Splunk là một cơ sở dữ liệu nhật ký mạnh mẽ có thể tìm kiếm, giám sát và phân tích dữ liệu lớn do máy tạo ra thông qua giao diện web. Đây là một công cụ hữu ích để phân tích, khám phá và tìm kiếm dữ liệu. Sử dụng Splunk, bạn có thể dễ dàng lập chỉ mục, tìm kiếm, thu thập và trực quan hóa các luồng dữ liệu lớn theo thời gian thực từ ứng dụng, máy chủ web, cơ sở dữ liệu, nền tảng máy chủ, Mạng đám mây và nhiều hơn nữa.
Splunk được tạo thành từ ba thành phần chính:
Sau khi tải xuống hoàn tất, hãy cài đặt tệp đã tải xuống bằng lệnh sau:
Sau khi cài đặt hoàn tất thành công, bạn sẽ thấy đầu ra sau:
Tiếp theo, bạn sẽ cần bật dịch vụ Splunk để bắt đầu khi khởi động. Bạn có thể thực hiện việc này bằng cách chạy lệnh sau:
Tại đây, bạn sẽ cần đồng ý với Thỏa thuận cấp phép và cung cấp mật khẩu quản trị viên như sau:
Tiếp theo, khởi động dịch vụ Splunk bằng lệnh sau:
Bạn sẽ thấy đầu ra sau:
Tại đây, hãy cung cấp thông tin đăng nhập quản trị viên của bạn, sau đó nhấp vào nút Đăng nhập, bạn sẽ thấy bảng điều khiển Splunk trong màn hình sau:
Splunk được tạo thành từ ba thành phần chính:
- Splunk Forwarder: Được sử dụng để thu thập nhật ký.
- Splunk Indexer: Được sử dụng để Phân tích cú pháp và Lập chỉ mục dữ liệu.
- Splunk Search Head: Cung cấp giao diện web để tìm kiếm, phân tích và báo cáo.
Yêu cầu
- Máy chủ chạy Ubuntu 18.04 trên hệ thống của bạn.
- Người dùng không phải root có quyền sudo.
Cài đặt Splunk
Splunk hỗ trợ nhiều hệ điều hành bao gồm Windows, Linux, FreeBSD, OSX, Solaris, AIX và nhiều hệ điều hành khác. Bạn có thể tải xuống phiên bản mới nhất của Splunk từ trang web chính thức của họ hoặc sử dụng lệnh sau:
Mã:
wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Mã:
sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Mã:
(Đang đọc cơ sở dữ liệu ... 218552 tệp và thư mục hiện đang được cài đặt.)Đang chuẩn bị giải nén splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ...Đang giải nén splunk (7.1.1) trên (7.1.1) ...Đang thiết lập splunk (7.1.1) ...hoàn tất
Mã:
sudo /opt/splunk/bin/splunk enable boot-start
Mã:
Thỏa thuận cấp phép phần mềm Splunk 04.24.2018Bạn có đồng ý với giấy phép này không? [y/n]: yCó vẻ như đây là lần đầu tiên bạn chạy phiên bản Splunk này.Phải đặt mật khẩu Quản trị viên trước khi tiến hành cài đặt.Mật khẩu phải chứa ít nhất: * Tổng cộng 8 ký tự ASCII có thể in được.Vui lòng nhập mật khẩu mới:Vui lòng xác nhận mật khẩu mới:Đang sao chép '/opt/splunk/etc/openldap/ldap.conf.default' vào '/opt/splunk/etc/openldap/ldap.conf'.Đang tạo khóa riêng RSA, môđun dài 2048 bit.....................+++.................................................................................................+++e là 65537 (0x10001)đang ghi khóa RSAĐang tạo khóa riêng RSA, môđun dài 2048 bit.................+++....................................+++e là 65537 (0x10001)đang ghi khóa RSAĐang di chuyển '/opt/splunk/share/splunk/search_mrsparkle/modules.new' vào '/opt/splunk/share/splunk/search_mrsparkle/modules'. Thêm khởi động hệ thống cho /etc/init.d/splunk ... /etc/rc0.d/K20splunk -> ../init.d/splunk /etc/rc1.d/K20splunk -> ../init.d/splunk /etc/rc6.d/K20splunk -> ../init.d/splunk /etc/rc2.d/S20splunk -> ../init.d/splunk /etc/rc3.d/S20splunk -> ../init.d/splunk /etc/rc4.d/S20splunk -> ../init.d/splunk /etc/rc5.d/S20splunk -> ../init.d/splunkTập lệnh khởi tạo được cài đặt tại /etc/init.d/splunk.Tập lệnh khởi tạo được cấu hình để chạy khi khởi động.
Mã:
sudo service splunk start
Mã:
Đang khởi động trình nền máy chủ splunk (splunkd)...Đang tạo khóa riêng RSA 2048 bit............+++..................................................................................................................................................++đang ghi khóa riêng mới vào 'privKeySecure.pem'-----Chữ ký okchủ đề=/CN=Node3/O=SplunkUserĐang nhận Khóa riêng CAkhông thể ghi 'trạng thái ngẫu nhiên'đang ghi khóa RSAXongĐang chờ máy chủ web tại http://127.0.0.1:8000 khả dụng........ XongNếu bạn gặp sự cố, chúng tôi ở đây để trợ giúp.Tìm câu trả lời tại đây: http://docs.splunk.comGiao diện web Splunk nằm tại http://Node3:8000Truy cập Giao diện web Splunk
Máy chủ Splunk hiện đang chạy và lắng nghe trên cổng 8000. Mở trình duyệt web của bạn và nhập URL , bạn sẽ được chuyển hướng đến trang sau:Tại đây, hãy cung cấp thông tin đăng nhập quản trị viên của bạn, sau đó nhấp vào nút Đăng nhập, bạn sẽ thấy bảng điều khiển Splunk trong màn hình sau: