Cómo instalar Splunk en Debian 11 o 10 Linux

Cómo instalar Splunk en Debian 11 o 10 Linux

 

Instalemos Splunk en el sistema operativo Debian 11/10 Linux, analicemos los datos recopilados de varios recursos… 

Splunk es un software de seguridad, información y gestión de eventos (SIEM, por sus siglas en inglés). Es una solución multiplataforma que recibe información de varias fuentes y combina y visualiza la información correlacionada en un tablero. Los datos procesados ​​por Splunk también se pueden enriquecer con los datos convencionales de bases de datos relacionales.

Splunk entiende los datos de la máquina, así como los textos que las personas han creado. Los datos de máquina son la información (datos no estructurados) que se genera durante el funcionamiento de varios sistemas (ordenadores, dispositivos móviles, componentes de red, dispositivos de seguridad, dispositivos de medición, etc.). Cuando habla de los datos de la máquina, habla principalmente de los registros.

Por lo tanto, SIEM significa que carga todos los archivos de registro de sus dispositivos en una gran base de datos y los unifica. El SIEM le advierte cuando ocurre algo inusual. Puede analizar estos datos con Splunk para averiguar qué está pasando.

Requisitos mínimos de hardware para instancia empresarial única de Splunk. Sin embargo, puede instalarlo incluso en menos del recurso mencionado para aprenderlo.

  • x86 de 64 bits con 12 núcleos de CPU físicos o 24 vCPU a 2 Ghz o mayor velocidad por núcleo.
  • RAM de 12 GB.
  • Tarjeta de red Ethernet de 1 Gb
  • Linux o Windows de 64 bits

Instalación paso a paso de Splunk en Debian Linux

1. Descarga Splunk gratis para Linux

La versión gratuita de Splunk está disponible con todas las funciones empresariales, pero por un período de tiempo limitado, es decir, 60 días después, el usuario debe actualizar para continuar con todas las funciones. Mientras que, si no lo hace, una licencia gratuita con funciones limitadas continuará sin vencimiento. Sin embargo, solo permitirá indexar 500 MB por día, no habrá búsqueda; la carga masiva de grandes conjuntos de datos solo permite 2 veces en un período de 30 días.  Conozca más acerca de una licencia gratuita .

Para instalar Splunk en Debian, los desarrolladores de esta plataforma ofrecen el binario Deb que se puede descargar fácilmente desde el sitio web oficial (enlace) . 

Alternativamente, los usuarios pueden usar el siguiente wget comando para obtener la versión gratuita de Splunk con funciones de prueba Enterprise.

wget -O splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb 'https://www.splunk.com/page/download_track?file=8.2.1/linux/splunk-8.2.1-ddff1c41e5cf-linux-2.6-amd64.deb&ac=&wget=true&name=wget&platform=Linux&architecture=x86_64&version=8.2.1&product=splunk&typed=release''

2. Comando para instalar Splunk en Debian 11 o 10

Como el archivo descargado es .deb, podemos usar el administrador de paquetes APT para instalarlo.

Nota : si ha descargado este software de análisis de datos en GUI Linux usando el navegador, primero cambie al directorio de Descargas usando cd Downloads. Mientras que los usuarios lo obtuvieron usando el wgetcomando, simplemente pueden ejecutar:

sudo apt install ./splunk-*-amd64.deb

3. Acepte la licencia, habilite el inicio de arranque y establezca el usuario y la contraseña del administrador

Una vez que se complete la instalación, ejecutemos el script que no solo habilitará el servicio Splunk en el nivel de inicio, sino que también nos permitirá configurar los detalles de inicio de sesión:  usuario administrador y su contraseña . Sin embargo, cuando se inicie el script, presione la tecla Esc y la Y para aceptar la licencia.

sudo /opt/splunk/bin/splunk enable boot-start

4. Acceda a la interfaz web de Spunk

Ahora, esta plataforma de análisis de datos está lista, accedamos a su interfaz web en localhost:8000 , mientras que los usuarios que deseen acceder a Splunk Dashboard en algún sistema remoto deben abrir el puerto 8000 en el firewall del sistema. Para esa carrera:

sudo ufw allow 8000

Después:

Para navegador de sistema remoto – http://your-server-ip:8000
Para navegador de sistema local- http://localhost:8000

5. Iniciar sesión en la cuenta de administrador

La primera pantalla que obtendrá en su navegador es para ingresar el nombre de usuario y la contraseña de administrado

6. Panel de Splunk

Finalmente, tiene Splunk en su sistema Debian o Ubuntu, ahora haga clic en Agregar datos para integrar la fuente de datos para el análisis.

Cómo instalar Splunk en Debian 11 o 10 Linux

Desinstalar Splunk Enterprise (opcional)

sudo /opt/splunk/bin/splunk disable boot-start
sudo apt remove splunk

Desde aquí puede consultar la documentación oficial de Splunk para saber más…

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.