implementando splunk

Oct 18, 2018 No Comments by

¿Que es Splunk? Splunk se puede definir como una herramienta que permite centralizar el almacenamiento de datos, generados por distintas fuentes (aplicaciones, sistemas, infraestructura, etc). ¿Con que objetivo? Realizar búsquedas, monitoreo, alertas, dashboard sobre los distintos datos almacenados, en un tiempo “casi real” según los datos son recibidos.



Splunk se compone de tres elementos fundamentales:

  • Splunk Forwarder Encargado de enviar los “datos” de un servidor en particular
  • Splunk Indexer Recibe y almacena los datos.
  • Splunk Search head Encargado de gestionar las búsquedas sobre los datos almacenados.


    • Instalación Splunk Enterprise

    Debemos crear una cuenta en www.splunk.com y proceder a descargar la herramienta para nuestra plataforma selecionado, ejemplo en Ubuntu

    wget "https://download.splunk.com/products/splunk/releases/7.2.0/linux/splunk-7.2.0-8c86330ac18-linux-2.6-amd64.deb"
sudo dpkg -i splunk-7.2.0-8c86330ac18-linux-2.6-amd64.deb
cd /opt/splunk/bin/
./splunk enable boot-start
# Durante el primer boot, nos permitirá definir la password del usuario administrador
# Una vez levantado el entorno splunk, podemos acceder por la interfaz web http://localhost:8000

    Agregar un origen de datos local

    Vamos a agregar un origen de datos local sobre la instancia instalada, en este ejemplo, agregaremos la ruta “/var/log”, de esta manera, los logs del sistema, serán “capturados”.

    1. Accedemos al home http://localhost:8000/en-US/app/launcher/home
    2. Seleccionamos “Add Data”, “Monitor”, “Files & Directories”
    3. Indicamos la ruta “/var/log” y seguimos con las opciones por defecto
    4. Y listo, los datos ahora pueden ser consultados usando la app “Search & Reporting”

    Instalación de Splunk Universal Forwarder

    Descargamos el paquete correspondiente de Universal Forwarder para nuestro sistema operativo, en este, caso para Linux.

    wget -O splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.2.0&product=universalforwarder&filename=splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz&wget=true'
sudo cp splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz /opt
cd /opt
cd splunkforwarder/bin
sudo ./splunk enable boot-start
# Agregamos la ip de nuestro server principal de splunk que recibirá los datos
sudo ./splunk add forwarder-server ip:port
sudo ./splunk add monitor /var/log

    … continuará xD …

    GNU/Linux

    About the author

    Ingeniero en Informática, Oracle Certified Master Java EE 6 Enterprise Architect, Oracle Certified Professional Java Programmer. Experto en distintas ramas de la computación y otras "yerbas" xD. Si te gusto este post, sígueme en @deerme_org, escríbeme a info AT deerme.org o contactame por linkedin.
    No Responses to “implementando splunk”

    Leave a Reply


    - seven = 2

    Categories

    Archive

    Pages

    Bloggroll