图片 18

CentOS 7安装Splunk

服务器管理软件能够让服务器人员方便快捷的部署管理服务器,节省用户的配置部署时间以及维护时间。配置服务器是一项十分耗时且麻烦的工作,有序部署额外服务器或替换有故障服务器的能力对保证企业应用程序运行至关重要,服务器管理软件可以帮助管理员减轻压力。

网络管理员如果想在企业的大型网络中掌握网络性能,离不开对网络日志的分析,帮助你在网络性能出现问题时,及早发现。哪些日志分析工具会成为你的得力助手?为什么需要日志分析工具?

CentOS 7安装Splunk

导读Splunk是探索和搜索数据的最有力工具,从收集和分析应用程序、Web服务器、数据库和服务器平台的实时可视化海量数据流,分析出IT企业产生的海量数据,安全系统或任何商业应用,给你一个总的见解获得结果的最佳运营绩效和业务。

没有官方的安装必须条件,但为服务器安装防火墙和网络配置之前,我推荐一个合适的域名。该软件只支持64位服务器架构,在这篇文章中,我指导你如何在CentOS
7服务器安装Splunk的企业版。让我们用一个一个步骤的安装。

1.创建一个Splunk用户

Splunk总是建议使用专用用户为此应用程序运行,而不是根用户。我创建了一个用户运行该应用程序,并创建了一个文件夹安装应用程序。

[[email protected] tmp]# groupadd splunk[[email protected] tmp]# useradd -d /opt/splunk -m -g splunk splunk[[email protected] tmp]# su - splunk[[email protected] ~]$ iduid=1001(splunk) gid=1001(splunk) groups=1001(splunk)Confirm the server architecture[[email protected] ~]$ getconf LONG_BIT64

2.下载解压Splunk企业版

从Splunk官方网站下载Splunk软件,创建一个账户。
图片 1
现在解压tar文件,将文件复制到/opt/splunk下已经创建splunk的应用程序文件夹下面。

[email protected] tmp]# tar -xvf splunk-6.4.0-f2c836328108-Linux-x86_64.tgz[[email protected] tmp]# cp -rp splunk/* /opt/splunk/[[email protected] tmp]# chown -R splunk: /opt/splunk/

3.安装Splunk

Splunk软件下载之后,您可以用您的Splunk用户登录运行安装脚本。我选择试用许可证,所以它会默认。

[email protected] tmp]# su - splunkLast login: Fri Apr 29 08:14:12 UTC 2016 on pts/0[[email protected] ~]$ cd bin/[[email protected] bin]$ ./splunk start --accept-licenseThis appears to be your first time running this version of Splunk.Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.Generating RSA private key, 1024 bit long modulus.++++++..................++++++e is 65537 (0x10001)writing RSA keyGenerating RSA private key, 1024 bit long modulus................++++++..++++++e is 65537 (0x10001)writing RSA keyMoving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.Splunk> Australian for grep.Checking prerequisites...Checking http port [8000]: openChecking mgmt port [8089]: openChecking appserver port [127.0.0.1:8065]: openChecking kvstore port [8191]: openChecking configuration... Done.Creating: /opt/splunk/var/lib/splunkCreating: /opt/splunk/var/run/splunkCreating: /opt/splunk/var/run/splunk/appserver/i18nCreating: /opt/splunk/var/run/splunk/appserver/modules/static/cssCreating: /opt/splunk/var/run/splunk/uploadCreating: /opt/splunk/var/spool/splunkCreating: /opt/splunk/var/spool/dirmoncacheCreating: /opt/splunk/var/lib/splunk/authDbCreating: /opt/splunk/var/lib/splunk/hashDbChecking critical directories... DoneChecking indexes...Validated: _audit _internal _introspection _thefishbucket history main summaryDoneNew certs have been generated in '/opt/splunk/etc/auth'.Checking filesystem compatibility... DoneChecking conf files for problems...DoneChecking default conf files for edits...Validating installed files against hashes from '/opt/splunk/splunk-6.4.0-f2c836328108-linux-2.6-x86_64-manifest'All installed files intact.DoneAll preliminary checks passed.Starting splunk server daemon (splunkd)...Generating a 1024 bit RSA private key.....................++++++...........................++++++writing new private key to 'privKeySecure.pem'-----Signature oksubject=/CN=server1.centos7-test.com/O=SplunkUserGetting CA Private Keywriting RSA keyDone[ OK ]Waiting for web server at http://127.0.0.1:8000 to be available.... DoneIf you get stuck, we're here to help.Look for answers here: http://docs.splunk.comThe Splunk web interface is at http://server1.centos7-test.com:8000

现在您可以访问您的Splunk Web界面
/或

4.配置Splunk Web界面

我已经完成Splunk的安装,Splunk服务在我的服务器中正常运行。现在我需要设置我Splunk
Web界面,使用我设置的管理员密码访问Splunk web界面。
图片 2
第一次当您访问Splunk的界面,你在页面中使用的是管理员用户和密码。一旦登录,就在下一页,它会要求更改和确认您的新密码。
图片 3
现在,您已经设置新的管理员密码。一旦您使用新密码登录,您将有准备使用的Splunk仪表板。
图片 4
在主页上列出了不同的类别,您可以选择所需的一个开始splunking。

5.添加任务

我要加入一个例子为一个简单的任务,它被添加到 Splunk
系统。只是看到我的快照,以了解我将如何添加它。我的任务是将
/var/log文件夹添加到Splunk系统的监测。

1.打开Splunk Web界面,并在设置选项卡上单击 > >
选择添加数据选项

图片 5

2.在这里我们的任务是监视文件夹,所以我们继续监视。

图片 6
在监视器选项,有下图所示的四个类别:

文件与目录:监视文件/文件夹

HTTP事件收集器:监视通过HTTP的数据流

TCP/UDP:监视服务端口

脚本:监控脚本

3.根据我们的目的,我选择文件及目录选项。

图片 7

4.从需要监视的服务器选择确切的文件夹路径。

图片 8
图片 9
图片 10

5.现在你可以开始搜索和监测作为所需的日志文件。

图片 11
图片 12
在服务器上你可以看到我的日志被缩小到一个应用程序。
图片 13
这只是Splunking一个简单的例子,您可以将尽可能多的任务添加到这,浏览您的服务器数据。我希望这篇文章是丰富的頩对你有用的。感谢您阅读到这里,请您提出宝贵的建议和意见。现在试着使用Splunk吧!!


原文来自:

本文地址:

7安装Splunk 导读
Splunk是探索和搜索数据的最有力工具,从收集和分析应用程序、Web服务器、数据库和服务器平台的实时可视化海量数据…

图片 14

连接到网络的每个设备或应用都会创建日志文件。网络管理员使用这些日志文件来查看性能数据。这些工具很有用,因为它们提供了对用户本来不具备的数据的访问权限。日志分析工具从设备的日志文件中收集数据,并将其转换为易于阅读的格式。

此外,服务器管理的一大困难还在于它上面有数以千计的组件,各个都有不同的接口,因此考虑到服务器所涉及的任务,服务器管理起来的复杂程度可能相当惊人。管理的任务将包括安装操作系统、内核模块、中间件和应用程序,而且不同企业有不同的定制需求,比如web服务器、电子邮件服务器等等。

在日志分析工具中,以图形将性能的相关数据显示到仪表盘。以这种集中格式,读取性能数据要比尝试直接读取日志文件作为文本文件容易得多。SolarWinds
Log & Event Manager

相比于如今已经成熟的Windows
Server工具软件,Linux的服务器管理软件仍然是非常稀少,但是随着Linux近年兴起,Linux上也出现了相应的管理工具,这里列出四款优秀的Linux服务器配置工具,供系统管理员参考。

SolarWinds Log&Event
Manager是Windows的日志分析工具,可提供集中的日志监控体验。该平台提供事件时间检测,帮助用户快速检测问题所在。由SolarWinds
Log&Event Manager处理的数据在传输过程中会进行加密,未经授权无法读取。

支持多平台的Splunk

图片 15

Splunk是一个能够支持多种平台的IT数据、日志分析软件,支持平台包括主流的Windows,
Linux, Solaris, FreeBSD, AIX, MacOS,
HP-UX。与谷歌Analytics这一类的Web日志分析软件的不同之处在于Splunk可以支持任何IT设备(服务器、网络设备、应用程序、数据库等)所产生的日志,其对日志进行处理的方式是进行高效索引之后让管理员可以对日志中出现的各种情况进行搜索,并且通过非常好的图形化的方式展现出来。

SolarWinds Log&Event
Manager提供的响应能力是其最大的优势。一旦检测到问题,该工具可以自动响应阻止IP,关闭应用,改变访问权限,禁用帐户,USB设备等。能够应对这些问题有助于将风险降至最低。

图片 16

为了进一步分析,可以将日志结果(规范化日志或特定日志文件)转发给团队的其他成员或转化为报告。SolarWinds
Log&Event Manager提供的报告符合HIPAA,PCI
DSS,SOX,DISA和STIG。报告功能的范围使该工具非常适合需要高度合规性的大型企业。

支持多平台的Splunk(图片来自网络)

总体而言,SolarWinds Log&Event
Manager是基于威胁响应能力和法规遵从性的绝佳选择。它提供一个30天的免费试用。PRTG
Network Monitor

如今的服务器产生的日志的数量非常惊人,当遇到突发情况,我们很难再还老的日志中找到有用的信息。而Splunk使用了现代搜索引擎技术对日志进行搜索,同时提供了一个非常强大的AJAX式的界面展现日志。让我们能够快速找到问题,缩短宕机时间。

PRTG Network
Monitor是一个网络监控平台,包括Windows事件日志传感器和Syslog接收传感器。Windows事件日志传感器监控Windows系统和应用日志文件,并显示日志消息的速率。该系统日志接收传感器记录的由设备在网络中发送的每秒系统日志文件的数量和过滤。过滤器是可自定义的,因此可以确定哪些活动将触发警报。

Splunk是一款对IT管理员非常有用、非常专业的工具。与其他Linux下的其他日志分析软件不同,Splunk是一个商业软件,但是其提供了可以自由使用的Splunk测试版可以免费下载,而如果需要海量授权及更多的功能比如分散式搜寻(Distributed
Search)、排程告警(Schedule Alert)、权限(Access
Control)这样的功能的话,则需要购买企业版。

图片 17

PRTG Network
Monitor提供的通知系统具有高度可定制性。可以确定是否要通过电子邮件,短信或推送通知来接收。警报选项范围意味着你几乎可以在任何设备上从PRTG接收网络性能更新。

它的免费版本最多支持100个传感器,之后你必须使用付费版本。它也提供30天的免费试用。Papertrail

Papertrail是Windows的日志分析器,可自动扫描日志数据。扫描日志数据时,可以选择希望扫描结果显示的信息。例如,可以选择扫描是否包含IP地址,电子邮件地址,
GUID/UUID,HTTPURL,域,主机,文件名和引用文本。

图片 18

Papertrail的一个重点是事件的解决。为了帮助你更快地找到安全事件的原因,可以按时间,来源或选择的自定义字段筛选日志事件。以这种方式过滤日志可以消除不相关的数据,并专注于最重要的数据。

Papertrail提供的另一种类似过滤选项允许你检测日志数据的趋势。可以按源,数据,严重性级别,工具或消息内容过滤事件。过滤后的搜索完成后,你将能够在屏幕底部查看结果图表。

Papertrail易于部署的日志分析器的理想选择。它提供免费的计划,允许你每月监控多达100
MB的数据。Splunk