Oseras-tu installer Splunk sur Ubuntu, moi oui.

Oseras-tu installer Splunk sur Ubuntu, moi oui

Dans cet article, je vais vous expliquer comment installer Splunk sur Ubuntu. Le but de Splunk est de traiter et organiser les données, pour les rendre utiles à l’utilisateur sans manipuler les données d’origine. C’est en effet l’un des outils les plus puissants pour analyser, explorer et rechercher des données. C’est aussi l’un des moyens les plus simples pour indexer, rechercher, collecter et visualiser en temps réel des flux importants de données provenant d’une application, d’un serveurs web, d’une base de données, d’une plates-formes de serveurs, de réseaux en nuage et bien d’autres équipent encore.

Architecture classique de Splunk

Splunk comporte trois éléments principaux, comme indiqué ci-dessous :

  • Splunk Forwarder
  • Splunk Indexer
  • Splunk Search head

Architecture classique de Splunk

Comme vous pouvez le voir, Splunk Forwarder est utilisé pour le transfert de données. C’est le composant qui est utilisé pour la collecte des journaux.

Splunk Indexer est le composant utilisé pour l’analyse et l’indexation des données. L’instance Splunk transforme les données entrantes en événements et les stocke dans des index pour effectuer des opérations de recherche de manière efficace.

Enfin, le Splunk Search Head est une interface graphique utilisée pour la recherche, l’analyse et la création de rapports.

Installer Splunk sur Ubuntu 20.04 Installer Splunk sur Ubuntu 20.04

Créez un compte Splunk et téléchargez le logiciel Splunk Free (Vous êtes limité à 500Mo de bande passante par jour. Pour découvrir Splunk c’est idéal ou même dans votre boite pour faire quelques troubleshooting) sur leur site officiel en suivant ce lien : Splunk Free.

Astuce !!! Si vous êtes sur une VM, pour vous éviter des ennuis, Splunk vous propose maintenant le téléchargement direct depuis l’utilitaire wget. Lorsque vous arrivez sur votre page de téléchargement, dans Useful Tools cliquer sur Download via Command Line (wget) et récupérer la ligne de commande.

Télécharger Splunk avec wget sous Linux

# wget -O splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.4&product=splunk&filename=splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb&wget=true'

Une fois le fichier téléchargé sur votre serveur Ubuntu, vous pouvez lancer la commande dpkg pour installer le serveur Splunk.

# sudo dpkg -i splunk-8.0.4-767223ac207f-linux-2.6-amd64.deb

Installer Splunk sur Ubuntu 20.04 avec l'utilitaire dpkg sous Linux

Nous devons maintenant créer le script init.d afin de pouvoir facilement démarrer et arrêter Splunk. Allez dans le répertoire binaire de Splunk à l’adresse /opt/splunk/bin/ et lancez l’exécutable Splunk avec les arguments ci-dessous.

# cd /opt/splunk/bin/
# ./splunk enable boot-start

lancer splunk en ligne de commande pour finaliser son installation

Au cours de ce processus, vous pouvez appuyer sur la barre d’espacement pour parcourir le contrat de licence et ensuite taper Y pour l’accepter comme indiqué dans les journaux d’installation, puis ensuite définissez votre login et mot de passe.

Enfin, nous pouvons lancer le service Splunk avec la commande ci-dessous :

# service splunk start

Vous pouvez désormais accéder à votre interface Web Splunk à l’adresse http://Server-IP:8000/. Vous devez vous assurer que ce port 8000 est ouvert sur le pare-feu de votre serveur et/ou sur votre réseau.

Vous devez arriver sur cette interface :

Accéder à l'interface web de Splunk sur le port 8000

Vous pouvez fournir les identifiants de connexion de l’administrateur créés lors de la phase d’installation pour accéder à votre interface graphique Splunk.

Une fois connecté, vous aurez votre tableau de bord Splunk prêt à l’emploi :

Tableau de bord de Splunk

Voilà vous avez finie l’installation de Splunk. Rien de difficile.

Ajout d’une tâche

 La page d’accueil présente différentes catégories. Vous pouvez choisir celles qui vous convient et commencer à faire du splunking.

Je vais vous montrer un exemple pour une tâche simple qui a été ajoutée au système Splunk. La tâche consiste à ajouter le dossier /var/log de votre serveur au système Splunk pour en assurer le suivi.

Ouvrez l’interface Web Splunk et choisissez l’option Ajouter des données pour commencer.

L’onglet « Ajouter des données » s’ouvre avec trois options : Charger, Surveiller et Transférer.

Chaque option s’explique d’elle-même avec une brève description de l’objectif. Ici, notre tâche est de surveiller un dossier, donc nous sélectionnons Surveiller.

Ajouter une tâche de surveillance d'un répertoire dans Splunk

Dans l’option Moniteur (Surveiller), il y a quatre catégories comme ci-dessous :

  • Fichiers et répertoires : Pour surveiller les fichiers/dossiers
  • Collecteur d’événements HTTP : Surveiller les flux de données via http
  • TCP/ UDP : Surveiller le trafic sur les ports TCP/UDP
  • Scripts : Surveiller les scripts ou commandes personnalisés

Ajouter une tâche de surveillance d'un répertoire dans Splunk

En fonction de notre objectif, je choisis l’option Fichiers & Répertoires.

Ajouter une tâche de surveillance d'un répertoire dans Splunk

Maintenant, cliquer sur parcourir et sélectionner le dossier /var/log du serveur à surveiller.

Ajouter une tâche de surveillance d'un répertoire dans Splunk

Une fois que vous avez sélectionné les paramètres, vous pouvez cliquer sur Suivant puis passer l’autre écran en cliquant sur Résumé et Soumettre.

Vous avez maintenant ajouté avec succès votre première source de données à Splunk pour la surveillance d’un répertoire local.

Rechercher des données dans votre source de données Splunk

Vous pouvez commencer à rechercher et à surveiller les logs de votre serveur Splunk selon vos besoins. Cliquer sur Lancer la recherche.

Vous avez maintenant ajouté avec succès votre première source de données à Splunk pour la surveillance d’un répertoire local.

Ceci n’est qu’un exemple simple de Splunking, vous pouvez y ajouter autant de tâches que vous le souhaitez et explorer les données de votre serveur local ou distant. Splunk vous fournit également des outils pour créer des tableaux et des visualisations en utilisant plusieurs champs et métriques en fonction de votre analyse de journal.

A bientôt pour de nouveaux articles sur Splunk et le Splunking.

Signature manuelle Guillaume

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *