Introduction : Splunk kezako ?
Indexez les données machine de tous les formats, où qu’elles se trouvent : journaux, données click-stream, configurations, traps et alertes, changements, résultats de commandes de diagnostic, données issues des API et files de messages, et même les journaux multi lignes provenant d’applications personnalisées. Sans aucun schéma prédéfini, Splunk ne fait appel à aucun connecteur spécial pour des formats de données spécifiques. Une fois dans Splunk, toutes vos données machines sont disponibles à des fins de détection des pannes, d’examen des incidents de sécurité, de surveillance réseau, de rapports de conformité, d’analyse décisionnelle et de nombreuses autres précieuses utilisations.

NOTA : La version gratuite de splunk permet d’indexer jusqu’à 500 Mo de logs par jour. au delà, il faudra passer sur une licence payante. Pour ma part, les 500 Mo me permettent d’inventorier environ une cinquantaine de serveurs sans dépasser la limite (je limite la verbosité des logs au mode warning et error).

Passant à l’installation de Splunk :

- Installer votre serveur Debian Squeeze correctement patché,

- Télécharger votre version de Splunk en cliquant ici (Attention, necessaire d’avoir créer un compte préalablement)

- Déposer le package dans le dossier /tmp

mv splunk-4.3.2-123586-linux-2.6-intel.deb /tmp

- Lancer l’installation de Splunk :

cd /tmp

dpkg -i splunk-4.3.2-123586-linux-2.6-intel.deb

- Après l’installation, il ne reste plus qu’ à démarrer Splunk

/opt/splunk/bin/splunk start

- A ce stade, vous avez désormais accès à l’interface Web de Splunk http://nom_serveur_splunk:8000

- Ne reste plus qu’à créer un socket udp à l’écoute sur le port 514, afin de recueillir les différents logs de vos serveurs ou équipements.

- Pour cela, rendez-vous dans Add data, puis sélectionner « From a UDP port »

- Sauvegarder le tout, et voilà c’est fini (pfff à ce rythme, il n’y aura plus d’informaticiens dans 10 ans).

Vous pouvez vérifier avec la commande suivante que votre syslog est bien à l’écoute sur le port 514 en UDP

netstat -unlp

- Donc voilà, vous pouvez désormais diriger tous vos logs vers ce serveur.

Dans les prochaines parties, nous verrons comment utiliser l’interface de recherche et d’analyse, mais aussi comment exporter vos events Logs Windows, Unix, Linux, réseau, etc …… A suivre sur Macintom …

Lien vers la deuxième partie : Serveur de logs Splunk : export des logs Windows