14 Janvier 2014
Splunk est une solution qui répond au besoin des infrastructure type "IaaS" , "PaaS", et "SaaS".
Le Cloud Computing et le Big Data génèrent une énorme quantité d'informations et de simple serveur de journaux d'événements (log) ne sont pas adaptés pour centraliser et analyser ce flux.
Ce sont des données machines qui seront analysées et mise en relation entre elles.
Cet article se base sur la documentation officiel de Splunk avec la version gratuite de Splunk.
La version Splunk est la 6.0.1, modèle gratuit qui permet d'indexer au maximum 500 Mo de logs par jour.
Les données machines Splunk :
Un article intéressant sur le "journaldunet" : SplunkSplunk nouvelle pépite montante du Big Data
Inscription et téléchargement de Splunk
Pour télécharger Splunk gratuitement, il vous faudra créer un compte à cette adresse.
Une fois les étapes de validation de votre compte passé , alors il faut télécharger le paquet.
Dans mon cas, une distribution Debian 7 le paquet sera le ".deb"
wget http://www.splunk.com/page/download_track?file=6.0.1/splunk/linux/splunk-6.0.1-189883-linux-2.6-amd64.deb&platform=Linux&architecture=x86_64&version=6.0.1&product=splunkd&typed=release&name=linux_installer&d=pro&elq=420033cd-be42-42c2-9137-efe395e1a8ea
Installation de Splunk sous Debian 7
L'installation de Splunk est extrêmement simple et ne requiert aucune manipulation préalable.
Installez le paquet en ".deb" avec le "dpkg" de Debian :
dpkg -i splunk-6.0.1-189883-linux-2.6-amd64.deb
L'installation se déroulera de cette façon :
Splunk rev. 9.11.2013 Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 1024 bit long modulus ..............................................................++++++ ...++++++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 1024 bit long modulus ........++++++ ........................................++++++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Splunk> The Notorious B.I.G. D.A.T.A. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking configuration... Done. Creating: /opt/splunk/var/lib/splunk Creating: /opt/splunk/var/run/splunk Creating: /opt/splunk/var/run/splunk/appserver/i18n Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css Creating: /opt/splunk/var/run/splunk/upload Creating: /opt/splunk/var/spool/splunk Creating: /opt/splunk/var/spool/dirmoncache Creating: /opt/splunk/var/lib/splunk/authDb Creating: /opt/splunk/var/lib/splunk/hashDb Checking critical directories... Done Checking indexes... Validated: _audit _blocksignature _internal _thefishbucket history main summary Done New certs have been generated in '/opt/splunk/etc/auth'. Checking filesystem compatibility... Done Checking conf files for typos... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Done Starting splunkweb... Generating certs for splunkweb server Generating a 1024 bit RSA private key ...............++++++ ................++++++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=splunk/O=SplunkUser Getting CA Private Key writing RSA key Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://splunk:8000
L'installation de Splunk est terminé , vous allez pouvoir ouvrir votre navigateur web.
L'interface de Splunk est disponible uniquement sur le port 8000 en http (version gratuite).
Mise en route de Splunk sous Debian 7
Le Démarrage de Splunk se lance avec la commande :
/opt/splunk/bin/splunk start
Le premier lien avec Splunk est la fenêtre suivante :
Après avoir complété les champs d'identification, le processus de configuration commence :
Il est fortement conseillé de changer le mot de passe, ensuite configurer le Splunk :
L'installation de Splunk est terminée, d'autres articles suivront prochainement...