Splunk简介,部署,使用

Splunk简介,部署,使⽤
简介
Splunk是⼀款功能强⼤，功能强⼤且完全集成的软件，⽤于实时企业⽇志管理，可收集，存储，搜索，诊断和报告任何⽇志和机器⽣成的数据，包括结构化，⾮结构化和复杂的多⾏应⽤程序⽇志。

它允许您以可重复的⽅式快速，可重复地收集，存储，索引，搜索，关联，可视化，分析和报告任何⽇志数据或机器⽣成的数据，以识别和解决操作和安全问题。

此外，splunk还⽀持各种⽇志管理⽤例，例如⽇志整合和保留，安全性，IT操作故障排除，应⽤程序故障排除以及合规性报告等等;
特点
它易于扩展和完全集成;
⽀持本地和远程数据源;
允许索引机器数据;
⽀持搜索和关联任何数据;
允许您向下钻取和向上钻取数据;
⽀持监控和警报;
还⽀持⽤于可视化的报告和仪表板;
提供对关系数据库的灵活访问，以逗号分隔值（ .CSV ）⽂件或其他企业数据存储（如Hadoop或NoSQL）的字段分隔数据;
⽀持各种⽇志管理⽤例等等;
部署
转到splunk⽹站，创建⼀个帐户并从页⾯获取系统的最新可⽤版本。

RPM软件包可⽤于Red Hat，CentOS和类似版本的Linux。

下载
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https:///bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=安装
下载软件包后，使⽤RPM软件包管理器将Splunk Enterprise RPM安装在缺省⽬录/opt/splunk中
rpm -ivh splunk-8.2.0-e053ef3c985f-linux-2.6-x86_64.rpm
warning: splunk-8.2.0-e053ef3c985f-linux-2.6-x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID b3cd4420: NOKEY
Preparing... ################################# [100%]
Updating / installing...
1:splunk-8.2.0-e053ef3c985f ################################# [100%]
cp: cannot stat ‘/opt/splunk/etc/.splunk-Splunk-Enterprise.swidtag’: No such file or directory
complete
启动
/opt/splunk/bin/splunk start
按Enter键阅读S PLUNK SOFTWARE LICENSE AGREEMENT 。

⼀旦您完成阅读，您将被问到您是否同意此许可？输⼊Y继续。

Do you agree with this license? [y/n]: y
然后为管理员帐户创建凭据，您的密码必须⾄少包含8个可打印的ASCII字符。

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
4.如果所有已安装的⽂件都完好⽆损并且所有初步检查都已通过，则将启动splunk服务器守护程序（ splunkd ），将⽣成⼀个2048位RSA私钥，您可以访问splunk Web界⾯。

All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=howtoing/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.
Look for answers here:
The Splunk web interface is at http://howtoing:8000
5.接下来，使⽤firewall-cmd在防⽕墙中打开Splunk服务器监听的端⼝8000
# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload
使⽤
6.打开Web浏览器并键⼊以下URL以访问splunk Web界⾯。

http://SERVER_IP:8000
要登录，请使⽤⽤户名： admin以及在安装过程中创建的密码。

7.成功登录后，您将进⼊以下屏幕截图中显⽰的splunk管理控制台。

要监视⽇志⽂件，例如/var/log/secure ，请单击“ 添加数据” 。

8.然后单击Monitor以从⽂件中添加数据。

**Splunk监控数据⽂件**
9.从下⼀个界⾯中，选择“ ⽂件和⽬录”
选择Splunk⽂件和⽬录
10.然后设置实例以监视数据的⽂件和⽬录。

要监视⽬录中的所有对象，请选择该⽬录。

要监视单个⽂件，请选择它。

单击“ 浏览”以选择数据源。

选择要监视的Splunk实例
11.将显⽰root(/)⽬录中的⽬录列表，导航到要监视的⽇志⽂件（ / var / log / secure ），然后单击“ 选择” 。

选择监控数据⽂件
12.选择数据源后，选择Continuously Monitor以查看该⽇志⽂件，然后单击Next以设置源类型
设置监视器数据源设置
13.接下来，设置数据源的源类型。

对于我们的测试⽇志⽂件(/var/log/secure) ，我们需要选择Operating System→linux_secure ; 这让splunk知道该⽂件包含来⾃Linux系统的安全相关消息。

然后单击“ 下⼀步”继续
14.您可以选择为此数据输⼊设置其他输⼊参数。

在App上下⽂中，选择“ 搜索和报告” 。

然后单击Review 。

查看后，单击“ 提交”。