Ubuntu Server (20.04) Üzerine Splunk Kurulumu

06.05.2021

Fahrettin Çanlı

Bu yazımızda Ubuntu Server üzerine Splunk Enterprise yazılımının nasıl yüklendiğini göreceğiz.

Başlıksız

Merhaba bu yazımızda Ubuntu Server üzerine Splunk Enterprise yazılımının nasıl yüklendiğini göreceğiz.

Linux/Unix ve Windows işletim sistemleri üzerine Splunk kurulumu yapabilirsiniz. 

Desteklenen Linux/Unix ve Windows versiyonlarını aşağıda paylaşıyorum:

 

 

 

Tablodaki “X” simgesi kurulum yapılabileceğini ifade ediyor. 

D” İle belirtilen alanlar yakın zamanda desteğin kalkacağını bildiriyor, kuracağınız versiyonun “release notes” kısmını mutlaka kontrol etmelisiniz. Tablodaki boş kutular ise versiyonun uyumsuz olduğunu yani kurulum yapamayacağımızı anlatıyor.

 

Ben kurulumu VirtualBox üzerinde çalışan bir ubuntu server’a yapacağım. Yukarıdaki tablodan da anlayacağınız üzere neredeyse güncel olan bütün Linux işletim sistemleri üzerine kurulum yapabiliriz.

Bunun haricinde dilerseniz docker üzerine de kurulum yapabilirsiniz. Elimin altında Virtualbox hazır kurulu olduğu için ve Ubuntu’nun iso imajı oldukça küçük olduğu için tercih ettim. 

Pek çok Linux versiyonu için kurulum adımları oldukça benzer. Aşağıdaki adımları kopyala yapıştır yaparak kurulumu kolayca yapabilirsiniz.

 

Kurulum yapacağımız sunucu aşağıdaki resimde görüldüğü gibi Linux Kernel 5.4.x üzerinde (5.4.0.73) ve 64 bit, yani kurulum için uygun.

 

Öncelikle https://splunk.com’a giderek sağ üst köşedeki “Free Splunk” butonuna basarak güncel versiyonu indiriyoruz. Kurulum yaptığınız makinenin aktif bir internet bağlantısı varsa download ekranında verilen “wget” komutunu da kullanabilirsiniz. Böylece kurulum paketi direk olarak sunucuya indirilmiş olur.

Not: Bu dokumanı okuduğunuz tarihte sitenin görüntüsü değişmiş olabilir.“Products -> Free Trials & Downloads” kısmından da aynı indirme bağlantısına ulaşabilirsiniz.

Download Free 60-Day Trial linkine tıklayıp istediğiniz OS için olan versiyonu indirebilirsiniz.

 

Uygun uzantıyı seçtiğinizde (.rpm, .tar.gz veya .deb) download başlayacaktır. Aynı ekranda sağ üst köşedeki wget linkini kopyalayarak sunucuya yapıştırdım ve çalıştırdım.

 

İndirme işlemi tamamladı ve artık home dizininde splunk kurulum dosyasını görebiliyorum

 

 

Splunk’ın kurulum aşamaları oldukça basit, tavsiye edildiği üzere kurulumu /opt dizinine yapıyoruz.

Ancak dilerseniz “/data”, “/app” gibi başka bir dizin veya mount point içine de kurulum yapabilirsiniz. 

 

 

Kuruluma başlamadan önce kontrol etmemiz gereken birkaç nokta var.

  1. Sunucuda “swap” alanı ayarlanmış mı ve yeterli mi?

swapon -s    veya    free -m   komutlarını kullanarak kontrol ediyoruz.

 

  1. Sunucudaki Ulimit değerleri tavsiye edilen aralıklarda mı?

Ulimit ayarları yukarıdaki tablodaki değerlere eşit veya daha yüksek olmalıdır.

ulimit -n -u -d -f

 

Bu bilgilere şu linki kullanarak erişebilirsiniz; https://docs.splunk.com/Documentation/Splunk/8.2.0/Installation/SystemRequirements

 

 

  1. Transparent Huge pages kapalı mı?

Bu ayar CentOS ve Red Hat sunucularda açık olarak geliyor ve kurulum dokümanında tavsiye edildiği üzere kapatmak gerekiyor. 

Aşağıdaki komutlardan birini kullanarak açık veya kapalı olup olmadığını kontrol edebilirsiniz:

cat /sys/kernel/mm/transparent_hugepage/enabled

grep AnonHugePages: /proc/meminfo

grep nr_anon_transparent_hugepages /proc/vmstat

sudo sysctl -a | grep hugepage

Eğer THP’nin açık olduğunu tespit ederseniz aşağıdaki dokümanlardan yardım alarak kapatabilirsiniz

Redhat 8 àhttps://access.redhat.com/solutions/3799821(ücretli üyelik gerektirir)

Redhat 7 àhttps://access.redhat.com/solutions/1320153(ücretli üyelik gerektirir)

Centos 7 à  https://www.thegeekdiary.com/centos-rhel-7-how-to-disable-transparent-huge-pages-thp/

Ubuntu /Debian àhttps://stackoverflow.com/questions/44800633/how-to-disable-transparent-huge-pages-thp-in-ubuntu-16-04lts

 

Aşağıdaki komutun çıktısında köşeli parantez içindeki değer bize hangi opsiyonun seçili olduğunu gösteriyor. Yani “always [madvise] never” şeklinde gözükseydi madvise’ın seçili olduğunu anlayacaktık. 

Çıktıda “madvise” veya “never” seçili olmalı 

  1. Sunucu minimum Cpu ve Memory gereksinimlerini karşılıyor mu?

Test amaçlı kurulum yaptığımız için bu maddeyi pas geçiyoruz ancak productionda kurulum yapılacağı zaman kaynak atamasını çok dikkatli yapmak gerekiyor aksi halde performans kayıpları yaşayabiliriz.

 

Artık kuruluma başlayabiliriz fakat öncesinde splunk isminde bir kullanıcı oluşturuyorum ve /opt/splunk klasörünün sahibi olacak şekilde ayarlıyorum sonra da o kullanıcıya geçiş yapıyorum. Uygulamayı root kullanıcısı ile çalıştırmak tabii ki mümkün ancak Linux sistemlerde uygulama için ayrı bir kullanıcı oluşturulması en uygun yöntemdir.

sudo useradd -m -s /bin/bash -G sudo splunk 

sudo passwd splunk

sudo mkdir /opt/splunk

sudo chown splunk:splunk /opt/splunk

su - splunk

 

sudo tar -xzvf /home/fcn/splunk-8.2.0-e053ef3c985f-Linux-x86_64.tgz -C /opt

Kurulumun ardından /opt/splunk klasörünün sahibi değiştiriyoruz.

sudo chown -R splunk:splunk /opt/splunk

Daha sonra Splunk servisini başlatıyoruz.

cd /opt/splunk/bin

./splunk start --accept-license
 

Bu işlemin ilk kez yaptığımız için bizden Administrator için kullanıcı adı ve şifre bilgisi isteyecek

İsterseniz aşağıdaki komutu kullanarak sunucu yeniden başladığında splunk uygulamasının otomatik olarak açılmasını sağlayabilirsiniz.

./splunk enable boot-stat -user splunk

Splunk komutların bazılarını aşağıda paylaşıyorum:

 

Servis başladıktan sonra http://sunucu-ip-adresi:8000adresinden bağlantı yapabiliriz

Aşağıdaki ekranı görebiliyorsak her şey yolunda demektir 

Kurulum sırasında belirlediğimizi kullanıcı adı ve şifre ile login olabiliriz.

Böylece kurulum işlemlerini tamamlamış olduk, başka bir yazımızda görüşmek üzere.

 

Kaynakça: 

https://docs.splunk.com/Documentation/Splunk/8.2.0/Installation/Whatsinthismanual

https://docs.splunk.com/Documentation/Splunk/8.2.0/Admin/Howtousethismanual

 

 

Yazara Soru Sor