Đồ án Splunk enterprise
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.01 MB, 19 trang )
TÀI LIỆU TRIỂN KHAI SPLUNK ENTERPRISE
1. Chức năng và nhiệm vụ
Splunk là phần mềm phục vụ nhu cầu lưu trữ và lập chỉ mục các kiểu dữ liệu máy
phục vụ nhu cầu tìm kiếm và phân tích. Splunk hỗ trợ hầu hết các kiểu dữ liệu từ
hệ thống máy, máy chủ, máy ảo (vmware), thiết bị mạng, firewall... và tất cả các
nền tảng Unix, Windows.
+ Splunk search heads: là server chỉ có một dòng lệnh đơn để tìm kiếm tất cả các
dữ liệu được lưu trữ trên các server Indexer.
+ Splunk Indexers: là những server tổng hợp log từ các máy Forwarder, xử lý và
lưu trữ log đã được phân tích.
+ Splunk Forwarders: là những phần mềm có nhiệm vụ sưu tập log (log
collector) tại thiết bị được cài đặt và chuyển log tới các máy Indexer.
2. Yêu cầu hệ thống
Platform
Non-windows
windows
Recommend hardware
2x 6-core, 2+ GHz CPU, 12GB RAM, RAID 0 or 1+0, OS 64 bit
2x 6-core, 2+ GHz CPU, 12GB RAM, RAID 0 or 1+0, OS 64 bit
3. Mô hình cơ bản
+ Có thể triển khai các thành phần của hệ thống trên một server hay trên từng
server riêng biệt
4. Cài đặt trên Splunk server trên windows
+ Tải file cài đặt splunk 6.4 trên trang chủ và chạy
Tích chọn Check this box to accept the License Agreement và chọn Instal để cài
đặt
Splunk đang được cài đặt
Để kết thúc cài đặt chọn Finish
Sử dụng trình duyệt web vào: localhost:8000 để khởi động splunk
Nhập username/password mặc định là admin/changeme
Sau đó là tùy chọn đổi mật khẩu đăng nhập splunk
Nếu không muốn đổi mật khẩu thì chọn skip để bỏ qua,
Nhập mật khẩu mới và chọn save password
Vào giao diện của splunk server
5. Cài đặt splunk forwarder trên windows
Tải phiên bản cài đặt spunk forwarder về và chạy
Tích chọn Check this…. Sau đó chọn Customize Options
Chọn Next
Chọn Next
Chọn Next
Chọn Next
Nhập IP deployment server (splunk server) và port;
192.168.79.128 và 8089
Nhập IP Indexer và port
192.168.79.128 và 9997
Chọn Install để bắt đầu cài đặt
Chọn Finish để kết thúc
Sau đó cầu hình Receiving port trên splunk server
Vào localhost:8000
Chọn Settings – Forwarding and receving
Chọn Configure receving để cấu hình port nhận dữ liệu từ các forwarder đổ về
Chọn New
Nhập port 9997 và chọn Save
Sau khi cấu hình xong receving port, thì cầu hình forwarder monitoring
Vào setting chọn Distributed management console
Chọn forwarder monitoring setup
Chọn Enable và save để lưu
Đế kiểm tra xem splunk server được nhận được forwarder hay chưa, vào setting
chọn forwarder management
Splunk server được nhận được 2 splunk forwarder
6. Cài đặt splunk forwarder trên môi trường linux
Download gói cài đặt tại
/>
Copy gói cài đặt vào máy linux và gõ lệnh rpm -ivh splunkforwarder để cài
đặt
Sau khi cài đặt xong, di chuyển đến thư mục đã cài đặt bằng lệnh
cd /opt/splunkforwarder/bin
Ban đầu cần khởi động splunkforwarder bằng lệnh ./splunk start
Gõ lệnh trỏ đến Deployment Server có IP là 10.0.110.170 port 8089
Gõ lệnh trỏ đến Forwarder server có IP là 10.0.110.170 port 9997
Khởi động lại dịch vụ splunkforwarder bằng lệnh: ./splunk restart
Kiểm tra client đã kết nối được đển server bằng lệnh ./splunk list forwardserver -auth admin:changeme
Để thêm file, thư mục monitor bằng lệnh ./splunk add monitor ...
