Splunk est une solution qui répond au besoin des infrastructures type « IaaS » , « PaaS« , et « SaaS« .
Le Cloud Computing et le Big Data génèrent une énorme quantité d’informations et de simples serveurs de journaux d’événements (log) ne sont pas adaptés pour centraliser et analyser ce flux.
Ce sont des données machines qui seront analysées et mises en relation entre elles.
Cet article se base sur la documentation officielle de Splunk avec la version gratuite de Splunk.
La version Splunk est la 6.0.1, modèle gratuit qui permet d’indexer au maximum 500Mo de logs par jour.
Les données machines Splunk :
Un article intéressant sur le « journaldunet » : SplunkSplunk nouvelle pépite montante du Big Data.
Inscription et téléchargement de Splunk
Pour télécharger Splunk gratuitement, il vous faudra créer un compte à cette adresse.
Une fois les étapes de validation de votre compte passées, alors il faut télécharger le paquet.
Dans mon cas, une distribution Debian 7 le paquet sera le « .deb«
wget http://www.splunk.com/page/download_track?file=6.0.1/splunk/linux/splunk-6.0.1-189883-linux-2.6-amd64.deb&platform=Linux&architecture=x86_64&version=6.0.1&product=splunkd&typed=release&name=linux_installer&d=pro&elq=420033cd-be42-42c2-9137-efe395e1a8ea
Installation de Splunk sous Debian 7
L’installation de Splunk est extrêmement simple et ne requiert aucune manipulation préalable.
Installez le paquet en « .deb » avec le « dpkg » de Debian :
dpkg -i splunk-6.0.1-189883-linux-2.6-amd64.deb
L’installation se déroulera de cette façon :
Splunk rev. 9.11.2013 Do you agree with this license? [y/n]: y This appears to be your first time running this version of Splunk. Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'. Generating RSA private key, 1024 bit long modulus ..............................................................++++++ ...++++++ e is 65537 (0x10001) writing RSA key Generating RSA private key, 1024 bit long modulus ........++++++ ........................................++++++ e is 65537 (0x10001) writing RSA key Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'. Splunk> The Notorious B.I.G. D.A.T.A. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking configuration... Done. Creating: /opt/splunk/var/lib/splunk Creating: /opt/splunk/var/run/splunk Creating: /opt/splunk/var/run/splunk/appserver/i18n Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css Creating: /opt/splunk/var/run/splunk/upload Creating: /opt/splunk/var/spool/splunk Creating: /opt/splunk/var/spool/dirmoncache Creating: /opt/splunk/var/lib/splunk/authDb Creating: /opt/splunk/var/lib/splunk/hashDb Checking critical directories... Done Checking indexes... Validated: _audit _blocksignature _internal _thefishbucket history main summary Done New certs have been generated in '/opt/splunk/etc/auth'. Checking filesystem compatibility... Done Checking conf files for typos... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Done Starting splunkweb... Generating certs for splunkweb server Generating a 1024 bit RSA private key ...............++++++ ................++++++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=splunk/O=SplunkUser Getting CA Private Key writing RSA key Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://splunk:8000
L’installation de Splunk est terminée, vous allez pouvoir ouvrir votre navigateur web.
L’interface de Splunk est disponible uniquement sur le port 8000 en http (version gratuite).
Mise en route de Splunk sous Debian 7
Le Démarrage de Splunk se lance avec la commande :
/opt/splunk/bin/splunk start
Le premier lien avec Splunk est la fenêtre suivante :
Après avoir complété les champs d’identification, le processus de configuration commence :
Il est fortement conseillé de changer le mot de passe, ensuite configurer le Splunk :
L’installation de Splunk est terminée, d’autres articles suivront prochainement…
