Debian11/10にSplunkをインストールしましょうLinuxオペレーティングシステムはさまざまなリソースから収集されたデータを分析します…
Splunkは、セキュリティ、情報、およびイベント管理ソフトウェア(略してSIEM)です。これは、さまざまなソースから情報を受け取り、ダッシュボード上で相関情報を組み合わせて視覚化するクロスプラットフォームソリューションです。 Splunkによって処理されるデータは、リレーショナルデータベースからの従来のデータで強化することもできます。
Splunkは、マシンデータと人々が作成したテキストを理解します。マシンデータは、さまざまなシステム(コンピューター、モバイルデバイス、ネットワークコンポーネント、セキュリティアプライアンス、測定デバイスなど)の操作中に生成される情報(非構造化データ)です。マシンデータについて話すときは、主にログについて話します。
したがって、SIEMは、デバイスのすべてのログファイルを大規模なデータベースにロードして統合することを意味します。 SIEMは、何か異常が発生したときに警告を発します。このデータをSplunkで分析して、何が起こっているのかを把握できます。
Splunkシングルエンタープライズインスタンスの最小ハードウェア要件。ただし、上記のリソースよりも少ないリソースにインストールして学習することもできます。
- x86 64ビット(12個の物理CPUコア、またはコアあたり2Ghz以上の速度で24個のvCPU)。
- 12GBのRAM。
- 1GbイーサネットNIC
- 64ビットLinuxまたはWindows
DebianLinuxへのステップバイステップのSplunkインストール
1。 Linux用のSplunkFreeをダウンロード
Splunkの無料バージョンは、すべてのEnterprise機能で利用できますが、限られた期間、つまり60日後、ユーザーはすべての機能を続行するためにアップグレードする必要があります。一方、そうしないと、機能が制限された無料ライセンスが期限切れなしで継続されます。ただし、インデックス作成は1日あたり500 MBのみが許可され、検索は行われません。大規模なデータセットの一括読み込みでは、30日以内に2回しか許可されません。無料ライセンスについてもっと知る。
SplunkをDebianにインストールするために、このプラットフォームの開発者は、公式Webサイト(リンク)から簡単にダウンロードできるDebバイナリを提供しています。
または、以下のwget
を使用することもできます。 エンタープライズ機能の試用版を備えた無料バージョンのSplunkを入手するコマンド。
wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''
2。 Debian11または10にSplunkをインストールするコマンド
ダウンロードしたファイルは.debなので、APTパッケージマネージャーを使用してインストールできます。
注 :ブラウザを使用してGUI Linuxにこのデータ分析ソフトウェアをダウンロードした場合は、最初にcd Downloads
を使用してDownloadsディレクトリに切り替えます。 。ユーザーはwget
を使用して取得しました コマンドは簡単に実行できます:
sudo apt install ./splunk-*-amd64.deb
3。ライセンスに同意し、起動を有効にして、管理者ユーザーとパスワードを設定します
インストールが完了したら、ブートレベルでSplunkサービスを有効にするだけでなく、ログインの詳細を設定するスクリプトを実行しましょう-管理者 ユーザーとそのパスワード 。ただし、スクリプトが開始したら、 Escを押します。 キーとY ライセンスを受け入れるため。
sudo /opt/splunk/bin/splunk enable boot-start
4。 SpunkWebインターフェイスにアクセスする
これで、このデータ分析プラットフォームの準備が整いました。 localhost:8000のWebインターフェイスにアクセスしましょう。 、一方、リモートシステムでSplunkダッシュボードにアクセスしたいユーザーは、ポート 8000を開く必要があります システムファイアウォールで。その実行の場合:
sudo ufw allow 8000
注 :コマンドが見つかりませんを取得した場合 次に、最初にUFWを有効にします。これに関する記事は次のとおりです:DebianにUFWをインストールして構成する
その後:
リモートシステムブラウザの場合– http://your-server-ip:8000
ローカルシステムブラウザの場合- http://localhost:8000
5。ログイン管理者アカウント
ブラウザに表示される最初の画面は、Splunkの設定中に設定された管理者のユーザー名とパスワードを入力することです。同じものを入力してログインします。
6。 Splunkダッシュボード
最後に、DebianまたはUbuntuシステムにSplunkがあります。次に、データの追加をクリックします。 分析のためにデータのソースを統合します。
Splunk Enterpriseのアンインストール(オプション)
sudo /opt/splunk/bin/splunk disable boot-start sudo apt remove splunk
ここから、Splunkの公式ドキュメントを参照して詳細を知ることができます…