dcsimg

Splunk 3.1:日志监控宝石更加明亮

Splunk 一直以来都赢得赞誉。最新版本增加了更多润色效果。了解新功能,以及如何克服非企业版引入的一些限制。

查理·舒丁(Charlie Schluting)

从那以后,许多月亮升起了 我们最后冲上去 关于 Splunk ,因此,比安装最新版本和编写操作方法更好的方式来振兴我们的个人讨论。在讨论了一些简洁的功能之后,我们将简要讨论如何设置中央系统日志记录以及如何安装Splunk,然后再切入。"解决免费版本的残缺界面。"

新功能

首先,最新的Splunk版本更加完善。这听起来似乎很奇怪,但是如果您找到一种新的更好的抛光方法,钻石的确可以发光。最明显的是,Splunk 3.1.x版具有新的首页。忽略烦人"是的,我想使用免费许可证"启动页面,首页实际上是仪表板。但是,您不再局限于一个仪表板!

默认显示板看起来很熟悉,其中汇总了哪些源和主机条目最多,搜索栏以及已保存搜索的列表。但是,更仔细的检查可以发现下方的图表更多。

默认图显示了过去几天中已处理的日志总数。还可以将任何其他“已保存的搜索”配置为显示图形,这非常方便。例如,说我们对我们的邮件服务器最近发现的病毒数量感兴趣。如果使用ClamAV,则只需执行搜索即可获得所需的结果,在这种情况下:"clamav FOUND"会做的。它说1,316个事件 在过去24小时内被发现—听起来是正确的。您可能要点击"来源类型:sendmail_syslog"文字中也要添加该搜索字词;它极大地加快了搜索速度。保存搜索,单击框以将其显示在默认仪表板中,然后按一下ta-da,该仪表板现在具有一个图形。一目了然,我们可以看到过去24小时每小时拦截了多少病毒。过去,仅通过对扫描日志文件的脚本进行脚本处理才能获得此类信息。

这只是一个例子,还有更多的东西-拒绝的垃圾邮件数量,失败的登录尝试,OSPF邻接更改-列表还在继续。您将希望将搜索安排为每隔几分钟运行一次,以获取最新的仪表板信息,这可以通过“保存的搜索”设置轻松完成。如果保存的搜索太多,则仪表板将开始缓慢加载,这可以通过创建特定目的的仪表板来克服。创建这些精美的图表非常容易上瘾,因此请在开始使用之前花一些时间。

设置系统日志

通常,我们发现现有基础结构已经具有中央syslog服务器,但是如果您没有,则可以快速了解其全部内容。

甚至旧的Unix syslogd程序也能够将syslog条目发送到远程服务器。配置看起来像:* .err @ loghost.domain

不幸的是,经典的syslog守护程序只会将日志发送到单个位置。如果您想在本地保留一些日志的副本,那么您很不幸。使用syslog-ng(可在当今大多数Unix和Linux平台上使用),您可以(除其他方式外)为每个设施指定多个目标。例如:
*.err  /var/log/messages
*。*  /var/log/syslog

以上将发送任何"err"严重性消息发送到/ var / log / messages,但仍将所有内容记录到一个mondo-log文件/ var / log / syslog中。实际上,您可以随意执行多次。您网络上的每个服务器都应配置为发送"*.*"到中央日志服务器。代替文件名,只需输入"@hostname" as the destination.

出于Splunk的目的,如果要将所有内容发送给splunk,最好在日志服务器上简单添加另一行,并说:"*。* | / var / run / splunk-pipe。"这是什么,你问?好吧,这是一个命名管道或FIFO。您可以使用“ mkfifo / var / run / splunk-pipe”创建FIFO。

与不断读取文本日志文件相比,FIFO更节省资源。 FIFO是一个缓冲区,可由一个程序写入,然后由另一个程序以先进先出的方式从中读取。为此,您只需要配置Splunk以从FIFO读取。

安装Splunk

关于安装Splunk没什么可说的。根据您的平台,按照提供的简单说明进行操作,然后将Web浏览器指向安装程序指示的地址。此时,您只需要添加一个数据源。

小心,当心,注意! syslog源类型会自动推断主机名。如果选择其他类型,则所有系统日志条目可能都来自系统日志主机名。因此,添加FIFO数据输入,系统日志类型,并将其指向/ var / run / splunk-pipe。仪表盘首页将很快开始填充数据。如果您想获得更直接的结果,请临时添加一个带有syslog消息的文本文件,Splunk会很高兴地进行数据整理并建立索引。现在,您可以开始使用“保存的搜索”了。

不幸的是,管理员界面是完全开放的。 Splunk 认为保护个人配置设置是一项企业功能,因此您必须为功能性产品付费。足够关心此限制的​​人可以轻松找到解决此问题的方法。 Splunk 行使了一些不那么邪恶的见解,使管理界面只能通过URI / admin访问。 Apache获救。

即使使用用户和受密码保护的管理部分,也请注意,您的syslog数据仍处于打开状态。通过通过Apache代理到Splunk服务器,我们可以一次消除两只鸟。

首先,假设我们要从syslog服务器提供Splunk网页,我们希望使Splunk仅在本地主机上侦听。在启动脚本中简单设置环境变量:
export SPLUNK_BINDIP="127.0.0.1"

接下来,配置Apache以将请求代理到Splunk。就像是:

ProxyPass / http://127.0.0.1:8000/
ProxyPassReverse / http://127.0.0.1:8000/
<Location /admin>
Order Deny,Allow
Deny from all
# Stuff
</Location>

要限制对/ admin /部分的访问,只需将#Stuff替换为特定的允许行,LDAP身份验证或您选择的任何内容即可。为了保护所有Splunk,请将限制放在"/"代替。如果要求输入密码,您可能要确保人们通过SSL连接,因此请确保重定向非SSL请求。

如果您每天开始索引超过500MB的日志,则Splunk会烦您获取企业许可证。 Splunk 始终保持功能正常,并且如果您足够大以产生那么多数据,则其他Enterprise功能可能也会有用。企业许可证可为您提供:Splunk服务器配对(在它们之间发送事件),分布式搜索和群集以及访问控制。

请务必查看Splunk的在线演示: http://www.splunk.com/product/205

本文最初于2008年1月23日发布
通过网络更新新闻获取最新消息