Installer Splunk Free sur Debian 9

Splunk Logo

Salut à tous, ce post est le premier d’une séries d’articles autour de Splunk dans le cadre de la supervision de Geekeries.org. On y parlera sécurité, monitoring ou encore log management. L’objectif est de vous montrer ce qu’il est possible de faire de vos logs juste avec la version gratuite de l’outil. Et pour ceux qui se posent la question : non, ce n’est pas sponsorisé, et je suis absolument libre de vous dire ce que je veux du soft. Splunk est simplement en train de devenir un outil de plus en plus important de nos jours en sécurité et en informatique en général (même s’il a des alternatives). Ça vaut donc la peine de se faire quelques tutoriels sur ce dernier, ne serait que pour vous donner une idée de ses capacités. Aujourd’hui on va simplement voir comment installer Splunk Free sur Debian 9.

Splunk c’est quoi ?

C’est logiciel de recherche, suivi et d’analyse de données machines il permet la collecte, l’indexation et la corrélation de données en temps réel dans des archives « recherchables », permettant de générer des graphiques, des rapports, des alertes, des tableaux de bord et des infographies. Wikipédia et le site de l’éditeur du même nom vous en apprendront bien plus que moi sur le sujet.

Installer Splunk Free sur Debian 9

Il existe différentes versions de Splunk, dont une gratuite qui permet d’indexer jusqu’à 500Mo de logs par jours. Pour la télécharger il suffit de s’inscrire et télécharger Splunk free ici, Splunk a le bon goût de vous filer directement sur la page la ligne de commande wget pour le télécharger. Du coup sur la machine ou vous comptez installer Splunk, exécuter la ligne suivante :

wget -O splunk-7.0.2-03bbabbd5c0f-linux-2.6-amd64.deb 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.0.2&product=splunk&filename=splunk-7.0.2-03bbabbd5c0f-linux-2.6-amd64.deb&wget=true'

Pour la suite l’installation n’est pas trop complexe et on trouve une belle doc ici, donc on la suit :

# dpkg -i splunk-7.0.2-03bbabbd5c0f-linux-2.6-amd64.deb

Et on peut vérifier l’état de notre installation avec la commande suivante :

# dpkg --status splunk
Package: splunk
Status: install ok installed
Maintainer: Splunk Inc. <info@splunk.com>
Architecture: amd64
Version: 7.0.2
Description: Splunk The platform for machine data.

On va maintenant configurer Splunk pour démarrer avec le serveur, comme documenté ici :

/opt/splunk/bin/splunk enable boot-start # pour désactiver /opt/splunk/bin/splunk disable boot-start

A ce moment, vous devrez accepter la licence du produit. Et enfin pour démarrer splunk sur votre machine.

# /opt/splunk/bin/splunk start
[...]
The Splunk web interface is at  login http://<host>:8000

Je fais fonctionner Splunk en tant que mais vous pouvez aussi le configurer en tant qu’utilisateur sudoer, néanmoins ça ne change pas grand chose d’un point de vue sécurité puisque dans les cas Splunk a les droits root sur votre machine.

Pour finir, notez qu’il vous faudra peut-être modifier votre configuration de Firewall pour ouvrir le port 8000, mais j’ai déjà un article très complet sur iptables pour ceux qui ne savent pas comment faire ça.

Voilà, ensuite pour n’avez plus qu’à ouvrir votre navigateur web préféré et ouvrir

http://<DNS|IP|FQDN>:8000/

Pour obtenir la page d’accueil.

Installer Splunk Free sur Debian 9
page d’accueil Splunk

Voilà c’est tout ce qu’il vous faut savoir pour installer Splunk Free sur Debian 9, la suite au prochain épisode !

Edit 26/03/2018 :

La semaine dernière je vous ai expliqué comment installer Splunk Free sur votre serveur Debian 9. Manque de pot, une nouvelle version est sortie quelques jours après mon article. Du coup, c’est l’occasion de documenter comment mettre à jour splunk Free sur Debian 9.

Mettre à jour splunk Free sur Debian 9

D’abord rendez-vous sur la page des download pour Splunk Free, et téléchargez le .deb à l’aide de la commande wget fournie :

# wget -O splunk-7.0.3-fa31da744b51-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=7.0.3/linux/splunk-7.0.3-fa31da744b51-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=7.0.3&product=splunk&typed=release'

Stoppez ensuite splunk.

# /opt/splunk/bin/splunk stop

Installez ensuite le paquet comme si de rien n’était.

dpkg -i splunk-7.0.3-fa31da744b51-linux-2.6-amd64.deb
Preparing to unpack splunk-7.0.3-fa31da744b51-linux-2.6-amd64.deb ...
This looks like an upgrade of an existing Splunk Server. Attempting to stop the installed Splunk Server...
splunkd is not running.
Unpacking splunk (7.0.3) over (7.0.2) ...
[...]

Et redémarrez Splunk.

/opt/splunk/bin/splunk start

Acceptez à nouveau le contrat de licence.

Do you agree with this license? [y/n]: y

Selon le degré de customisation de votre installation, vérifiez si les changements apporté par la mise à jour vous impact ou non.

Perform migration and upgrade without previewing configuration changes? [y/n] y

et voilà :

The Splunk web interface is at http://<host|IP|FQDN>:8000

Edit 27/03/2018 :

Bonus

Passer splunk en HTTPS avec nginx et certbot

Pour passer l’accès en HTTPS (car bon les mots de passe en clair sur le réseau, hein…) c’est très bien documenté ici !

Forcer le passage en licence « Free »

Par défaut l’installation que j’ai proposé ci dessus se configure en « entreprise Trial » et bascule automatiquement en free licence au terme des 60 jours d’essai. Vous pouvez forcer le passage en « free »  manuellement en suivant la doc ici !

Notez que le passage en free désactive la fonction authentification du produit, vous devez donc mettre en place votre propre mécanique d’authentification, par exemple en suivant mon article sur le sujet ici.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.