Merhaba, bu makaleden başlamak üzere Splunk SIEM ( bence Splunk için SIEM çok dar bir kavram olur. Splunk tam bir data analiz canavarıdır. ) üzerine incelemelerde bulunacağız.
Splunk için dünyada en çok kullanılan data analiz araçlarından biri desek yanlış olmaz.
Genel Özellikleri
- Maximum Daily Indexing Volume
- Maximum Users
- Universal Data Collection/ Indexing
- Metrics Store
- Data Collection Add-Ons
- Monitoring and Alerting
- Dashboards and Reports
- Search and Analysis
- Event Annotation
- Automatic Data Enrichment
- Anomaly Detection
- Tables, Data Models and Pivot
- Splunkbase Apps
- Splunk Premium Solutions
- High Availability
- Disaster Recovery
- Clustering
- Distributed Search
- Performance Acceleration
- Access Control
- Single Sign-On/LDAP
- Developer Environment
- Dynamic Data
Splunk’un üç versiyonu bulunmakta. Bunlar şöyle:
- Splunk Free
- Splunk Enterprise
- Splunk Cloud
Detaylı bilgilere buradan erişebilirsiniz https://www.splunk.com/en_us/software/features-comparison-chart.html
Splunk’ın free versiyonunun 500 MB limitasyonu bulunmaktadır. Ben tüm makale süresince free versiyonu kullanacağım.
Yapıdan biraz bahsedersem, kurulumu Ubuntu 20.04 LTS üzerine yapacağım. Test ortamı olduğu için 4 çekirdek işlemci , 16 gb ram ve 100 gb disk alanı kullandım.
İlk olarak https://www.splunk.com/ adresine gidiyorum ve sağ üst köşedeki “Free Splunk” butonuna tıklıyorum. Gelen formu doldurulup indirme sayfasına erişiyorum.
Burada sizler ile bir deneyimimi paylaşmak istiyorum. Son sürümü indirip kurduğumda sürekli aşağıdaki hatayı aldım.
“cp: cannot stat ‘/opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swid“
Farklı Linux dağıtımları ile denememe rağmen çözüm bulamadım. Yaptığım araştırmalarda eski versiyon Splunk dağıtımlarında da aynı hata ile karşılaşılmış olduğunu gördüm. Şuan en azından Linux tarafında ” özellikle .deb” paketinde bir problem var bu sorunun kısa sürede düzeltileceğine inanıyorum. Bu yüzden bir önceki versiyonu ile devam ediyorum.
Şuan son sürüm “Splunk Enterprise 8.1.0” ancak ben “8.0.6” versiyonu ile devam ettim. Aşağıdaki linkten ulaşabilirsiniz.
https://www.splunk.com/en_us/download/previous-releases.html#tabs/linux
Kullandığımız Linux dağıtımı, Windows veya Mac OS için uygun sürümü indiriyoruz.
Ben “wget” ile direk Linux konsolunu kullanarak indirme işlemini yapıyorum.
wget -O splunk-8.0.6-152fb4b2bb96-linux-2.6-amd64.deb 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.6&product=splunk&filename=splunk-8.0.6-152fb4b2bb96-linux-2.6-amd64.deb&wget=true'
İndirme işlemi bittikten sonra aşağıdaki komut ile kurulumu yapıyorum.
dkpg -i "indirilen paket ismi" 
Bazı sorular soruyor kullanım sözleşmesi, WebGUI kullanıcı adı şifre gibi. Bu bilgileri girerek kurulum hızlıca bitiyor.
Kurulumdan sonra aşağıdaki komutu giriyorum. Bu komut sistem yeniden başladıktan sonra Splunk’ın çalışmasını sağlayacak.
sudo /opt/splunk/bin/splunk enable boot-startAşağıdaki komut ile Splunk servisini başlatıyorum.
sudo systemctl start splunk
Kurulum böylece sonlanıyor. Aşağıdaki adresi tarayıcıma yapıştırarak ara yüze erişimi yapıyorum.
http://sunucu adresi:8000
Evet Splunk artık karşımızda.
Aşağıdaki resimde 500 MB limit olduğu görülmekte.
Kurulum bu şekilde sonlanıyor. Bundan sonraki makalemizde Splunk’ı incelemeye beraber devam edeceğiz. Keyifli okumalar.