Cómo instalar Splunk Log Analyzer en Ubuntu 18.04 LTS

Splunk es una potente base de datos de registros que puede utilizarse para buscar, supervisar y analizar los grandes datos generados por las máquinas a través de una interfaz web. Es una herramienta muy útil para analizar, explorar y buscar datos. Puedes indexar, buscar, recopilar y visualizar fácilmente flujos de datos masivos en tiempo real desde una aplicación, un servidor web, una base de datos, una plataforma de servidor, una red en la nube y muchos más, utilizando Splunk.

Splunk está formado por tres componentes principales:

  1. Splunk Forwarder : Se utiliza para recoger los registros.
  2. Splunk Indexer : Se utiliza para analizar e indexar los datos.
  3. Splunk Search Head : Proporciona una interfaz web para la búsqueda, el análisis y los informes.

En este tutorial, vamos a aprender a instalar Splunk en el servidor Ubuntu 18.04 LTS (Bionic Beaver).

Requisitos

  • Un servidor con Ubuntu 18.04 en tu sistema.
  • Un usuario no root con privilegios sudo.

Instalar Splunk

Splunk es compatible con una amplia gama de sistemas operativos, como Windows, Linux, FreeBSD, OSX, Solaris, AIX y muchos más. Puedes descargar la última versión de Splunk desde su sitio web oficial o utilizar el siguiente comando:

wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb

Una vez completada la descarga, instala el archivo descargado utilizando el siguiente comando:

sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb

Una vez que la instalación se haya completado con éxito, deberías ver la siguiente salida:

(Reading database ... 218552 files and directories currently installed.)
Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ...
Unpacking splunk (7.1.1) over (7.1.1) ...
Setting up splunk (7.1.1) ...
complete

A continuación, deberás habilitar el servicio de Splunk para que se inicie al arrancar. Puedes hacerlo ejecutando el siguiente comando:

sudo /opt/splunk/bin/splunk enable boot-start

Aquí, tendrás que aceptar el Acuerdo de Licencia y proporcionar la contraseña de administrador como se indica a continuación:

Splunk Software License Agreement 04.24.2018

Do you agree with this license? [y/n]: y

This appears to be your first time running this version of Splunk.

An Admin password must be set before installation proceeds.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
..................+++
..............................................................................+++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 2048 bit long modulus
.............+++
...................................+++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.
 Adding system startup for /etc/init.d/splunk ...
   /etc/rc0.d/K20splunk -> ../init.d/splunk
   /etc/rc1.d/K20splunk -> ../init.d/splunk
   /etc/rc6.d/K20splunk -> ../init.d/splunk
   /etc/rc2.d/S20splunk -> ../init.d/splunk
   /etc/rc3.d/S20splunk -> ../init.d/splunk
   /etc/rc4.d/S20splunk -> ../init.d/splunk
   /etc/rc5.d/S20splunk -> ../init.d/splunk
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

A continuación, inicia el servicio de Splunk con el siguiente comando:

sudo service splunk start

Deberías ver la siguiente salida:

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
............+++
............................................................................................................................................+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=Node3/O=SplunkUser
Getting CA Private Key
unable to write 'random state'
writing RSA key
Done


Waiting for web server at http://127.0.0.1:8000 to be available........ Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://Node3:8000

Accede a la interfaz web de Splunk

El servidor de Splunk se está ejecutando y está escuchando en el puerto 8000. Abre tu navegador web y escribe la URL http://your-server-ip:8000, serás redirigido a la siguiente página:

Inicio de sesión en Splunk

Aquí, proporciona tus credenciales de inicio de sesión de administrador, luego haz clic en el botón Iniciar sesión, deberías ver el panel de control de Splunk en la siguiente pantalla:

Panel de control de Splunk

Enlaces

También te podría gustar...