Vamos a instalar Splunk en el sistema operativo Debian 11/10 Linux y analizar los datos recopilados de varios recursos...
Splunk es un software de seguridad, información y gestión de eventos (SIEM, por sus siglas en inglés). Es una solución multiplataforma que recibe información de varias fuentes y combina y visualiza la información correlacionada en un tablero. Los datos procesados por Splunk también se pueden enriquecer con los datos convencionales de bases de datos relacionales.
Splunk entiende los datos de la máquina, así como los textos que las personas han creado. Los datos de máquina son la información (datos no estructurados) que se genera durante el funcionamiento de varios sistemas (ordenadores, dispositivos móviles, componentes de red, dispositivos de seguridad, dispositivos de medición, etc.). Cuando habla de los datos de la máquina, habla principalmente de los registros.
Por lo tanto, SIEM significa que carga todos los archivos de registro de sus dispositivos en una gran base de datos y los unifica. El SIEM le advierte cuando ocurre algo inusual. Puede analizar estos datos con Splunk para averiguar qué está pasando.
Requisitos mínimos de hardware para la instancia empresarial única de Splunk. Sin embargo, puede instalarlo incluso en menos del recurso mencionado para aprenderlo.
- x86 de 64 bits con 12 núcleos de CPU físicos o 24 vCPU a 2 GHz o más de velocidad por núcleo.
- 12 GB de RAM.
- NIC Ethernet de 1 Gb
- Linux o Windows de 64 bits
Instalación paso a paso de Splunk en Debian Linux
1. Descargar Splunk Gratis para Linux
La versión gratuita de Splunk está disponible con todas las funciones de Enterprise, pero por un período de tiempo limitado, es decir, 60 días después, el usuario debe actualizar para continuar con todas las funciones. Mientras que, si no lo hace, una licencia gratuita con funciones limitadas continuará sin vencimiento. Sin embargo, solo permitirá indexar 500 MB por día, no habrá búsqueda; la carga masiva de grandes conjuntos de datos solo permite 2 veces en un período de 30 días. Obtenga más información sobre una licencia gratuita.
Para instalar Splunk en Debian, los desarrolladores de esta plataforma ofrecen el binario Deb que se puede descargar fácilmente desde el sitio web oficial (enlace).
Alternativamente, los usuarios pueden usar el siguiente wget comando para obtener la versión gratuita de Splunk con funciones de prueba Enterprise.
wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''
2. Comando para instalar Splunk en Debian 11 o 10
Como el archivo descargado es .deb, podemos usar el administrador de paquetes APT para instalarlo.
Nota :Si ha descargado este software de análisis de datos en GUI Linux usando el navegador, primero cambie al directorio de Descargas usando cd Downloads . Mientras que los usuarios lo obtuvieron usando wget el comando simplemente puede ejecutar:
sudo apt install ./splunk-*-amd64.deb
3. Acepte la licencia, habilite el inicio de arranque y establezca el usuario y la contraseña del administrador
Una vez que se complete la instalación, ejecutemos el script que no solo habilitará el servicio Splunk en el nivel de inicio, sino que también nos permitirá configurar los detalles de inicio de sesión: Administrador usuario y su contraseña . Sin embargo, cuando comience el script, presione Esc tecla y la Y para aceptar la licencia.
sudo /opt/splunk/bin/splunk enable boot-start
4. Acceda a la interfaz web de Spunk
Ahora, esta plataforma de análisis de datos está lista, acceda a su interfaz web en localhost:8000 , mientras que los usuarios que desean acceder a Splunk Dashboard en algún sistema remoto deben abrir el puerto 8000 en el cortafuegos del sistema. Para esa ejecución:
sudo ufw allow 8000
Nota :si obtiene un comando no encontrado luego habilite primero UFW, aquí está el artículo sobre esto: Instalar y configurar UFW en Debian
Después de eso:
Para el navegador del sistema remoto:http://your-server-ip:8000
Para el navegador del sistema local: http://localhost:8000
5. Iniciar sesión en la cuenta de administrador
La primera pantalla que obtendrá en su navegador es para ingresar el nombre de usuario y la contraseña de administrador establecidos durante la configuración de Splunk. Ingrese lo mismo para iniciar sesión.
6. Panel de Splunk
Finalmente, tiene Splunk en su sistema Debian o Ubuntu, ahora haga clic en Agregar datos para integrar la fuente de datos para el análisis.
Desinstalar Splunk Enterprise (opcional)
sudo /opt/splunk/bin/splunk disable boot-start sudo apt remove splunk
Desde aquí puede consultar la documentación oficial de Splunk para saber más...