Los sistemas operativos actuales cuentan con funcionalidades que permiten registrar cada situación que ocurre; tanto con el sistema operativo en sí como con las aplicaciones y componentes internos de éste. Esto facilita todas las tareas que como administradores debemos llevar a cabo dentro de las labores de soporte, auditoría y prevención de errores.
Gracias a los logs de eventos, es posible obtener detalles de apagados, reinicios o inicios de sesión en el sistema, accesos, edición de aplicaciones y cada una de estas tareas puede llegar a ser fundamental para las gestiones de administración sin importar el tamaño de la organización.
Splunk ha sido desarrollado como un software de gran capacidad, el cual puede ser integrado para llevar a cabo la gestión de registros empresariales en tiempo real con el fin de recopilar, almacenar, buscar, diagnosticar e informar cualquier registro o dato que sea generado por el servidor y también se incluyen los registros de aplicaciones multilínea; estructurados, no estructurados y complejos.
Es por esto que hoy Solvetic explicará qué es Splunk y cómo instalarlo y configurarlo en CentOS 7 de Linux paso a paso.
No te puedes perder los mejores tutoriales para solucionar problemas que puedan surgirte en CentOS Linux
¿Qué es Splunk?
Splunk es una plataforma de inteligencia operacional, la cual permite que los administradores de sistemas o redes tengan acceso a detalles mucho más completos acerca de valores e información que pueden permitir que la empresa sea más productiva, rentable, competitiva y segura en todos los aspectos tanto internos como externos.
Splunk maneja dos áreas esenciales que son:
Inteligencia operacional
Esta permite comprender en tiempo real todo lo que sucede en los sistemas de TI y en la infraestructura tecnológica con el fin de tomar decisiones correctas, asociadas a los errores y mejoras por hacer buscando el mejor beneficio para todos.
Datos de máquina
Estos contienen los registros de toda la actividad y el comportamiento de los clientes, los usuarios, las transacciones, las aplicaciones, los servidores, las redes y los dispositivos móviles entre otros; donde se incluyen configuraciones, datos de API, colas de mensajes y muchos aspectos más.
Características de Splunk
Dentro de las características que nos ofrece esta plataforma tenemos:
Toma datos de cualquier información de los equipos
Splunk puede recopilar e indexar los datos del registro y del propio equipo desde cualquier fuente; de este modo será posible combinar los datos del equipo con los datos en las bases de datos relacionales, almacenes de datos y almacenes de datos Hadoop y NoSQL.
Plataforma abierta de desarrollo
Los desarrolladores pueden crear nuevas aplicaciones Splunk personalizadas o integrar datos Splunk en otras aplicaciones; lo cual nos da la oportunidad de escalar al máximo el uso de la plataforma.
Arquitectura de clase empresarial
Splunk cuenta con una escala de balanceo automático de carga y clustering de múltiples sitios, con el fin de admitir cientos de terabytes de datos diariamente y así optimizar los tiempos de respuesta y ofrecer disponibilidad continua para los administradores.
Aplicaciones y complementos de Splunkbase
Las aplicaciones de Splunk están disponibles para sacar el máximo provecho de la plataforma y así aumentar sus beneficios.
Indexación
Splunk indexa los datos de la infraestructura de TI. De este modo será posible obtener datos de sitios web, aplicaciones, servidores, bases de datos, sistemas operativos y mucho más.
Búsqueda
La búsqueda es la mejor alternativa para acceder a los datos en Splunk. Será posible guardar una búsqueda como un informe y usarla con el fin de alimentar los paneles del tablero. Además estas búsquedas ofrecen información de los datos como cálculo de métricas, búsqueda de condiciones específicas y más.
Alertas
Las alertas de Splunk nos notifican cuando los resultados de búsqueda y en tiempo real cumplen con las condiciones configuradas así. Es posible configurar alertas para desencadenar acciones tales como enviar información de alerta a direcciones de correo electrónico designadas, publicar información de alerta en una fuente RSS y ejecutar una secuencia de comandos personalizada según sea necesario.
Reportes
Splunk nos permite guardar búsquedas y pivotes como informes, para posteriormente añadir informes a tableros como paneles de panel.
Gestión de pivots
Un pivot hace referencia a una tabla, gráfico o visualización de datos creados con el Editor de Pivote. El Editor de Pivotes permite a los usuarios agregar atributos definidos por objetos del modelo de datos a una tabla, gráfico o visualización de datos sin tener que sea necesario ejecutar las búsquedas en el Lenguaje de Procesamiento de Búsqueda (SPL) para generarlos.
Tableros
Los tableros de Splunk contienen paneles de módulos como cuadros de búsqueda, campos o gráficos con el fin de desplegar los resultados de búsquedas y en tiempo real.
Requisitos del sistema
Para usar Splunk se requieren lo siguientes sistemas operativos:
- Solaris 10 and 11.
- PowerLinux, Little Endian kernel version 2.6 y superior.
- zLinux, kernel version 2.6.
- FreeBSD 10 y 11.
- macOS 10.12 y 10.13.
- AIX 7.1 y 7.2.
- ARM Linux.
- CentOS 7.
- Windows Server 2012, Server 2012 R2, y Server 2016.
- Windows 10.
1. Cómo instalar Splunk en CentOS 7 Linux
Para esta instalación contamos con dos opciones:
Opción 1
La primera es ir al sitio web de Splunk, crear una cuenta y de este modo obtener la última versión disponible para la distribución página de descarga de Splunk Enterprise. Los paquetes RPM están disponibles para Red Hat, CentOS y versiones similares de Linux.
El sitio web oficial es el siguiente:
Opción 2
Paso 1
En caso de no desear usar este método, podemos hacer uso del comando wget para descargarlo directamente al sistema con la ejecución del siguiente comando:
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
Paso 2
Una vez se haya completado el proceso de descarga del paquete, vamos a instalar Splunk Enterprise RPM en el directorio predeterminado; el cual es /opt/splunk usando el administrador de paquetes RPM de la siguiente manera:
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
Paso 3
Ahora vamos a usar la interfaz de línea de comandos (CLI) de Splunk Enterprise para iniciar el servicio así:
sudo /opt/splunk/bin/./splunk startEn primer lugar, será necesario que leamos los acuerdos del término de la licencia:
Luego, debemos ingresar la letra "y" para aceptar los términos de esta licencia, pulsamos "Enter"
Paso 4
Ahora debemos asignar, y confirmar, la contraseña del usuario administrador. De nuevo pulsamos "Enter"
Paso 5
Iniciará el proceso de configuración e instalación de Splunk:
Paso 6
Si todos los archivos instalados son correctos y se pasan todas las comprobaciones preliminares, se iniciará el daemon del servidor Splunk (splunkd), el cual generará una clave privada RSA de 2048 bits. En la parte final veremos la forma de acceder a la interfaz web de Splunk:
Paso 7
A continuación, abriremos el puerto 8000, el cual escucha el servidor Splunk, en el cortafuegos usando el firewall-cmd de la siguiente forma:
firewall-cmd --add-port=8000/tcp --permanent firewall-cmd --reload
2. Cómo acceder a Splunk en CentOS 7 Linux
Paso 1
Realizado esto, accederemos a la interfaz de Splunk usando la siguiente sintaxis:
http:// IP_SERVIDOR:8000En la ventana desplegada ingresaremos el usuario admin y la contraseña que hemos definido durante el proceso de configuración ya descrito. Pulsamos en "Sign In"
Paso 2
Este será el entorno inicial de la aplicación:
Paso 3
Para añadir datos a supervisar, pulsamos en la sección "Add Data" y veremos lo siguiente. Allí damos clic en la sección "Monitor".
Paso 4
En este caso daremos clic en la categoría "Files & Directories"
Paso 5
En la siguiente ventana debemos configurar la instancia para monitorear archivos y directorios para los datos.
Paso 6
Para supervisar todos los objetos en un directorio, seleccionaremos el respectivo directorio. Si deseamos monitorear un solo archivo, será necesario seleccionarlo dando clic en "Browse" para seleccionar la fuente de datos, se desplegará lo siguiente:
Paso 7
Basta con dar clic en cada línea para desplegar todos sus subdirectorios donde seleccionaremos el deseado. Una vez seleccionado damos clic en el botón "Select".
Paso 8
Veremos esto; ahora damos clic en el botón "Next" en la parte superior.
Paso 9
Definiremos la configuración de monitoreo de los datos seleccionados. Definido esto, pulsamos en "Next".
Paso 10
Luego veremos un resumen del proceso ejecutado, pulsamos en "Submit" para cargar la configuración.
Paso 11
Se desplegará lo siguiente, para dar inicio al proceso de monitoreo, pulsamos en el botón "Start Searching".
Paso 12
Se desplegará lo siguiente, allí podemos ver cada evento por categoría con su respectiva información.
Paso 13
Para ver todas las entradas de datos, debemos ir a:
- Settings.
- Add Data.
- Data Inputs.
Este será el resultado:
Paso 14
Al dar clic en "Files & Directories" veremos los datos más resumidos:
Desde la sección "Settings" podemos ir a la categoría "Monitoring" con el fin de ver detalles más precisos del servidor:
De esta manera, Splunk es una solución integral para el monitoreo de diversos elementos del sistema en tiempo real y con las mejores prestaciones de configuración.
No te pierdas esta recopilación con las mejores distribuciones (Distros) para descargar en Linux. Conoce en detalle todas sus características y prueba las que más te interesen.
