Cómo instalar Splunk Log Analyzer en Ubuntu 18.04 LTS
Splunk es una potente base de datos de registros que puede utilizarse para buscar, supervisar y analizar los grandes datos generados por las máquinas a través de una interfaz web. Es una herramienta muy útil para analizar, explorar y buscar datos. Puedes indexar, buscar, recopilar y visualizar fácilmente flujos de datos masivos en tiempo real desde una aplicación, un servidor web, una base de datos, una plataforma de servidor, una red en la nube y muchos más, utilizando Splunk.
Splunk está formado por tres componentes principales:
- Splunk Forwarder : Se utiliza para recoger los registros.
- Splunk Indexer : Se utiliza para analizar e indexar los datos.
- Splunk Search Head : Proporciona una interfaz web para la búsqueda, el análisis y los informes.
En este tutorial, vamos a aprender a instalar Splunk en el servidor Ubuntu 18.04 LTS (Bionic Beaver).
Requisitos
- Un servidor con Ubuntu 18.04 en tu sistema.
- Un usuario no root con privilegios sudo.
Instalar Splunk
Splunk es compatible con una amplia gama de sistemas operativos, como Windows, Linux, FreeBSD, OSX, Solaris, AIX y muchos más. Puedes descargar la última versión de Splunk desde su sitio web oficial o utilizar el siguiente comando:
wget https://download.splunk.com/products/splunk/releases/7.1.1/linux/splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Una vez completada la descarga, instala el archivo descargado utilizando el siguiente comando:
sudo dpkg -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb
Una vez que la instalación se haya completado con éxito, deberías ver la siguiente salida:
(Reading database ... 218552 files and directories currently installed.) Preparing to unpack splunk-7.1.1-8f0ead9ec3db-linux-2.6-amd64.deb ... Unpacking splunk (7.1.1) over (7.1.1) ... Setting up splunk (7.1.1) ... complete
A continuación, deberás habilitar el servicio de Splunk para que se inicie al arrancar. Puedes hacerlo ejecutando el siguiente comando:
sudo /opt/splunk/bin/splunk enable boot-start
Aquí, tendrás que aceptar el Acuerdo de Licencia y proporcionar la contraseña de administrador como se indica a continuación:
Splunk Software License Agreement 04.24.2018 Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password: Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 2048 bit long modulus ..................+++ ..............................................................................+++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 2048 bit long modulus .............+++ ...................................+++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Adding system startup for /etc/init.d/splunk ... /etc/rc0.d/K20splunk -> ../init.d/splunk /etc/rc1.d/K20splunk -> ../init.d/splunk /etc/rc6.d/K20splunk -> ../init.d/splunk /etc/rc2.d/S20splunk -> ../init.d/splunk /etc/rc3.d/S20splunk -> ../init.d/splunk /etc/rc4.d/S20splunk -> ../init.d/splunk /etc/rc5.d/S20splunk -> ../init.d/splunk Init script installed at /etc/init.d/splunk. Init script is configured to run at boot.
A continuación, inicia el servicio de Splunk con el siguiente comando:
sudo service splunk start
Deberías ver la siguiente salida:
Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ............+++ ............................................................................................................................................+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=Node3/O=SplunkUser Getting CA Private Key unable to write 'random state' writing RSA key Done Waiting for web server at http://127.0.0.1:8000 to be available........ Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://Node3:8000
Accede a la interfaz web de Splunk
El servidor de Splunk se está ejecutando y está escuchando en el puerto 8000. Abre tu navegador web y escribe la URL http://your-server-ip:8000, serás redirigido a la siguiente página:
Aquí, proporciona tus credenciales de inicio de sesión de administrador, luego haz clic en el botón Iniciar sesión, deberías ver el panel de control de Splunk en la siguiente pantalla:
