[LINUX] Senden Sie Protokolldaten vom Server an Splunk Cloud

Einführung

Ich hatte die Möglichkeit, Splunk Cloud zu verwenden. Daher werde ich ein Memorandum darüber hinterlassen, wie verschiedene Protokolle vom Linux-Server übertragen werden.

Dieser Artikel basiert auf Get * nix data in Splunk Cloud

Vorbereitungen

Verfahren

  1. Installieren Sie Universal Forwarder auf dem Server
  2. Laden Sie die Universal Forwarder-Anmeldeinformationen herunter und installieren Sie sie
  3. Installieren Sie das Add-on für Linux auf Universal Forwarder
  4. Installieren Sie die App, um das in 3 installierte Add-On zu analysieren.
  5. Bestätigen Sie, dass die Daten empfangen werden können

1. Installieren Sie Universal Forwarder auf dem Server

Laden Sie nach dem Anmelden bei splunk.com Universal Forwarder von hier herunter (https://www.splunk.com/en_us/download/universal-forwarder.html). image.png Klicken Sie auf "Jetzt herunterladen" für Ihr Lieblingspaket. Nachdem Sie die Bedingungen akzeptiert haben, können Sie die Befehle abrufen, die innerhalb der Instanz ausgeführt werden können, indem Sie auf "Über Befehlszeile herunterladen (wget)" klicken.

$ cd /tmp
$ wget ... #Der Befehl, den Sie früher erhalten haben
#Holen Sie sich das Paket, das zu Ihrer Umgebung passt
$ sudo rpm -i splunkforwarder-<…>-linux-2.6-x86_64.rpm 
$ sudo dpkg -i splunkforwarder-<…>-linux-2.6-x86_64.deb
#Nach der Installation wird der Splunk-Benutzer hinzugefügt
$ sudo su - spulnk
$ cd /opt/splunkforwarder/bin
$ ./splunk start
#Sie werden aufgefordert, Ihren Benutzernamen und Ihr Passwort einzugeben.
#Splunk, weil es von Splunk Forwarder verwendet wird.Es ist okay mit etwas anderem als com
#Beenden Sie das Programm, wenn Folgendes angezeigt wird
All installed files intact.
Done
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Done

2. Laden Sie die Universal Forwarder-Anmeldeinformationen herunter und installieren Sie sie

  1. Gehen Sie zu "https: // .splunkcloud.com / ja-JP / app / splunkclouduf / setupuf" image.png
  2. Laden Sie die Anmeldeinformationen von "3. Laden Sie Ihr benutzerdefiniertes Paket mit universellen Weiterleitungsdaten herunter" herunter
  3. Übertragen Sie die heruntergeladenen Anmeldeinformationen auf die Instanz, z. B. mit "sftp"
$ pwd
<PATH-TO-FILE>
$ ls
splunkclouduf.spl
$ sudo su - splunk
$ /opt/splunkforwarder/bin/splunk install app <PATH-TO-FILE>/splunkclouduf.spl
#Wenn Sie zur Eingabe eines Benutzernamens und eines Passworts aufgefordert werden, geben Sie den gerade erwähnten ein

#Die Installation ist abgeschlossen, wenn die folgende Meldung angezeigt wird.
App '<PATH-TO-FILE>/splunkclouduf.spl' installed

#Starten Sie den Universal Forwarder neu
$ ./splunk restart

3. Installieren Sie das Add-on für Linux auf Universal Forwarder

Sie können die Funktionalität erweitern, indem Sie das Add-on von Splunkbase herunterladen und in der Weiterleitung installieren. Dieses Mal werden wir Splunk Add-on für Unix und Linux vorstellen. Durch die Einführung dieses Add-Ons können Sie die Übertragung verschiedener Protokolle in der Linux-Umgebung festlegen.

  1. Laden Sie das Splunk-Add-on für Unix und Linux herunter (https://splunkbase.splunk.com/app/833/).

Arbeiten Sie im Terminal unten

# /Downloads/splunk-add-on-for-unix-and-linux_602.Zu tgz hinzufügen-Angenommen, on wird heruntergeladen

#Kopieren Sie die heruntergeladene TAR-Datei mit scp usw. in die Instanz.
$ scp splunk@<LINUX_INSTANCE_IP_ADDR>:/tmp/ /Downloads/splunk-add-on-for-unix-and-linux_602.tgz

#Melden Sie sich bei Ihrer Linux-Instanz an. Arbeiten Sie darunter mit einer Linux-Instanz.
$ ssh splunk@<LINUX_INSTANCE_IP_ADDR>
$ cd /tmp
$ tar xvfz splunk-add-on-for-unix-and-linux_602.tgz

# Splunk_TA_Stellen Sie sicher, dass Sie ein Verzeichnis namens nix haben
$ ls

# splunkforwarder/etc/Zu Apps wechseln
$ mv Splunk_TA_nix/ /opt/splunkforwarder/etc/apps
$ cd /opt/splunkforwarder/etc/apps/Splunk_TA_nix

#Kopieren Sie die Konfigurationsdatei
$ mkdir local
$ cp default/inputs.conf local

#Einstellungsdatei
$ cat local/inputs.conf | head -n 6
# Copyright (C) 2020 Splunk Inc. All Rights Reserved.
[script://./bin/vmstat.sh]
interval = 60
sourcetype = vmstat
source = vmstat
disabled = 1

# disabled =Daten können durch Setzen auf 0 übertragen werden.
$ sed -e 's/disabled = 0/disabled = 1/g' local/inputs.conf > local/inputs.conf
$ sed -e 's/disabled = true/disabled = false/g' local/inputs.conf > local/inputs.conf

#Starten Sie nach dem Vornehmen von Änderungen neu
$ cd /opt/splunkforwarder/bin
$ ./splunk restart

4. Installieren Sie die App, um das in 3 installierte Add-On zu analysieren.

Nach Abschluss der obigen Einstellungen wurden die Daten von Linux bereits gesendet. Einige der Daten wurden jedoch nicht analysiert, so dass es schwierig ist, sie so zu verwenden, wie sie sind. Aus diesem Grund werden wir das Splunk-Add-on für Unix und Linux in Splunk Cloud einführen. Daten können durch Einführung dieses Add-Ons analysiert werden.

  1. Wählen Sie oben links in Splunk Cloud die Option "Nach anderen Apps suchen" image.png
  2. Suchen und installieren Sie das Splunk-Add-on für Unix und Linux.

5. Bestätigen Sie, dass die Daten empfangen werden können

image.png Wenn die Einstellungen korrekt sind, wird das Top-Ergebnis analysiert und so angezeigt.

Referenzlink

Get *nix data into Splunk Cloud

Recommended Posts

Senden Sie Protokolldaten vom Server an Splunk Cloud
Senden Sie mithilfe von Google Cloud Messaging für Chrome eine Nachricht vom Server an die Chrome-Erweiterung
[Python] Senden Sie das von der Webkamera aufgenommene Bild an den Server und speichern Sie es
Senden Sie eine Nachricht von Slack an einen Python-Server
Melden Sie sich mit SSH bei einem Remote-Server an
POST-Images von ESP32-CAM (MicroPython) an den Server
Der Typ, der die Fitbit-Daten vom Server erhält
Derjenige, der den grafisch darstellt, der die Fitbit-Daten vom Server erhalten hat
Senden Sie Daten von Python über die Socket-Kommunikation an Processing
Melden Sie sich von Selenium aus beim Fortigate (6.0) -Verwaltungsbildschirm an, um sich abzumelden
[Postgresql] SSH-Verbindung zum externen DB-Server vom Client
So melden Sie sich automatisch wie 1Password von der CLI an
[Einführung in matplotlib] Lesen Sie die Endzeit aus den COVID-19-Daten ♬
Erstellen Sie eine Python-Umgebung und übertragen Sie Daten auf den Server
Die Geschichte des Kopierens von Daten von S3 auf Googles TeamDrive
Übergeben Sie die OpenCV-Daten der ursprünglichen C ++ - Bibliothek an Python
Ich habe versucht, das Zugriffsprotokoll mit Node.js auf dem Server auszugeben
Starten Sie Data Science in der Cloud
Senden Sie Befehle von Atom an Maya
Terminalzuordnung von der Serverseite zu Amazon SNS (Python + Boto3)
Ich möchte nur ein Signal vom Sub-Thread zum Haupt-Thread senden
Versuchen Sie es mit Pythons Webframework Django (1) - Von der Installation bis zum Serverstart
In Dataflow implementiert, um die hierarchische Struktur von Google Drive in Google Cloud Storage zu kopieren
Kopieren Sie Daten von Amazon S3 mit Python (boto) in Google Cloud Storage.
So erstellen Sie eine Anwendung aus der Cloud mithilfe des Django-Webframeworks
Ist es möglich, die Profilinformationen der Person aus dem Chat-Protokoll zu extrahieren?
SIGNATE Quest ① Vom Lesen der Daten bis zur Vorverarbeitung
So stellen Sie die Serverzeit auf japanische Zeit ein
Push-Benachrichtigung vom Python-Server an Android
Senden Sie Daten mit Vue.js an die DRF-API
So bedienen Sie Linux von der Konsole aus
So greifen Sie von außen auf den Datenspeicher zu
Visualisieren Sie die Exportdaten des Piyo-Protokolls
[LINE Messaging API] Ich möchte eine Nachricht vom Programm an alle LINE senden
Verwenden Sie PIL in Python, um nur die gewünschten Daten aus Exif zu extrahieren
[IBM Cloud] Ich habe versucht, über Cloud Funtions (Python) auf die Tabelle Db2 on Cloud zuzugreifen.
SSH-Anmeldung am Zielserver von Windows mit einem Klick auf eine Verknüpfung
Der erste Schritt zur Protokollanalyse (Formatieren und Einfügen von Protokolldaten in Pandas)
[Kaggle] Vom Lesen der Daten bis zur Vorverarbeitung und Codierung
Einstellung zur Ausgabe des Protokolls zur Ausführung von cron
Die Ungenauigkeit von Tensorflow war auf log (0) zurückzuführen.
Ich habe nach Railway Kawayanagi aus den Daten gesucht
Ich habe versucht, die Daten mit Zwietracht zu speichern
[Python] Lesen von Daten aus CIFAR-10 und CIFAR-100
GCP: Wiederholen Sie den Vorgang von Pub / Sub zu Cloud-Funktionen und von Cloud-Funktionen zu Pub / Sub
Senden Sie Daten von Raspberry Pi mit AWS IOT
So rufen Sie die Cloud-API über GCP-Cloud-Funktionen auf
Datenvorverarbeitung (2) Ändern Sie die Daten von "Kategorisch" in "Numerisch".
Ändern Sie den Dezimalpunkt der Protokollierung von, nach.
Verwendung der Google Cloud Translation API
Abrufen von Daten von MacNote3 und Migrieren zu Write
So bedienen Sie Linux von außen Vorgehensweise
[Python] Fluss vom Web-Scraping zur Datenanalyse
So messen Sie die Leitungsgeschwindigkeit vom Terminal aus
Laden Sie den VGG Face2-Datensatz direkt auf den Server herunter
[Python] Ich werde FTP auf den FTP-Server hochladen.
Loggen Sie sich mit json mit pygogo ein.
Von der Einführung von Pyethapp bis zur Vertragsabwicklung