Installieren wir Splunk auf dem Linux-Betriebssystem Debian 11 / 10 und analysieren Daten, die von verschiedenen Ressourcen gesammelt wurden …
Splunk ist eine Security-, Information- und Event-Management-Software (kurz SIEM). Es ist eine plattformübergreifende Lösung, die Informationen aus verschiedenen Quellen empfängt und die korrelierten Informationen auf einem Dashboard kombiniert und visualisiert. Die von Splunk verarbeiteten Daten können auch mit den herkömmlichen Daten aus relationalen Datenbanken angereichert werden.
Splunk versteht Maschinendaten genauso wie die Texte, die Menschen erstellt haben. Maschinendaten sind die Informationen (unstrukturierte Daten), die beim Betrieb verschiedener Systeme (Computer, Mobilgeräte, Netzwerkkomponenten, Sicherheitsgeräte, Messgeräte etc.) anfallen. Wenn Sie über die Maschinendaten sprechen, sprechen Sie meistens über die Protokolle.
SIEM bedeutet also, dass Sie alle Logfiles Ihrer Geräte in eine große Datenbank laden und vereinheitlichen. Das SIEM warnt Sie, wenn etwas Ungewöhnliches passiert. Sie können diese Daten mit Splunk analysieren, um herauszufinden, was vor sich geht.
Mindestanforderungen an die Hardware für eine einzelne Splunk-Enterprise-Instanz. Sie können es jedoch auch auf weniger als der genannten Ressource installieren, um es zu lernen.
- x86 64-Bit mit 12 physischen CPU-Kernen oder 24 vCPU mit 2 GHz oder mehr Geschwindigkeit pro Kern.
- 12 GB RAM.
- 1-Gb-Ethernet-NIC
- 64-Bit-Linux oder -Windows
Schritt-für-Schritt-Installation von Splunk unter Debian Linux
1. Laden Sie Splunk Free für Linux herunter
Die kostenlose Version von Splunk ist mit allen Enterprise-Funktionen verfügbar, aber für einen begrenzten Zeitraum, d. h. 60 Tage danach, muss der Benutzer ein Upgrade durchführen, um alle Funktionen nutzen zu können. Wenn Sie dies nicht tun, wird eine kostenlose Lizenz mit eingeschränkten Funktionen ohne Ablauf fortgesetzt. Sie dürfen jedoch nur 500 MB pro Tag indizieren, es wird nicht gesucht; Das Massenladen großer Datensätze ist innerhalb von 30 Tagen nur zweimal möglich. Erfahren Sie mehr über eine kostenlose Lizenz.
Um Splunk auf Debian zu installieren, bieten die Entwickler dieser Plattform eine Deb-Binärdatei an, die einfach von der offiziellen Website (Link) heruntergeladen werden kann.
Alternativ können die Benutzer das unten angegebene wget
verwenden Befehl, um die kostenlose Version von Splunk mit Enterprise-Testfunktionen zu erhalten.
wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''
2. Befehl zum Installieren von Splunk unter Debian 11 oder 10
Da die heruntergeladene Datei .deb ist, können wir den APT-Paketmanager verwenden, um sie zu installieren.
Hinweis :Wenn Sie diese Datenanalyse-Software auf GUI Linux über den Browser heruntergeladen haben, wechseln Sie zunächst mit cd Downloads
in das Downloads-Verzeichnis . Während die Benutzer es mit wget
bekommen haben Befehl kann einfach ausgeführt werden:
sudo apt install ./splunk-*-amd64.deb
3. Akzeptieren Sie die Lizenz, aktivieren Sie den Boot-Start und legen Sie den Admin-Benutzer und das Passwort fest
Lassen Sie uns nach Abschluss der Installation das Skript ausführen, das nicht nur den Splunk-Dienst auf Boot-Ebene aktiviert, sondern auch die Anmeldedaten einrichten lässt – Admin Benutzer und sein Passwort . Drücken Sie jedoch beim Start des Skripts die Esc-Taste -Taste und das Y um die Lizenz zu akzeptieren.
sudo /opt/splunk/bin/splunk enable boot-start
4. Greifen Sie auf die Spunk-Weboberfläche zu
Jetzt ist diese Datenanalyseplattform bereit, lass uns auf ihre Webschnittstelle unter localhost:8000 zugreifen , während die Benutzer, die auf Splunk Dashboard auf einem Remote-System zugreifen möchten, Port 8000 öffnen müssen in der System-Firewall. Für diesen Lauf:
sudo ufw allow 8000
Hinweis :Wenn Sie einen Befehl nicht gefunden erhalten dann aktivieren Sie zuerst UFW, hier ist der Artikel dazu: Install and Configure UFW on Debian
Danach:
Für den Browser des entfernten Systems – http://your-server-ip:8000
Für den Browser des lokalen Systems - http://localhost:8000
5. Admin-Konto anmelden
Der erste Bildschirm, den Sie in Ihrem Browser erhalten, besteht darin, den Admin-Benutzernamen und das Passwort einzugeben, die während der Konfiguration von Splunk festgelegt wurden. Geben Sie dasselbe ein, um sich anzumelden.
6. Splunk-Dashboard
Endlich haben Sie den Splunk auf Ihrem Debian- oder Ubuntu-System, klicken Sie nun auf Daten hinzufügen um die Datenquelle für die Analyse zu integrieren.
Splunk Enterprise deinstallieren (optional)
sudo /opt/splunk/bin/splunk disable boot-start sudo apt remove splunk
Von hier aus können Sie sich auf die offizielle Splunk-Dokumentation beziehen, um mehr zu erfahren…