Splunk ‘ın CentOS 6 üzerinde çalıştırılması
Merhaba,
Splunk hakkında kısaca bilgi vererek başlayabilirim. Splunk; log üreten kaynaklardan log’ları toplayıp indeksleyen bir yazılımdır. Toplanan ve indekslenen log’lar üzerinde arama,gözlem,analiz yapabilirsiniz ve raporlar hazırlayabilirsiniz, elde ettiğiniz veriler ile hata denetimi ve güvenlik zafiyetlerine karşı gözlemler yapabilirsiniz, önlemler alabilirsiniz.Ürün hakkında daha detaylı bilgi almak isterseniz http://www.splunk.com/view/product-tour/SP-CAAAAGV adresini ziyaret edebilirsiniz. Benzer bir başka ürün hakkında bilgi almak isterseniz https://aydogmusoglu.com/?s=arcsight adresinden daha önce yayınlanmış olan yazıları inceleyebilirsiniz.
Ürünü, windows işletim sistemine de kurabilirsiniz. Bazı testlerim için ürünü CentOS 6 üzerinde çalıştırmak istedim. Ürünü CentOS üzerinde çalışmak da windows üzerinde çalıştırmak da oldukça kolay.
Ürünün download sayfasından, splunk-6.1.3-220630-linux-2.6-x86_64.rpm kurulum dosyasın temin edebilirsiniz.Ürünü CentOS yerine Debian veya windows üzerine kurmak isterseniz ilgili dosyalar da download sayfasında mevcut.
Not: İlerleyen zamanlarda ürünün sürümü gelişeceği için, üstte bahsettiğim rpm dosyasının ismi de değişecektir!
CentOS 6 kurulumunu Basic Server seçimi ile gerçekleştirdim. Siz dilerseniz bir window manager kurarak da test edebilirsiniz. Benim testlerimde genelde Basic Server seçimi yeterli olduğu için o şekilde kurmuştum.
RPM dosyasını WinScp ile /root/SPSETUP klasörüne koplayadım. Klasör ismi tercihidir.
rpm -i –prefix=/opt/ splunk-6.1.3-220630-linux-2.6-x86_64.rpm komutu ile rpm dosyasını yükleyebilirsiniz. Varsayılanda /opt dizini altına /opt/splunk isminde bir klasör açılıyor.
Not: prefix ‘in önünde iki adet -(dash) mevcut. Site’nin şablonundan dolayı görünmüyor olabilir!
Yükleme işlemi sonrasında daemon ‘u başlatıyorsunuz.Aşağıdaki komuta geçmeden önce /opt/splunk/bin dizinine geçiniz.
./splunk start –accept-license
Üstteki komut ile splunk daemon’u başlıyor. CentOS’un yeniden başlatılması sırasında splunk daemon’unun da otomatik olarak başlaması için aşağıdaki komutu kullanabilirsiniz.
./splunk enable boot-start
Üstte görüldüğü gibi daemon çalışıyor. Çalıştığı halde tekrar çalıştırmak istediğim için failed ifadesi görünüyor.Ekran görüntüsü almak için tekrar tetiklemiştim 🙂
CentOS işletim sistemini kurarken sunucu ismini siem.nwtraders.msft şeklinde belirmiştim. DNS’te de siem isminde bir Resource Record açmıştım!
Splunk’a web browser üzerinde erişebilmek için http://siem.nwtraders.msft:8000 adresini kullanabilirsiniz.(Test ortamım için geçerli olan erişim adresidir!)
Splunk’ı CentOS üzerinde çalıştırmış olduk.
Herkese sorunsuz ve neşeli günler dilerim.
Kaynak: www.splunk.com