CentOS6 に Splunk 無償版をインストール

※訳あっていまさらCentOS6です

ハニーポットで取得したログを保存・分析するログ基盤を構築したい。

Splunk の無償版が使えるか確認する。

無償版概要

このあたりを確認。無料版でも充分な分析機能を備えている。

ただし、ログイン機能がない。前段にリバースプロキシを置く?

OS設定

Vagrant で CentOS6.7 を起動。

vagrant init bento/centos-6.7
vim Vagrantfile

アクセスするようのIP を指定。

config.vm.network "private_network", ip: "192.168.33.40"

起動。

vagrant up

アップデート。

sudo yum update

システムリソースの上限を確認。

[vagrant@localhost ~]$ ulimit -d
unlimited
[vagrant@localhost ~]$ ulimit -m
unlimited
[vagrant@localhost ~]$ ulimit -n
1024
[vagrant@localhost ~]$ ulimit -f
unlimited

Splunk のオープンファイルの上限の推奨値が 8192 であるため、以下を追記する。

sudo vi /etc/security/limits.conf
* soft nofile 8192
* hard nofile 8192

Splunk インストール

Splunk をダウンロードする。ダウンロードするには Splunk にユーザ登録を行う必要がある。

今回は rpm 版をダウンロード。

splunk-7.1.1-8f0ead9ec3db-linux-2.6-x86_64.rpm

これを仮想マシン上まで持ってきて rpm でインストール。

sudo rpm -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-x86_64.rpm

/opt/splunk/ にディレクトリが展開されている。

sudo ls -la /opt/splunk/

rpmでインストールしたら splunk ユーザが自動で作成されている。
パスも通ってるので splunk コマンドを利用して起動できる。初回はパスワードを設定することになる。

sudo su - splunk
splunk start

バージョンは 7.1.1。

$ splunk --version
Splunk 7.1.1 (build 8f0ead9ec3db)

ブラウザから下記 URL にアクセスし、Splunkのログイン画面が表示される。

http://192.168.33.40:8000

  • ユーザ:admin
  • パスワード:上記で設定したもの

Splunk 画面はデフォルトでは英語表記。日本語にしたい場合は URL を下記のように変えるといい。

http://192.168.33.40:8000/en-US/app/launcher/home

http://192.168.33.40:8000/ja-JP/app/launcher/home

OS起動時に Splunk を起動したい場合は以下のように設定しておく。

sudo /opt/splunk/bin/splunk enable boot-start -user splunk

Splunk 無償版に切り替え

以下の手順。

  1. Web UI 上から、右上の設定→ライセンス。
  2. Trial ライセンスになっていることを確認し、ライセンスグループの変更をクリック。
  3. フリーライセンスを選択し、保存
  4. Splunk 再起動
  5. Free ライセンスグループになっていることを確認

冒頭にも書いたが、ここでログイン機能がなくなっていることに気づく。

Elastic Stack の Kibana もログイン機能はオプションなので、何かなーという気分。

参考

https://docs.splunk.com/images/c/c5/Splunk-7.1.0-Installation_ja-JP.pdf

https://docs.splunk.com/Documentation/Splunk/7.1.1/Translated/Japanesemanuals

スポンサーリンク
ad
ad

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
ad