Dans cet article, je vais vous expliquer comment installer Splunk sur Ubuntu. Le but de Splunk est de traiter et organiser les données, pour les rendre utiles à l’utilisateur sans manipuler les données d’origine. C’est en effet l’un des outils les plus puissants pour analyser, explorer et rechercher des données. C’est aussi l’un des moyens les plus simples pour indexer, rechercher, collecter et visualiser en temps réel des flux importants de données provenant d’une application, d’un serveurs web, d’une base de données, d’une plates-formes de serveurs, de réseaux en nuage et bien d’autres équipent encore.
Sommaire de l'article
Architecture classique de Splunk
Splunk comporte trois éléments principaux, comme indiqué ci-dessous :
- Splunk Forwarder
- Splunk Indexer
- Splunk Search head
Comme vous pouvez le voir, Splunk Forwarder est utilisé pour le transfert de données. C’est le composant qui est utilisé pour la collecte des journaux.
Splunk Indexer est le composant utilisé pour l’analyse et l’indexation des données. L’instance Splunk transforme les données entrantes en événements et les stocke dans des index pour effectuer des opérations de recherche de manière efficace.
Enfin, le Splunk Search Head est une interface graphique utilisée pour la recherche, l’analyse et la création de rapports.
Installer Splunk sur Ubuntu 20.04
Créez un compte Splunk et téléchargez le logiciel Splunk Free (Vous êtes limité à 500Mo de bande passante par jour. Pour découvrir Splunk c’est idéal ou même dans votre boite pour faire quelques troubleshooting) sur leur site officiel en suivant ce lien : Splunk Free.
# wget -O splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.4&product=splunk&filename=splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb&wget=true'
Une fois le fichier téléchargé sur votre serveur Ubuntu, vous pouvez lancer la commande dpkg pour installer le serveur Splunk.
# sudo dpkg -i splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb
Nous devons maintenant créer le script init.d afin de pouvoir facilement démarrer et arrêter Splunk. Allez dans le répertoire binaire de Splunk à l’adresse /opt/splunk/bin/ et lancez l’exécutable Splunk avec les arguments ci-dessous.
# cd /opt/splunk/bin/ # ./splunk enable boot-start
Au cours de ce processus, vous pouvez appuyer sur la barre d’espacement pour parcourir le contrat de licence et ensuite taper Y pour l’accepter comme indiqué dans les journaux d’installation, puis ensuite définissez votre login et mot de passe.
Enfin, nous pouvons lancer le service Splunk avec la commande ci-dessous :
# service splunk start
Vous pouvez désormais accéder à votre interface Web Splunk à l’adresse http://Server-IP:8000/. Vous devez vous assurer que ce port 8000 est ouvert sur le pare-feu de votre serveur et/ou sur votre réseau.
Vous devez arriver sur cette interface :
Vous pouvez fournir les identifiants de connexion de l’administrateur créés lors de la phase d’installation pour accéder à votre interface graphique Splunk.
Une fois connecté, vous aurez votre tableau de bord Splunk prêt à l’emploi :
Voilà vous avez finie l’installation de Splunk. Rien de difficile.
Ajout d’une tâche
La page d’accueil présente différentes catégories. Vous pouvez choisir celles qui vous convient et commencer à faire du splunking.
Je vais vous montrer un exemple pour une tâche simple qui a été ajoutée au système Splunk. La tâche consiste à ajouter le dossier /var/log de votre serveur au système Splunk pour en assurer le suivi.
Ouvrez l’interface Web Splunk et choisissez l’option Ajouter des données pour commencer.
L’onglet « Ajouter des données » s’ouvre avec trois options : Charger, Surveiller et Transférer.
Chaque option s’explique d’elle-même avec une brève description de l’objectif. Ici, notre tâche est de surveiller un dossier, donc nous sélectionnons Surveiller.
Dans l’option Moniteur (Surveiller), il y a quatre catégories comme ci-dessous :
- Fichiers et répertoires : Pour surveiller les fichiers/dossiers
- Collecteur d’événements HTTP : Surveiller les flux de données via http
- TCP/ UDP : Surveiller le trafic sur les ports TCP/UDP
- Scripts : Surveiller les scripts ou commandes personnalisés
En fonction de notre objectif, je choisis l’option Fichiers & Répertoires.
Maintenant, cliquer sur parcourir et sélectionner le dossier /var/log du serveur à surveiller.
Une fois que vous avez sélectionné les paramètres, vous pouvez cliquer sur Suivant puis passer l’autre écran en cliquant sur Résumé et Soumettre.
Vous avez maintenant ajouté avec succès votre première source de données à Splunk pour la surveillance d’un répertoire local.
Vous pouvez commencer à rechercher et à surveiller les logs de votre serveur Splunk selon vos besoins. Cliquer sur Lancer la recherche.
Ceci n’est qu’un exemple simple de Splunking, vous pouvez y ajouter autant de tâches que vous le souhaitez et explorer les données de votre serveur local ou distant. Splunk vous fournit également des outils pour créer des tableaux et des visualisations en utilisant plusieurs champs et métriques en fonction de votre analyse de journal.
A bientôt pour de nouveaux articles sur Splunk et le Splunking.