راهنمای نصب و راهاندازی Splunk روی لینوکس

Splunk یک پلتفرم پیشرفته برای مدیریت و تحلیل لاگها و دادههای ماشینی است که توسط سرورها، اپلیکیشنها و دستگاههای مختلف تولید میشود. این ابزار قابلیتهای مختلفی مانند مانیتورینگ، تحلیل زمان واقعی و ایجاد داشبورد را فراهم میکند.
در این مقاله، نحوه نصب و راهاندازی Splunk روی لینوکس به همراه پیکربندی اولیه و معرفی کامپوننتهای مختلف آن را به صورت گامبهگام بررسی میکنیم.
پیشنیازها
سیستم موردنیاز:
- سیستمعامل: توزیعهای مبتنی بر لینوکس (Ubuntu، CentOS، Red Hat و Debian)
- سختافزار:
- پردازنده چند هستهای
- حداقل ۸ گیگابایت RAM (ترجیحاً ۱۶ گیگابایت برای مقیاس بزرگتر)
- حداقل ۵۰ گیگابایت فضای خالی دیسک برای نصب اولیه
بستههای موردنیاز:
- Python (پیشفرض روی اکثر توزیعها نصب است)
- curl یا wget برای دانلود
دسترسی:
- دسترسی به کاربر با مجوز sudo
- اینترنت برای دانلود Splunk
گام 1: دانلود Splunk
- به وبسایت رسمی Splunk بروید:
https://www.splunk.com - نسخه مورد نظر را انتخاب کنید (معمولاً نسخه Splunk Enterprise).
- بسته مناسب برای لینوکس را دانلود کنید. فایل با فرمت
.deb
برای Ubuntu و Debian یا.rpm
برای CentOS و Red Hat است.
برای دانلود مستقیم میتوانید از دستور زیر استفاده کنید:
- برای Ubuntu/Debian:
wget -O splunk_package.deb https://download.splunk.com/path/to/splunk.deb
- برای CentOS/Red Hat:
wget -O splunk_package.rpm https://download.splunk.com/path/to/splunk.rpm
گام 2: نصب Splunk
برای توزیعهای Debian/Ubuntu:
sudo dpkg -i splunk_package.deb
برای توزیعهای Red Hat/CentOS:
sudo rpm -i splunk_package.rpm
تایید نصب:
برای بررسی موفقیتآمیز بودن نصب، مسیر نصب را بررسی کنید:
ls /opt/splunk
گام 3: شروع سرویس Splunk
- به مسیر نصب Splunk بروید:
cd /opt/splunk/bin
- سرویس را برای اولین بار اجرا کنید:
sudo ./splunk start --accept-license
- در حین اجرای اولیه، نام کاربری و رمز عبور سرپرست (admin) را تنظیم کنید.
گام 4: پیکربندی اولیه Splunk
دسترسی به کنسول:
- مرورگر خود را باز کنید و آدرس زیر را وارد کنید:
http://<IP-ADDRESS>:8000
- با نام کاربری و رمزی که در مرحله قبل تنظیم کردید، وارد شوید.
اضافه کردن دادهها:
- وارد کنسول شوید.
- روی Add Data کلیک کنید.
- مسیر ورود دادهها را تعیین کنید:
- فایلها و دایرکتوریها: انتخاب فایلهای محلی برای مانیتورینگ.
- شبکه: دادههای ورودی از syslog یا پروتکلهای مشابه.
- API: تنظیم دادههای اپلیکیشن از طریق اتصال به API.
تنظیم شاخص (Index):
- به بخش Settings > Indexes بروید.
- یک Index جدید با مشخصات دلخواه بسازید.
- مثال: نام شاخص
web_logs
.
- مثال: نام شاخص
گام 5: تنظیمات امنیتی و بهینهسازی
- بهروزرسانی Splunk: برای رفع آسیبپذیریها، بهروزرسانی دورهای انجام دهید.
sudo ./splunk upgrade
- فعال کردن HTTPS:
- فایل پیکربندی در مسیر
/opt/splunk/etc/system/local/web.conf
را باز کنید و مقادیر زیر را اضافه کنید:
- فایل پیکربندی در مسیر
[settings] enableSplunkWebSSL = true
-
- سرویس را مجدداً راهاندازی کنید:
sudo ./splunk restart
- ایجاد کاربران جدید: کاربران با سطح دسترسی متفاوت ایجاد کنید.
گام 6: معرفی کامپوننتهای Splunk
1. Splunk Enterprise
- نسخه اصلی که برای مدیریت دادهها، ذخیرهسازی و جستجو استفاده میشود.
2. Forwarders
- برای جمعآوری دادهها از منابع مختلف به سرور Splunk ارسال میشوند.
- دو نوع دارد:
- Universal Forwarder: سبکتر و مناسب جمعآوری داده.
- Heavy Forwarder: قابلیت پیشپردازش دادهها را دارد.
3. Search Head
- برای جستجو و گزارشگیری روی دادهها استفاده میشود.
4. Indexers
- ذخیرهسازی و پردازش دادهها. شاخصهای (Indexes) ذخیرهسازیشده را مدیریت میکند.
5. Deployment Server
- برای مدیریت متمرکز پیکربندی Forwarderها.
6. Apps و Add-ons
- برنامههایی که قابلیتهای Splunk را گسترش میدهند؛ مانند Splunk for AWS یا Splunk for Security.
نتیجهگیری
Splunk ابزاری فوقالعاده برای مدیریت و تحلیل لاگها است. با استفاده از این راهنما میتوانید Splunk را روی لینوکس نصب کرده، دادهها را پیکربندی و پردازش کنید و از کامپوننتهای آن برای نظارت و بهینهسازی بهره ببرید.
مطالب زیر را حتما بخوانید
-
مبانی و تکنیکهای ذخیرهسازی دادهها در اسپلانک: از ایندکسها تا امنیت و مقیاسپذیری
131 بازدید
-
راهنمای جامع نصب، پیکربندی و راهاندازی Splunk Enterprise Security برای تحلیل پیشرفته تهدیدات امنیتی
199 بازدید
-
راهنمای جامع نصب و راهاندازی Splunk در معماری مقیاس بزرگ: تفکیک کامپوننتها و پیکربندی حرفهای
156 بازدید
-
راهنمای جامع جستجو و تحلیل دادههای پیشرفته در Splunk
175 بازدید
-
راهنمای جامع جستجو و تحلیل دادهها در Splunk
169 بازدید
-
مقایسه Splunk ES با IBM QRadar برترین های SIEM
3.29k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.