avec le système d'exploitation lui-même et avec ses applications et ses composants internes. Cela facilite toutes les tâches que nous devons effectuer en tant qu'administrateurs dans le cadre des tâches de support, d'audit et de prévention des erreurs.
Grâce aux journaux d'événements, il est possible d'obtenir des détails sur les arrêts, les redémarrages ou les connexions au système, les accès, l'édition des applications et chacune de ces tâches peut devenir indispensable pour les procédures d'administration quelle que soit la taille de l'organisation.
Splunk a été développé comme un logiciel de grande capacité, qui peut être intégré pour effectuer la gestion des dossiers commerciaux en temps réel afin de collecter, stocker, rechercher, diagnostiquer et rapporter tout enregistrement ou donnée généré par le serveur et multi- les journaux d'application de ligne sont également inclus; structuré, non structuré et complexe.
C'est pourquoi Solvetic expliquera aujourd'hui ce qu'est Splunk et comment l'installer et le configurer sur CentOS 7 sous Linux étape par étape.
Qu'est-ce que Splunk ?Splunk est une plateforme d'intelligence opérationnelle, qui permet aux administrateurs système ou réseau d'avoir accès à des détails beaucoup plus complets sur les valeurs et les informations qui peuvent permettre à l'entreprise d'être plus productive, rentable, compétitive et sécurisée dans tous les aspects tant internes qu'externes.
Splunk gère deux domaines essentiels qui sont :
Intelligence opérationnelleCela nous permet de comprendre en temps réel tout ce qui se passe dans les systèmes informatiques et dans l'infrastructure technologique afin de prendre les bonnes décisions, associées aux erreurs et aux améliorations à apporter, en recherchant le meilleur bénéfice pour tous.
Données machineCeux-ci contiennent les enregistrements de toutes les activités et comportements des clients, utilisateurs, transactions, applications, serveurs, réseaux et appareils mobiles, entre autres; où les configurations, les données d'API, les files d'attente de messages et bien plus encore sont incluses.
Fonctionnalités de SplunkParmi les fonctionnalités offertes par cette plateforme nous avons :
Prenez des données à partir de n'importe quelle information d'équipementSplunk peut collecter et indexer les données du registre et de l'ordinateur lui-même à partir de n'importe quelle source; de cette manière, il sera possible de combiner les données sur l'ordinateur avec les données des bases de données relationnelles, des entrepôts de données et des entrepôts de données Hadoop et NoSQL.
Plateforme de développement ouverteLes développeurs peuvent créer de nouvelles applications Splunk personnalisées ou intégrer des données Splunk dans d'autres applications; ce qui nous donne la possibilité de faire évoluer au maximum l'utilisation de la plateforme.
Architecture de classe entrepriseSplunk est mis à l'échelle pour l'équilibrage de charge automatique et le clustering multi-sites afin de prendre en charge des centaines de téraoctets de données quotidiennement afin d'optimiser les temps de réponse et de fournir une disponibilité continue pour les administrateurs.
Applications et plugins SplunkbaseDes applications Splunk sont disponibles pour profiter pleinement de la plateforme et ainsi augmenter vos profits.
IndexageSplunk indexe les données dans l'infrastructure informatique. De cette façon, il sera possible d'obtenir des données à partir de sites Web, d'applications, de serveurs, de bases de données, de systèmes d'exploitation et bien plus encore.
RechercheLa recherche est la meilleure alternative pour accéder aux données dans Splunk. Il sera possible d'enregistrer une recherche sous forme de rapport et de l'utiliser pour alimenter les panneaux du tableau de bord. De plus, ces recherches offrent des informations sur les données telles que le calcul métrique, la recherche de conditions spécifiques et plus encore.
AlertesLes alertes Splunk nous avertissent lorsque la recherche et les résultats en temps réel remplissent les conditions ainsi configurées. Les alertes peuvent être configurées pour déclencher des actions telles que l'envoi d'informations d'alerte à des adresses e-mail désignées, la publication d'informations d'alerte dans un flux RSS et l'exécution d'un script personnalisé si nécessaire.
RapportsSplunk nous permet d'enregistrer les recherches et les pivots sous forme de rapports, pour ajouter ultérieurement des rapports aux tableaux de bord en tant que tableaux de bord.
Gestion des pivotsUn pivot fait référence à un tableau, un graphique ou une visualisation de données créé avec l'éditeur de pivot. L'éditeur Pivot permet aux utilisateurs d'ajouter des attributs définis par des objets de modèle de données à un tableau, un graphique ou une visualisation de données sans avoir à exécuter des recherches dans le langage de traitement de recherche (SPL) pour les générer.
PlanchesLes tableaux de bord Splunk contiennent des tableaux de bord de modules tels que des champs de recherche, des champs ou des graphiques dans le but d'afficher les résultats de recherche et en temps réel.
Configuration requise
Les systèmes d'exploitation suivants sont requis pour utiliser Splunk :
- Solaris 10 et 11.
- PowerLinux, noyau Little Endian version 2.6 et supérieure.
- zLinux, noyau version 2.6.
- FreeBSD 10 et 11.
- macOS 10.12 et 10.13.
- AIX 7.1 et 7.2.
- ARM Linux.
- CentOS 7.
- Windows Server 2012, Server 2012 R2 et Server 2016.
- Windows 10.
1. Comment installer Splunk sur CentOS 7 Linux
Pour cette installation, nous avons deux options :
Option 1La première consiste à se rendre sur le site Web de Splunk, à créer un compte et à obtenir ainsi la dernière version disponible pour la distribution sur la page de téléchargement de Splunk Enterprise. Les packages RPM sont disponibles pour Red Hat, CentOS et des versions similaires de Linux.
Le site officiel est le suivant :
Option 2
Étape 1
Si vous ne souhaitez pas utiliser cette méthode, nous pouvons utiliser la commande wget pour la télécharger directement sur le système en exécutant la commande suivante :
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1 .2-a0c72a66db66-linux-2.6-x86_64.rpm & wget = true '
Étape 2
Une fois le processus de téléchargement du package terminé, nous allons installer Splunk Enterprise RPM dans le répertoire par défaut; qui est / opt / splunk en utilisant le gestionnaire de packages RPM comme suit :
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
Étape 3
Nous allons maintenant utiliser l'interface de ligne de commande (CLI) de Splunk Enterprise pour démarrer le service comme ceci :
sudo /opt/splunk/bin/./splunk startTout d'abord, il nous faudra lire les accords de durée de licence :
Ensuite, nous devons entrer la lettre "y" pour accepter les termes de cette licence, nous appuyons sur "Entrée"
Étape 4
Nous devons maintenant attribuer et confirmer le mot de passe de l'utilisateur administrateur. Encore une fois, nous appuyons sur "Entrée"
Étape 5
Cela lancera le processus de configuration et d'installation de Splunk :
Étape 6
Si tous les fichiers installés sont corrects et que toutes les vérifications préliminaires réussissent, le démon du serveur Splunk (splunkd) démarrera, générant une clé privée RSA de 2048 bits. Dans la dernière partie nous verrons comment accéder à l'interface web de Splunk :
Étape 7
Ensuite, nous allons ouvrir le port 8000, que le serveur Splunk écoute, sur le pare-feu en utilisant le firewall-cmd comme suit :
firewall-cmd --add-port = 8000 / tcp --permanent firewall-cmd --reload
2. Comment accéder à Splunk sur CentOS 7 Linux
Étape 1
Une fois cela fait, nous accéderons à l'interface Splunk en utilisant la syntaxe suivante :
http : // SERVER_IP : 8000Dans la fenêtre affichée, nous entrerons l'utilisateur admin et le mot de passe que nous avons défini lors du processus de configuration déjà décrit. Cliquez sur "Se connecter"
Étape 2
Ce sera l'environnement initial de l'application :
AGRANDIR
Étape 3
Pour ajouter des données à surveiller, cliquez sur la section "Ajouter des données" et nous verrons ce qui suit. Là, nous cliquons sur la section "Moniteur".
Étape 4
Dans ce cas nous cliquerons sur la catégorie "Fichiers & Répertoires"
Étape 5
Dans la fenêtre suivante, nous devons configurer l'instance pour surveiller les fichiers et les répertoires pour les données.
Étape 6
Pour surveiller tous les objets d'un répertoire, nous sélectionnerons le répertoire respectif. Si on veut surveiller un seul fichier, il faudra le sélectionner en cliquant sur « Parcourir » pour sélectionner la source de données, ce qui suit s'affichera :
Étape 7
Il suffit de cliquer sur chaque ligne pour afficher tous ses sous-répertoires où nous sélectionnerons celui souhaité. Une fois sélectionné, nous cliquons sur le bouton "Sélectionner".
Étape 8
Nous verrons ceci ; maintenant nous cliquons sur le bouton "Suivant" en haut.
AGRANDIR
Étape 9
Nous allons définir les paramètres de surveillance pour les données sélectionnées. Une fois celui-ci défini, cliquez sur "Suivant".
AGRANDIR
Étape 10
Ensuite, nous verrons un résumé du processus exécuté, cliquez sur "Soumettre" pour charger la configuration.
AGRANDIR
Étape 11
Ce qui suit s'affichera, pour démarrer le processus de surveillance, cliquez sur le bouton "Démarrer la recherche".
AGRANDIR
Étape 12
Ce qui suit sera affiché, là nous pouvons voir chaque événement par catégorie avec ses informations respectives.
AGRANDIR
Étape 13
Pour voir toutes les entrées de données, il faut aller sur :
- Paramètres.
- Ajouter des données.
- Entrées de données.
Ce sera le résultat :
AGRANDIR
Étape 14
En cliquant sur "Fichiers & Répertoires", nous verrons les données les plus résumées :
AGRANDIR
Depuis la section "Paramètres" nous pouvons aller dans la catégorie "Surveillance" afin de voir des détails plus précis du serveur :
AGRANDIR
De cette façon, Splunk est une solution complète pour surveiller divers éléments du système en temps réel et avec les meilleures fonctionnalités de configuration.