You are here: Home » Blog » Correlación y Centralización de Logs con Splunk – Parte 1 | Instalación en Linux

Correlación y Centralización de Logs con Splunk – Parte 1 | Instalación en Linux

En esta serie de artículos veremos el proceso de instalación y configuración básico de Splunk[1], una herramienta para la centralización, análisis y correlación de logs en tiempo real. Splunk  maneja 2 formas de licenciamiento una gratuita y otra enterprise[2].

En esta primera parte veremos el proceso de Instalación de Splunk sobre un servidor Debian, para comenzar debemos  ingresar al sitio de descargas de splunk http://www.splunk.com/download, seleccionamos la versión del Instalador compatible con nuestra plataforma, luego nos solicitará un registro para crear una cuenta y acceder a la descarga.

Descargar Splunk

En este caso como ya estoy registrado les comparto los enlaces de descarga para linux. Sin embargo es importante que se registren.

Nos ubicamos en nuestro servidor, abrimos una Terminal y ejecutamos los siguientes comandos.

Para Arquitecturas X86_64 – 64 bits

wget http://216.221.226.44/releases/4.3/splunk/linux/splunk-4.3-115073-Linux-x86_64.tgz

Para Arquitecturas i686 – 32 bits

wget http://216.221.226.44/releases/4.3/splunk/linux/splunk-4.3-115073-Linux-i686.tgz

Instalación:

Una vez descargado el instalador de splunk procedemos a instalarlo, en mi caso he descargado splunk para32 bits.

cd /ruta_donde_descargamos_splunk
mv splunk-4.3-115073-Linux-i686.tgz /opt/
tar -zxvf splunk-4.3-115073-Linux-i686.tgz
cd /opt/splunk/bin/

Ejecutamos el instalador.

./splunk install

Allí nos aparece una licencia, luego de leerla detenidamente ( o no) aceptamos la licencia para continuar con la instalación.

Splunk License

Una vez instalado iniciamos splunk con el comando ./splunk start

Splunk Start

Al iniciar splunk iniciara el servidor en el puerto 8000, si ya tenemos un servicio en ese puerto al iniciar splunk podemos indicarle otro puerto diferente.

Para que el servicio de splunk inicie con nuestro servidor en cada reinicio ejecutamos ./splunk enable boot-start

Accediendo a Splunk

Ahora abrimos un navegador e ingresamos a nuestro servidor splunk. http://ipservidorSplunk:8000 , allí ingresamos con la siguiente información:

Username – admin
Password – changeme

Inicio Splunk

Al ingresar por primera vez nos solicitará cambio de password y entraremos al panel principal.

Home_Splunk

Hora de agregar logs!!!

En el Home de Splunk ingresamos a la opción Add data, allí seleccionamos la opción A File or directory or files  y seguimos estos pasos:

Splunk_AddData

Splunk_Data

Splunk_Data2

Aquí colocamos la ruta en donde están almacenados nuestros logs, ej /var/log/asterisk o /var/log/apache2 y  comenzamos una búsqueda


Splunk_Add_LogsSplunkSearch

Splunk nos mostrará todos los eventos en el panel principal, allí podremos realizar búsquedas utilizando algunos filtros.

Splunk_Search

Bueno eso es todo por ahora, en el próximo artículo veremos como enviar logs desde otros equipos a nuestro servidor splunk.

Saludos,

[1] http://www.splunk.com/

[2] http://www.splunk.com/view/SP-CAAADFV

Founder of http://hotfixed.net - Co-Founder of @BusyToneGroup and @S3cT0 | Penetration Tester | Security Consultant | Linux | VoIP

http://hotfixed.net

3 Comments

  1. que excelente maerial cada dia me sorprendo con la buena calida de material que dia a dia se expone en la cominidad hotfixed.net, espero que siendo un seguidor fiel de este sitio. gracias daniel y a todos lo que hacen de este sitio una gran comunidad.

Comments are closed.