Installation de Splunk sur Debian 7

Splunk est une solution qui répond au besoin des infrastructures type « IaaS » , « PaaS« , et « SaaS« .
Le Cloud Computing et le Big Data génèrent une énorme quantité d’informations et de simples serveurs de journaux d’événements (log) ne sont pas adaptés pour centraliser et analyser ce flux.
Ce sont des données machines qui seront analysées et mises en relation entre elles.
Cet article se base sur la documentation officielle de Splunk avec la version gratuite de Splunk.
La version Splunk est la 6.0.1, modèle gratuit qui permet d’indexer au maximum 500Mo de logs par jour.

Les données machines Splunk :

Un article intéressant sur le « journaldunet » : SplunkSplunk nouvelle pépite montante du Big Data.

Inscription et téléchargement de Splunk

Pour télécharger Splunk gratuitement, il vous faudra créer un compte à cette adresse.
Une fois les étapes de validation de votre compte passées, alors il faut télécharger le paquet.
Dans mon cas, une distribution Debian 7 le paquet sera le « .deb« 

wget http://www.splunk.com/page/download_track?file=6.0.1/splunk/linux/splunk-6.0.1-189883-linux-2.6-amd64.deb&platform=Linux&architecture=x86_64&version=6.0.1&product=splunkd&typed=release&name=linux_installer&d=pro&elq=420033cd-be42-42c2-9137-efe395e1a8ea

Installation de Splunk sous Debian 7

L’installation de Splunk est extrêmement simple et ne requiert aucune manipulation préalable.
Installez le paquet en « .deb » avec le « dpkg » de Debian :

dpkg -i splunk-6.0.1-189883-linux-2.6-amd64.deb

L’installation se déroulera de cette façon :

Splunk rev.  9.11.2013
Do you agree with this license? [y/n]: y          

This appears to be your first time running this version of Splunk.
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 1024 bit long modulus
..............................................................++++++
...++++++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 1024 bit long modulus
........++++++
........................................++++++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.

Splunk> The Notorious B.I.G. D.A.T.A.

Checking prerequisites...
	Checking http port [8000]: open
	Checking mgmt port [8089]: open
	Checking configuration...  Done.
		Creating: /opt/splunk/var/lib/splunk
		Creating: /opt/splunk/var/run/splunk
		Creating: /opt/splunk/var/run/splunk/appserver/i18n
		Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css
		Creating: /opt/splunk/var/run/splunk/upload
		Creating: /opt/splunk/var/spool/splunk
		Creating: /opt/splunk/var/spool/dirmoncache
		Creating: /opt/splunk/var/lib/splunk/authDb
		Creating: /opt/splunk/var/lib/splunk/hashDb
	Checking critical directories...	Done
	Checking indexes...
		Validated: _audit _blocksignature _internal _thefishbucket history main summary
	Done
New certs have been generated in '/opt/splunk/etc/auth'.
	Checking filesystem compatibility...  Done
	Checking conf files for typos...  	Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Done

Starting splunkweb...  Generating certs for splunkweb server
Generating a 1024 bit RSA private key
...............++++++
................++++++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=splunk/O=SplunkUser
Getting CA Private Key
writing RSA key
Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://splunk:8000

L’installation de Splunk est terminée, vous allez pouvoir ouvrir votre navigateur web.
L’interface de Splunk est disponible uniquement sur le port 8000 en http (version gratuite).

Mise en route de Splunk sous Debian 7

Le Démarrage de Splunk se lance avec la commande :

/opt/splunk/bin/splunk start

Le premier lien avec Splunk est la fenêtre suivante :


Après avoir complété les champs d’identification, le processus de configuration commence :


Il est fortement conseillé de changer le mot de passe, ensuite configurer le Splunk :

L’installation de Splunk est terminée, d’autres articles suivront prochainement…