Pojďme nainstalovat Splunk na Debian 11/10 operační systém Linux analyzuje data shromážděná z různých zdrojů…
Splunk je software pro správu zabezpečení, informací a událostí (zkráceně SIEM). Jedná se o multiplatformní řešení, které přijímá informace z různých zdrojů a kombinuje a vizualizuje korelované informace na řídicím panelu. Data zpracovaná Splunkem lze také obohatit o konvenční data z relačních databází.
Splunk rozumí strojovým datům i textům, které lidé vytvořili. Strojová data jsou informace (nestrukturovaná data), které vznikají při provozu různých systémů (počítače, mobilní zařízení, síťové komponenty, bezpečnostní zařízení, měřicí zařízení atd.). Když mluvíte o strojových datech, většinou mluvíte o protokolech.
SIEM tedy znamená, že načtete všechny soubory protokolu vašich zařízení do velké databáze a sjednotíte je. SIEM vás varuje, když se stane něco neobvyklého. Tato data můžete analyzovat pomocí Splunk, abyste zjistili, co se děje.
Minimální požadavky na hardware pro jednu instanci Splunk Enterprise. Můžete jej však nainstalovat i na méně než zmíněný zdroj, abyste se to naučili.
- 64bitový x86 s 12 fyzickými jádry CPU nebo 24 vCPU s rychlostí 2 GHz nebo vyšší na jádro.
- 12 GB RAM.
- 1Gb Ethernet NIC
- 64bitový Linux nebo Windows
Instalace Splunk krok za krokem v systému Debian Linux
1. Stáhněte si Splunk Free pro Linux
Bezplatná verze Splunk je k dispozici se všemi funkcemi Enterprise, ale po omezenou dobu, tj. 6 dní poté, musí uživatel upgradovat, aby mohl pokračovat ve všech funkcích. Pokud tak neučiníte, bezplatná licence s omezenými funkcemi bude pokračovat bez vypršení platnosti. Povolíte však indexovat pouze 500 MB za den, žádné vyhledávání nebude; hromadné načítání velkých souborů dat umožňuje pouze 2krát během 30 dnů. Zjistěte více o bezplatné licenci.
Chcete-li nainstalovat Splunk na Debian, vývojáři této platformy nabízejí binární soubor Deb, který lze snadno stáhnout z oficiálního webu (odkaz).
Alternativně mohou uživatelé použít níže uvedený wget příkaz k získání bezplatné verze Splunk se zkušebními funkcemi Enterprise.
wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''
2. Příkaz k instalaci Splunk na Debian 11 nebo 10
Protože stažený soubor je .deb, můžeme jej nainstalovat pomocí správce balíčků APT.
Poznámka :Pokud jste si stáhli tento software pro analýzu dat na GUI Linux pomocí prohlížeče, nejprve se přepněte do adresáře Downloads pomocí cd Downloads . Zatímco uživatelé to získali pomocí wget příkaz lze jednoduše spustit:
sudo apt install ./splunk-*-amd64.deb
3. Přijměte licenci, povolte spuštění spouštění a nastavte uživatele a heslo správce
Po dokončení instalace spusťte skript, který nejen povolí službu Splunk na úrovni spouštění, ale také nám umožní nastavit přihlašovací údaje – Admin uživatele a jeho hesla . Při spuštění skriptu však stiskněte Esc klíč a Y přijmout licenci.
sudo /opt/splunk/bin/splunk enable boot-start
4. Přístup k webovému rozhraní Spunk
Nyní je tato platforma pro analýzu dat připravena, pojďme k jejímu webovému rozhraní na adrese localhost:8000 , zatímco uživatelé, kteří chtějí získat přístup ke Splunk Dashboard na nějakém vzdáleném systému, musí otevřít port 8000 v systémovém firewallu. Pro tento běh:
sudo ufw allow 8000
Poznámka :Pokud se zobrazí příkaz nenalezen pak nejprve povolte UFW, zde je o něm článek: Instalovat a konfigurovat UFW v Debianu
Poté:
Pro prohlížeč vzdáleného systému – http://your-server-ip:8000
Pro prohlížeč místního systému- http://localhost:8000
5. Přihlaste se k účtu správce
První obrazovka, která se zobrazí ve vašem prohlížeči, je zadání uživatelského jména a hesla správce nastaveného při konfiguraci Splunk. Zadejte totéž pro přihlášení.
6. Splunk Dashboard
Konečně máte Splunk ve svém systému Debian nebo Ubuntu, nyní klikněte na Přidat data integrovat zdroj dat pro analýzu.
Odinstalujte Splunk Enterprise (volitelné)
sudo /opt/splunk/bin/splunk disable boot-start sudo apt remove splunk
Odtud se můžete podívat na oficiální dokumentaci Splunk, kde se dozvíte více…