Installiamo Splunk sul sistema operativo Linux Debian 11 / 10 , analizziamo i dati raccolti da varie risorse...
Splunk è un software per la sicurezza, le informazioni e la gestione degli eventi (SIEM in breve). È una soluzione multipiattaforma che riceve informazioni da varie fonti e combina e visualizza le informazioni correlate su un dashboard. I dati elaborati da Splunk possono anche essere arricchiti con i dati convenzionali provenienti da database relazionali.
Splunk comprende i dati della macchina così come i testi che le persone hanno creato. I dati macchina sono le informazioni (dati non strutturati) che vengono generate durante il funzionamento di vari sistemi (computer, dispositivi mobili, componenti di rete, dispositivi di sicurezza, dispositivi di misurazione, ecc.). Quando parli dei dati macchina, parli principalmente dei log.
Pertanto, SIEM significa caricare tutti i file di registro dei dispositivi in un database di grandi dimensioni e unificarli. Il SIEM ti avverte quando si verifica qualcosa di insolito. Puoi analizzare questi dati con Splunk per capire cosa sta succedendo.
Requisiti hardware minimi per una singola istanza Splunk Enterprise. Tuttavia, puoi installarlo anche su meno della risorsa menzionata per impararlo.
- x86 a 64 bit con 12 core CPU fisici o 24 vCPU a 2 Ghz o maggiore velocità per core.
- 12 GB di RAM.
- NIC Ethernet da 1 Gb
- Linux o Windows a 64 bit
Installazione passo passo di Splunk su Debian Linux
1. Scarica Splunk gratis per Linux
La versione gratuita di Splunk è disponibile con tutte le funzionalità Enterprise ma per un periodo di tempo limitato, ovvero 6o giorni dopo, l'utente deve eseguire l'aggiornamento per continuare per tutte le funzionalità. Se invece non lo fai, una licenza gratuita con funzionalità limitate andrà avanti senza alcuna scadenza. Tuttavia, consentirai solo di indicizzare 500 MB al giorno, non ci saranno ricerche; il caricamento in blocco di set di dati di grandi dimensioni consente solo 2 volte in un periodo di 30 giorni. Scopri di più su una licenza gratuita.
Per installare Splunk su Debian, gli sviluppatori di questa piattaforma offrono il binario Deb che può essere facilmente scaricato dal sito ufficiale (link).
In alternativa, gli utenti possono utilizzare il wget indicato di seguito comando per ottenere la versione gratuita di Splunk con le funzionalità Enterprise di prova.
wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''
2. Comando per installare Splunk su Debian 11 o 10
Poiché il file scaricato è .deb, quindi possiamo utilizzare il gestore di pacchetti APT per installarlo.
Nota :Se hai scaricato questo software di analisi dei dati su GUI Linux utilizzando il browser, passa prima alla directory Download utilizzando cd Downloads . Mentre gli utenti lo hanno ottenuto usando wget il comando può semplicemente essere eseguito:
sudo apt install ./splunk-*-amd64.deb
3. Accetta licenza, Abilita avvio avvio e Imposta utente e password amministratore
Una volta completata l'installazione, eseguiamo lo script che non solo abiliterà il servizio Splunk a livello di avvio, ma ci consentirà anche di impostare i dettagli di accesso- Amministratore utente e la sua password . Tuttavia, all'avvio dello script, premi Esc chiave e la Y per accettare la licenza.
sudo /opt/splunk/bin/splunk enable boot-start
4. Accedi all'interfaccia di Spunk Web
Ora, questa piattaforma di analisi dei dati è pronta, accediamo alla sua interfaccia web su localhost:8000 , mentre gli utenti che desiderano accedere a Splunk Dashboard su alcuni sistemi remoti, devono aprire la porta 8000 nel firewall di sistema. Per quella corsa:
sudo ufw allow 8000
Nota :Se ricevi un comando non trovato quindi prima abilita UFW, ecco l'articolo su di esso: Installa e configura UFW su Debian
Dopo quello:
Per il browser del sistema remoto – http://your-server-ip:8000
Per il browser di sistema locale- http://localhost:8000
5. Accedi all'account amministratore
La prima schermata che apparirà sul tuo browser consiste nell'inserire il nome utente e la password dell'amministratore impostati durante la configurazione di Splunk. Inserisci lo stesso per accedere.
6. Cruscotto Splunk
Infine, hai Splunk sul tuo sistema Debian o Ubuntu, ora fai clic su Aggiungi dati per integrare la fonte dei Dati per l'analisi.
Disinstalla Splunk Enterprise (opzionale)
sudo /opt/splunk/bin/splunk disable boot-start sudo apt remove splunk
Da qui puoi fare riferimento alla documentazione ufficiale di Splunk per saperne di più...