Los sistemas operativos actuales cuentan con funcionalidades que permiten registrar cada situación que ocurre; tanto con el sistema operativo en sí como con las aplicaciones y componentes internos de éste. Esto facilita todas las tareas que como administradores debemos llevar a cabo dentro de las labores de soporte, auditoría y prevención de errores.
Gracias a los logs de eventos, es posible obtener detalles de apagados, reinicios o inicios de sesión en el sistema, accesos, edición de aplicaciones y cada una de estas tareas puede llegar a ser fundamental para las gestiones de administración sin importar el tamaño de la organización.
Splunk ha sido desarrollado como un software de gran capacidad, el cual puede ser integrado para llevar a cabo la gestión de registros empresariales en tiempo real con el fin de recopilar, almacenar, buscar, diagnosticar e informar cualquier registro o dato que sea generado por el servidor y también se incluyen los registros de aplicaciones multilínea; estructurados, no estructurados y complejos.
Es por esto que hoy Solvetic explicará qué es Splunk y cómo instalarlo y configurarlo en CentOS 7 de Linux paso a paso.
Splunk maneja dos áreas esenciales que son:
Para usar Splunk se requieren lo siguientes sistemas operativos:
- Solaris 10 and 11.
- PowerLinux, Little Endian kernel version 2.6 y superior.
- zLinux, kernel version 2.6.
- FreeBSD 10 y 11.
- macOS 10.12 y 10.13.
- AIX 7.1 y 7.2.
- ARM Linux.
- CentOS 7.
- Windows Server 2012, Server 2012 R2, y Server 2016.
- Windows 10.
1. Cómo instalar Splunk en CentOS 7 Linux
Para esta instalación contamos con dos opciones:
El sitio web oficial es el siguiente:
En caso de no desear usar este método, podemos hacer uso del comando wget para descargarlo directamente al sistema con la ejecución del siguiente comando:
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
Una vez se haya completado el proceso de descarga del paquete, vamos a instalar Splunk Enterprise RPM en el directorio predeterminado; el cual es /opt/splunk usando el administrador de paquetes RPM de la siguiente manera:
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
Ahora vamos a usar la interfaz de línea de comandos (CLI) de Splunk Enterprise para iniciar el servicio así:
sudo /opt/splunk/bin/./splunk startEn primer lugar, será necesario que leamos los acuerdos del término de la licencia:
Luego, debemos ingresar la letra "y" para aceptar los términos de esta licencia, pulsamos "Enter"
Ahora debemos asignar, y confirmar, la contraseña del usuario administrador. De nuevo pulsamos "Enter"
Iniciará el proceso de configuración e instalación de Splunk:
Si todos los archivos instalados son correctos y se pasan todas las comprobaciones preliminares, se iniciará el daemon del servidor Splunk (splunkd), el cual generará una clave privada RSA de 2048 bits. En la parte final veremos la forma de acceder a la interfaz web de Splunk:
A continuación, abriremos el puerto 8000, el cual escucha el servidor Splunk, en el cortafuegos usando el firewall-cmd de la siguiente forma:
firewall-cmd --add-port=8000/tcp --permanent firewall-cmd --reload
2. Cómo acceder a Splunk en CentOS 7 Linux
Realizado esto, accederemos a la interfaz de Splunk usando la siguiente sintaxis:
http:// IP_SERVIDOR:8000En la ventana desplegada ingresaremos el usuario admin y la contraseña que hemos definido durante el proceso de configuración ya descrito. Pulsamos en "Sign In"
Este será el entorno inicial de la aplicación:
Para añadir datos a supervisar, pulsamos en la sección "Add Data" y veremos lo siguiente. Allí damos clic en la sección "Monitor".
En este caso daremos clic en la categoría "Files & Directories"
En la siguiente ventana debemos configurar la instancia para monitorear archivos y directorios para los datos.
Para supervisar todos los objetos en un directorio, seleccionaremos el respectivo directorio. Si deseamos monitorear un solo archivo, será necesario seleccionarlo dando clic en "Browse" para seleccionar la fuente de datos, se desplegará lo siguiente:
Basta con dar clic en cada línea para desplegar todos sus subdirectorios donde seleccionaremos el deseado. Una vez seleccionado damos clic en el botón "Select".
Veremos esto; ahora damos clic en el botón "Next" en la parte superior.
Definiremos la configuración de monitoreo de los datos seleccionados. Definido esto, pulsamos en "Next".
Luego veremos un resumen del proceso ejecutado, pulsamos en "Submit" para cargar la configuración.
Se desplegará lo siguiente, para dar inicio al proceso de monitoreo, pulsamos en el botón "Start Searching".
Se desplegará lo siguiente, allí podemos ver cada evento por categoría con su respectiva información.
Para ver todas las entradas de datos, debemos ir a:
- Settings.
- Add Data.
- Data Inputs.
Este será el resultado:
Al dar clic en "Files & Directories" veremos los datos más resumidos:
Desde la sección "Settings" podemos ir a la categoría "Monitoring" con el fin de ver detalles más precisos del servidor:
De esta manera, Splunk es una solución integral para el monitoreo de diversos elementos del sistema en tiempo real y con las mejores prestaciones de configuración.