Mari instal Splunk di Debian 11 / 10 Sistem operasi Linux menganalisis data yang dikumpulkan dari berbagai sumber…
Splunk adalah perangkat lunak keamanan, informasi, dan manajemen acara (disingkat SIEM). Ini adalah solusi lintas platform yang menerima informasi dari berbagai sumber dan menggabungkan serta memvisualisasikan informasi terkait di dasbor. Data yang diproses oleh Splunk juga dapat diperkaya dengan data konvensional dari database relasional.
Splunk memahami data mesin serta teks yang dibuat orang. Data mesin adalah informasi (data tidak terstruktur) yang dihasilkan selama pengoperasian berbagai sistem (komputer, perangkat seluler, komponen jaringan, peralatan keamanan, perangkat pengukur, dll.). Ketika Anda berbicara tentang data mesin, Anda kebanyakan berbicara tentang log.
Dengan demikian, SIEM berarti Anda memuat semua file log perangkat Anda ke dalam database besar dan menyatukannya. SIEM memperingatkan Anda ketika sesuatu yang tidak biasa terjadi. Anda dapat menganalisis data ini dengan Splunk untuk mengetahui apa yang sedang terjadi.
Persyaratan Perangkat Keras Minimum untuk instans Perusahaan tunggal Splunk. Namun, Anda dapat menginstalnya bahkan pada sumber daya yang kurang dari yang disebutkan untuk mempelajarinya.
- x86 64-bit dengan 12 inti CPU fisik, atau 24 vCPU pada kecepatan 2 Ghz atau lebih tinggi per inti.
- RAM 12 GB.
- NIC Ethernet 1Gb
- Linux atau Windows 64-bit
Langkah demi Langkah Instalasi Splunk di Debian Linux
1. Unduh Splunk Gratis untuk Linux
Versi gratis Splunk tersedia dengan semua fitur Perusahaan tetapi untuk jangka waktu terbatas yaitu 6o hari setelah itu, pengguna harus meningkatkan untuk melanjutkan semua fitur. Sedangkan, jika tidak maka lisensi gratis dengan fitur terbatas akan terus berjalan tanpa kedaluwarsa. Namun, Anda hanya akan mengizinkan untuk mengindeks 500 MB per hari, tidak akan ada pencarian; pemuatan massal kumpulan data besar hanya memungkinkan 2 kali dalam periode 30 hari. Ketahui lebih banyak tentang lisensi gratis.
Untuk menginstal Splunk di Debian, pengembang platform ini menawarkan biner Deb yang dapat diunduh dengan mudah dari situs web resmi (tautan).
Atau, pengguna dapat menggunakan wget yang diberikan di bawah ini perintah untuk mendapatkan Splunk versi gratis dengan fitur percobaan Enterprise.
wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''
2. Perintah untuk Menginstal Splunk di Debian 11 atau 10
Karena file yang diunduh adalah .deb, maka kita dapat menggunakan pengelola paket APT untuk menginstalnya.
Catatan :Jika Anda telah mengunduh perangkat lunak analisis data ini pada GUI Linux menggunakan browser, alihkan terlebih dahulu ke direktori Unduhan menggunakan cd Downloads . Sedangkan pengguna mendapatkannya menggunakan wget perintah cukup dijalankan:
sudo apt install ./splunk-*-amd64.deb
3. Terima Lisensi, Aktifkan mulai Boot dan Setel pengguna &kata sandi Admin
Setelah penginstalan selesai, jalankan skrip yang tidak hanya akan mengaktifkan layanan Splunk pada level boot tetapi juga memungkinkan kami menyiapkan detail login- Admin pengguna dan sandi . Namun, saat skrip mulai tekan tombol Esc kunci dan Y untuk menerima lisensi.
sudo /opt/splunk/bin/splunk enable boot-start
4. Akses antarmuka Web Spunk
Sekarang, platform analisis data ini sudah siap, mari akses antarmuka webnya di localhost:8000 , sedangkan pengguna yang ingin mengakses Splunk Dashboard pada beberapa sistem jarak jauh, perlu membuka port 8000 dalam sistem firewall. Untuk lari itu:
sudo ufw allow 8000
Catatan :Jika Anda mendapatkan perintah tidak ditemukan lalu aktifkan UFW terlebih dahulu, ini dia artikelnya: Install and Configure UFW di Debian
Setelah itu:
Untuk browser sistem jarak jauh – http://your-server-ip:8000
Untuk browser sistem Lokal- http://localhost:8000
5. Masuk akun Admin
Layar pertama yang akan Anda dapatkan di browser Anda adalah memasukkan nama pengguna dan kata sandi Admin yang ditetapkan saat mengonfigurasi Splunk. Masukkan yang sama untuk login.
6. Dasbor Splunk
Terakhir, Anda memiliki Splunk di sistem Debian atau Ubuntu Anda, sekarang klik Tambahkan Data untuk mengintegrasikan sumber Data untuk analisis.
Copot pemasangan Splunk Enterprise (opsional)
sudo /opt/splunk/bin/splunk disable boot-start sudo apt remove splunk
Dari sini Anda dapat merujuk ke dokumentasi Splunk resmi untuk mengetahui lebih lanjut…