0

Triển khai Splunk

1. Cài đặt và cấu hình Splunk trên máy chủ

Tải Splunk Enterprise (ví dụ: phiên bản .deb cho Ubuntu). Trong phần tải xuống, chọn Linux và sau đó chọn định dạng .deb (Debian package) phù hợp với Ubuntu. Nếu muốn tải qua dòng lệnh, chọn tùy chọn Download via Command Line (wget) để lấy link tải trực tiếp. image.png

image.png

ls kiểm tra file tải xuống

image.png

Chạy lệnh sau để cài Splunk: sudo dpkg -i splunk-10.0.0...

image.png

Sau khi cài đặt hoàn tất, sử dụng lệnh sau để khởi chạy Splunk lần đầu: sudo /opt/splunk/bin/splunk start --accept-license -- . Lệnh này sẽ yêu cầu bạn chấp nhận giấy phép sử dụng. Nhấn y để đồng ý. Tạo tài khoản admin với tên người dùng và mật khẩu

image.png

image.png

Truy cập giao diện web của Splunk:

image.png

Cấu hình để nhận log: Đi tới Settings > Forwarding and receiving > Configure receiving > Add new và thêm cổng 9997

image.png

2. Cấu hình Splunk lấy log từ máy win 10

Tải về phiên bản UF phù hợp với máy

image.png

Chạy file .msi với quyền admin

image.png

sử dụng tài khoản hệ thống cục bộ của máy tính để truy cập dữ liệu

image.png

chọn các loại log muốn giám sát

image.png

nhập username và password của tài khoản đã cấu hình ở Splunk server

image.png

địa chỉ ip của splunk server

image.png

image.png

cài đặt

image.png

image.png

kiếm tra xem đã được chuyển hướng đến địa chỉ IP của server chưa

image.png

image.png

cấu hình UF để gửi dữ liệu đến server

image.png

Kiểm tra thấy đã thu được log từ Win10

image.png


All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí