ວິທີການຕິດຕັ້ງນັກວິເຄາະ Log Log Log ໃນ CentOS 7

Splunk ແມ່ນໂປແກຼມທີ່ມີປະສິດທິພາບ, ເຂັ້ມແຂງ, ແລະປະສົມປະສານຢ່າງເຕັມທີ່ ສຳ ລັບການຈັດການບັນທຶກວິສາຫະກິດໃນເວລາຈິງເພື່ອເກັບ ກຳ, ເກັບມ້ຽນ, ຄົ້ນຫາ, ວິນິດໄສແລະລາຍງານຂໍ້ມູນບັນທຶກແລະເຄື່ອງຈັກທີ່ຜະລິດໂດຍເຄື່ອງຈັກ, ລວມທັງບັນທຶກການ ນຳ ໃຊ້ຫຼາຍເສັ້ນທີ່ມີໂຄງສ້າງ, ບໍ່ມີໂຄງສ້າງ, ແລະສັບຊ້ອນ.

ມັນຊ່ວຍໃຫ້ທ່ານສາມາດເກັບ ກຳ, ເກັບຮັກສາ, ດັດສະນີ, ຄົ້ນຫາ, ແກ້ໄຂ, ເບິ່ງເຫັນ, ວິເຄາະແລະລາຍງານກ່ຽວກັບຂໍ້ມູນບັນທຶກຫຼືຂໍ້ມູນທີ່ຜະລິດໂດຍເຄື່ອງຈັກໄດ້ຢ່າງວ່ອງໄວແລະມີລັກສະນະຊ້ ຳ, ສາມາດ ກຳ ນົດແລະແກ້ໄຂບັນຫາການ ດຳ ເນີນງານແລະຄວາມປອດໄພ.

ນອກຈາກນັ້ນ, ການແບ່ງປັນສະ ໜັບ ສະ ໜູນ ກໍລະນີການ ນຳ ໃຊ້ການຈັດການການ ນຳ ໃຊ້ໄມ້ເຊັ່ນ: ການຮວບຮວມແລະການຮັກສາທ່ອນໄມ້, ການຮັກສາຄວາມປອດໄພ, ການແກ້ໄຂບັນຫາການ ດຳ ເນີນງານຂອງໄອທີ, ການແກ້ໄຂບັນຫາໃນການ ນຳ ໃຊ້ລວມທັງການລາຍງານການປະຕິບັດຕາມແລະອື່ນໆ.

  • ມັນສາມາດຂະຫຍາຍແລະປະສົມປະສານໄດ້ຢ່າງງ່າຍດາຍ.
  • ສະ ໜັບ ສະ ໜູນ ທັງແຫຼ່ງຂໍ້ມູນທ້ອງຖິ່ນແລະໄລຍະໄກ.
  • ອະນຸຍາດໃຫ້ດັດສະນີຂໍ້ມູນເຄື່ອງຈັກ.
  • ສະ ໜັບ ສະ ໜູນ ການຄົ້ນຫາແລະເຊື່ອມໂຍງຂໍ້ມູນໃດໆ.
  • ອະນຸຍາດໃຫ້ທ່ານເຈາະແລະລວບລວມຂໍ້ມູນເຂົ້າທຽບຂໍ້ມູນ.
  • ສະ ໜັບ ສະ ໜູນ ການຕິດຕາມແລະແຈ້ງເຕືອນ.
  • ພ້ອມທັງສະ ໜັບ ສະ ໜູນ ລາຍງານແລະແຜງຄວບຄຸມ ສຳ ລັບການເບິ່ງເຫັນ.
  • ໃຫ້ການເຂົ້າເຖິງຖານຂໍ້ມູນທີ່ມີຄວາມຍືດຫຍຸ່ນ, ຂໍ້ມູນທີ່ຖືກຈັດເກັບຂໍ້ມູນໃນພາກສະ ໜາມ ໃນແຟ້ມມູນຄ່າ (.CSV) ຫຼືຮ້ານເກັບຂໍ້ມູນວິສາຫະກິດອື່ນໆເຊັ່ນ: Hadoop ຫຼື NoSQL.
  • ສະ ໜັບ ສະ ໜູນ ກໍລະນີການ ນຳ ໃຊ້ການຈັດການໄມ້ທ່ອນຢ່າງຫຼວງຫຼາຍແລະອື່ນໆອີກ.

ໃນບົດຂຽນນີ້, ພວກເຮົາຈະສະແດງວິທີການຕິດຕັ້ງເຄື່ອງວິເຄາະ log Splunk ລຸ້ນລ້າສຸດແລະວິທີການເພີ່ມເອກະສານ log (ແຫຼ່ງຂໍ້ມູນ) ແລະຄົ້ນຫາຜ່ານເຫດການໃນ CentOS 7 (ຍັງເຮັດວຽກກ່ຽວກັບການແຈກຈ່າຍ RHEL).

<

  • ເຄື່ອງແມ່ຂ່າຍຂອງ RHEL 7 ພ້ອມຕິດຕັ້ງ ໜ້ອຍ ທີ່ສຸດ.
  • RAM 12GB ຕ່ ຳ ສຸດ

    • <

  • Linode VPS ກັບ CentOS 7 ຕິດຕັ້ງ ໜ້ອຍ ທີ່ສຸດ.

    • ຕິດຕັ້ງເຄື່ອງວິເຄາະບັນທຶກ Splunk ເພື່ອຕິດຕາມເຊັນເຊີ້ CentOS 7

    1. ເຂົ້າໄປທີ່ເວບໄຊທ໌ທີ່ແຕກຫັກ, ສ້າງບັນຊີແລະຄວ້າເອົາຮຸ່ນຫຼ້າສຸດທີ່ມີຢູ່ ສຳ ລັບລະບົບຂອງທ່ານຈາກ ໜ້າ ດາວໂຫລດ Splunk Enterprise. ແພັກເກດ RPM ສາມາດໃຊ້ໄດ້ ສຳ ລັບ Red Hat, CentOS, ແລະລຸ້ນ Linux ທີ່ຄ້າຍຄືກັນ.

    ອີກທາງເລືອກ ໜຶ່ງ, ທ່ານສາມາດດາວໂຫລດໄດ້ໂດຍກົງຜ່ານເວັບບຼາວເຊີ້ຫລືຮັບເອົາລິ້ງດາວໂຫລດ, ແລະໃຊ້ wget commandv ເພື່ອຈັບຊຸດຜ່ານເສັ້ນ ຄຳ ສັ່ງດັ່ງທີ່ສະແດງ.

    # wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

    2. ເມື່ອທ່ານໄດ້ດາວໂຫລດແພັກເກດແລ້ວ, ຕິດຕັ້ງ Splunk Enterprise RPM ໃນໄດເລກະທໍລີເລີ່ມຕົ້ນ/ເລືອກ/ແຍກອອກໂດຍໃຊ້ຕົວຈັດການຊຸດ RPM ດັ່ງທີ່ສະແດງ.

    # rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

    3. ຕໍ່ໄປ, ໃຊ້ອິນເຕີເຟດທີ່ໃຊ້ ຄຳ ສັ່ງ Splunk Enterprise (CLI) ເພື່ອເລີ່ມຕົ້ນການບໍລິການ.

    # /opt/splunk/bin/./splunk start

    ອ່ານຜ່ານສັນຍາກົດ ໝາຍ SPLUNK SOFTWARE LICENSE ໂດຍກົດປຸ່ມ Enter. ເມື່ອທ່ານອ່ານມັນແລ້ວ, ທ່ານຈະຖືກຖາມວ່າທ່ານເຫັນດີກັບໃບອະນຸຍາດນີ້ບໍ? ໃສ່ Y ເພື່ອສືບຕໍ່.

    Do you agree with this license? [y/n]: y

    ຈາກນັ້ນສ້າງຂໍ້ມູນປະ ຈຳ ຕົວ ສຳ ລັບບັນຊີຜູ້ເບິ່ງແຍງລະຫັດ, ລະຫັດຜ່ານຂອງທ່ານຕ້ອງມີຢ່າງນ້ອຍ 8 ຕົວອັກສອນ ASCII ທີ່ສາມາດພິມອອກໄດ້.

    Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

    4. ຖ້າເອກະສານທີ່ຕິດຕັ້ງທັງ ໝົດ ຍັງຄົງຄ້າງແລະການກວດສອບເບື້ອງຕົ້ນທັງ ໝົດ ໄດ້ຜ່ານໄປ, daemon server (splunkd) ຈະຖືກເລີ່ມຕົ້ນ, ຄີສ່ວນຕົວ RSA 2048 ນ້ອຍຈະຖືກຜະລິດແລະທ່ານສາມາດເຂົ້າເຖິງອິນເຕີເຟດທີ່ແຕກຫັກ.

    All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

    5. ຕໍ່ໄປ, ເປີດພອດ 8000 ທີ່ເຊີຟເວີ Splunk ຟັງ, ໃນ firewall ຂອງທ່ານໂດຍໃຊ້ firewall-cmd.

    # firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

    6. ເປີດເວັບບຼາວເຊີ້ແລະພິມ URL ຕໍ່ໄປນີ້ເພື່ອເຂົ້າຫາອິນເຕີເຟດທີ່ແຕກຫັກ.

    http://SERVER_IP:8000

    ເພື່ອເຂົ້າສູ່ລະບົບ, ໃຊ້ Username: admin ແລະລະຫັດຜ່ານທີ່ທ່ານສ້າງຂື້ນໃນລະຫວ່າງຂັ້ນຕອນການຕິດຕັ້ງ.

    7. ຫຼັງຈາກເຂົ້າສູ່ລະບົບ ສຳ ເລັດແລ້ວ, ທ່ານຈະລົງຈອດໃນ console admin ທີ່ແຕກຫັກເຊິ່ງສະແດງຢູ່ໃນ ໜ້າ ຈໍຕໍ່ໄປນີ້. ເພື່ອຕິດຕາມກວດກາເອກະສານບັນທຶກ, ຍົກຕົວຢ່າງ /var/log/ປອດໄພ , ກົດທີ່ Add Data.

    8. ຫຼັງຈາກນັ້ນກົດທີ່ Monitor ເພື່ອເພີ່ມຂໍ້ມູນຈາກແຟ້ມເອກະສານ.

    9. ຈາກການໂຕ້ຕອບຕໍ່ໄປ, ເລືອກ Files & Directories.

    10. ຫຼັງຈາກນັ້ນ, ຕິດຕັ້ງຕົວຢ່າງເພື່ອຕິດຕາມກວດກາເອກະສານແລະລາຍການ ສຳ ລັບຂໍ້ມູນ. ເພື່ອຕິດຕາມວັດຖຸທຸກຢ່າງໃນໄດເລກະທໍລີ, ເລືອກໄດເລກະທໍລີ. ເພື່ອຕິດຕາມກວດກາເອກະສານດຽວ, ເລືອກມັນ. ກົດທີ່ຄອມ | ຊຸມເພື່ອເລືອກແຫຼ່ງຂໍ້ມູນ.

    11. ລາຍຊື່ລາຍຊື່ໄດເລກະທໍລີຢູ່ໃນລະບົບຮາກ// ຮາກ/ລະຫັດຂອງທ່ານຈະຖືກສະແດງໃຫ້ທ່ານ, ໄປຫາແຟ້ມ log ທີ່ທ່ານຕ້ອງການກວດສອບ (/ var/log/ປອດໄພ) ແລະກົດເລືອກ.

    12. ຫລັງຈາກເລືອກແຫລ່ງຂໍ້ມູນ, ເລືອກ Continuously Monitor ເພື່ອເບິ່ງເອກະສານບັນທຶກນັ້ນແລະກົດທີ່ Next ເພື່ອ ກຳ ນົດປະເພດແຫຼ່ງຂໍ້ມູນ.

    13. ຕໍ່ໄປ, ກຳ ນົດປະເພດແຫຼ່ງຂໍ້ມູນ ສຳ ລັບແຫຼ່ງຂໍ້ມູນຂອງທ່ານ. ສຳ ລັບເອກະສານບັນທຶກການທົດສອບຂອງພວກເຮົາ (/ var/log/ປອດໄພ) , ພວກເຮົາຕ້ອງເລືອກລະບົບປະຕິບັດການ→ linux_secure; ສິ່ງນີ້ສາມາດເຮັດໃຫ້ທ່ານຮູ້ວ່າໄຟລ໌ນັ້ນມີຂໍ້ຄວາມທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພຈາກລະບົບ Linux. ຈາກນັ້ນກົດ Next ເພື່ອ ດຳ ເນີນການຕໍ່.

    14. ທ່ານສາມາດຕັ້ງຕົວ ກຳ ນົດການປ້ອນຂໍ້ມູນເພີ່ມເຕີມ ສຳ ລັບການປ້ອນຂໍ້ມູນນີ້. ພາຍໃຕ້ສະພາບການຂອງ App, ໃຫ້ເລືອກຄົ້ນຫາແລະລາຍງານ. ຈາກນັ້ນກົດປຸ່ມ Review. ຫຼັງຈາກການທົບທວນ, ກົດສົ່ງ.

    15. ດຽວນີ້ການປ້ອນຂໍ້ມູນເອກະສານຂອງທ່ານຖືກສ້າງຂຶ້ນຢ່າງປະສົບຜົນ ສຳ ເລັດ. ກົດທີ່ Start Searching ເພື່ອຄົ້ນຫາຂໍ້ມູນຂອງທ່ານ.

    16. ເພື່ອເບິ່ງການປ້ອນຂໍ້ມູນຂອງທ່ານທັງ ໝົດ, ເຂົ້າໄປທີ່ Settings → Data put Inputs. ຈາກນັ້ນກົດທີ່ປະເພດທີ່ທ່ານຕ້ອງການເບິ່ງເປັນຕົວຢ່າງ Files & Directories.

    17. ຕໍ່ໄປນີ້ແມ່ນ ຄຳ ສັ່ງເພີ່ມເຕີມໃນການຈັດການ (ເລີ່ມຕົ້ນ ໃໝ່ ຫລືຢຸດ) daemon ທີ່ແຕກອອກ.

    # /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

    ຈາກນີ້ທ່ານສາມາດເພີ່ມແຫລ່ງຂໍ້ມູນເພີ່ມເຕີມ (ທ້ອງຖິ່ນຫລືຫ່າງໄກສອກຫຼີກໂດຍໃຊ້ Splunk Forwarder), ສຳ ຫຼວດຂໍ້ມູນຂອງທ່ານແລະ/ຫຼືຕິດຕັ້ງແອັບ Spl Splunk ເພື່ອເພີ່ມປະສິດທິພາບການເຮັດວຽກໃນຕອນຕົ້ນຂອງມັນ. ທ່ານສາມາດເຮັດໄດ້ຫຼາຍຂື້ນໂດຍການອ່ານເອກະສານທີ່ແບ່ງອອກເປັນເວບໄຊທ໌ທາງການ.

    ໜ້າ ທຳ ອິດຂອງ Splunk: https://www.splunk.com/

    ນັ້ນແມ່ນ ສຳ ລັບດຽວນີ້! Splunk ແມ່ນໂປແກຼມຄຸ້ມຄອງການບັນທຶກໄມ້ວິສາຫະກິດທີ່ໃຊ້ເວລາຈິງແລະມີປະສິດຕິພາບເຕັມທີ່. ໃນບົດຂຽນນີ້, ພວກເຮົາໄດ້ສະແດງວິທີການຕິດຕັ້ງເຄື່ອງວິເຄາະແບບ Splunk log version ລ້າສຸດໃນ CentOS 7. ຖ້າທ່ານມີ ຄຳ ຖາມຫຼືຄວາມຄິດທີ່ຈະແບ່ງປັນ, ໃຫ້ໃຊ້ແບບຟອມ ຄຳ ເຫັນຂ້າງລຸ່ມນີ້ເພື່ອເຂົ້າຫາພວກເຮົາ.