サーバー技術

rsyslogをsplunkで監視する設定

rsyslogで構築したサーバをsplunkにデータ入力し、GUIで管理できるように設定します。

rsyslogの設定に関しては以下の記事で説明してますのでご参考に。

関連記事unboundでログを出力する設定
関連記事rsyslog設定でホスト名(ディレクトリ)で分割する

splunkとは

syslogサーバのlogにインデックスを付けて検索や分析をしやすくするためのソフトウェアです。

以下のようなことが可能とのこと

  • 障害時等のトラブルシューティング
  • syslogサーバのGUI化

ファイルダウンロード
公式サイトからSplunkをダウンロードします。
※事前にメンバー登録が必要です!サインした後ダウンロードしてください。

https://ja.splunk.com/download

ファイルを指定フォルダにダウンロードします。

# wget https://ja.splunk.com/download/splunk-6.1.3-220630-Linux-x86_64.tgz

今回はrpmファイルでパッケージをインストールします。

# rpm -ivh splunk-6.0.3-204106-linux-2.6-x86_64.rpm

splunkがうまくインストールされると以下フォルダでファイルを確認できます。

# find / -name splunk
/var/spool/mail/splunk
/opt/splunk
/opt/splunk/lib/python2.7/site-packages/splunk
/opt/splunk/share/splunk
/opt/splunk/share/splunk/search_mrsparkle/exposed/img/splunk
/opt/splunk/share/splunk/search_mrsparkle/exposed/js/splunk
/opt/splunk/bin/splunk

splunkをインストールします。

# cd /opt/splunk/bin/

# ./splunk start

Do you agree with this license? [y/n]: y

Starting splunk server daemon (splunkd)...
Done
[ OK ]
Starting splunkweb... Generating certs for splunkweb server
Generating a 1024 bit RSA private key
......................................................++++++
.......++++++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=192.168.1.1/O=SplunkUser
Getting CA Private Key
writing RSA key
[ OK ]
Done

If you get stuck, we're here to help.
Look for answers here: https://docs.splunk.com

The Splunk web interface is at https://192.168.1.1:8000

インストールがうまくいけば、ブラウザで確認します。
初期ID/パスワードは「admin/changeme」となります。
splunk1

初期ログインが成功した後にパスワード変更の画面に切り替わるので、新規でパスワードを設定してください。
splunk2

サーバが落ちるとsplunkも落ちてしまうので、自動起動を設定をします。

# /opt/splunk/bin/splunk enable boot-start
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.

# chkconfig --list splunk
splunk 0:off 1:off 2:on 3:on 4:on 5:on 6:off

rsyslogをsplunkに取り込む

rsyslogからのsyslogメッセージを取り込みます。

ホーム⇒設定→データの入力→ファイル&ディレクトリ→新規追加→サーバーを参照ボタンを押します
splunk_rsyslog追加①

ファイルブラウザの設定
/var/log/rsyslog/messagesを選択
splunk_rsyslog追加②

これで、rsyslogがGUI上で確認できるようになります。
かなり便利な機能が多くあるので、おすすめです。

注意

splunkは有償版と無償版があるので、お金を払いたくない方は無償版ライセンスを登録してください。
splunkを使用できる期間は60日間となっています。(たしか)

splunkの紹介もあるようです。

以上です。




エンジニアのオンライン学習

ITエンジニアにおすすめの教材、オンラインスクールです。
無料からエンジニアの学習ができる教材などまとめているので参考にしてください。


オンライン学習の比較はこちらから
おすすめオンライン教材
Udemy
自宅で学習ができるオンラインスクール
【テックアカデミー】
無料キャリアカウンセリング詳細へ

ITエンジニアの開発・検証・学習としてインターネット上で専用のサーバ(VPS)を利用しましょう!
実務経験はVPSで学べます。


→ 300円台から始められる「VPS」
SSD限定・高速VPS(レンタルサーバ)比較



ABOUT US
げんき☆ひろき
インターネット関連のSEをやっています。 ネットワーク、サーバー、ストレージ、仮想基盤まで幅広く手を出しており、MVNOの構築経験もあります。 現在は、Pythonを使ったプログラミングの開発をしネットワークの自動化ツールを作成しています! Pythonの入門書も作成しているので、ぜひ参考にしてください!