uberAgent ve Splunk ile İstemci Sistemler Tamamen Gözetimiziniz Altında

Merhaba arkadaşlar, geçen hafta bildiğiniz üzere “Logon Script Tipleri ve Performans Değerleri” başlıklı bir makale yazmıştım. Bu makalede bize değerlerin ölçümünü yapan ve çıktıları veren UberAgent isimli bir yazılımın bahsi geçiyordu. Bu yazılımın nasıl çalıştığı hakkında detaylar ile ilgili çok fazla istek geldi ve bu yazılımın nasıl kurulduğunu ve performans değerlerinin nasıl ölçüldüğü ile alakalı sizlerle makale paylaşmak istedim.

uberAgent adındanda belli olduğu üzere aslında bir ajan. Yani değerlerle ilgili analiz ve log tutma işini kendisi yapmamaktadır. Bütün durum bilgisini belirli bir platforma yollamaktadır. Dolayısı ile bu işi yapacak, yani değerleri depolayacak ve analiz edilmesini sağlayacak başka bir tool’a ihtiyacı bulunmaktadır. Bu tool aynı zamanda bizlere grafikler arayüzleri ve tüm çıktıları vermelidir, bu tool’un adı ise Splunk’tur. Evet uberAgent öncesinde Splunk server’i  kurmak zorundayız.

Bunun için önce https://www.splunk.com/en_us/download/splunk-enterprise-2.html adresine gidiyoruz. Buradan Splunk Enterprise versiyonu indiriyoruz. Göreceğiniz üzere çeşitli edition’lar mevcut. Zaten detaylarınıda bu adreste görebilirsiniz. Biz Enterprise olan versiyonu indiriyoruz 60 gün boyunca lisanslıymış gibi çalışıp sonrasında free edition’a dönmektedir. Kurulum çok basit. Hemen ilk adımla başlayalım. Benim Splunk sunucum windows 2012 R2 bir sunucu, standart sürüm. Kuruluma başladığımızda aşağıdaki ekran gelmektedir.

 

Lisans anlaşma kutusunu işaretleyip install edebiliyoruz. Dilerseniz customize options diyerek kendi istekleriniz doğrultusunda kurabilirsiniz. Kurulum lokasyonu ve kurulum hesabı dahil tüm seçenekleri değiştirebilirsiniz. Benim size tavsiyem “Domain Admin” yetkisi olan bir hesap ile kurulumu yapmanız. Çünkü local hesapla kurduğumuzda domaindeki makinalardan remote olarak log, data ve Event bilgilerini toplamak sıkıntı çıkarabilir. Kurulum bittiğinde aşağıdaki ekran ile karşılaşıyoruz.

Kullanıcı adı ve şifresi ilk kullanım olduğu için username girilecek kutu üzerinde yazıyor. Kullanıcı adı admin şifresi ise changeme. Gerekli bilgileri girdikten sonra sign-in dediğimizde hamen aşağıdaki ekran geliyor ve sizden varsayılan şifreleri değiştirmenizi istiyor.

Değişiklik yapıp save password sonrası show başlıyor, aşağıdaki ekranda lisans kullanımızı firma ile paylaşmanızı öneriyor. Ve dilerseniz Splunk yazılımı ile ilgili geri bildirim vasıtası ile geliştirmeye yardımcıda olabilirsiniz.

 

Işte ana ekran,

Ana ekran boş tabiki. Şimdi uberAgent’I bu konsol içine ekleyip buradan çalışmasını sağlayalım. Bunun için aşağıda gördüğümüz apps yanındaki çark’a tıklıyoruz, şuradaki,

Hemen sonraki ekran gelecek aşağıdaki gibi. Buradan “install app from file” butonuna tıklıyoruz,

Burada yapılacak işlem şu şekilde, öncelikle uberAgent’ı Splunk sunucusunda açıyoruz. Zaten sizde göreceksiniz zip’li dosya. Bunu açtıktan sonra aşağıdaki gibi file kısmından browse diyerek uberAgent_indexer.tgz dostasını gösterelim ve upload diyelim,

 

Aynı işlemi uberAgent_searchead.tgz dosyası içinde yapalım. Ve bu ikisini tamamladıktan sonra aşağıdaki ekrana uberAgent ikonu gelecek, oda aynen şöyle,

Evet buradan sonra uberAgent ekranlarında dolaşırken gözlerinize inanamayacağınız detaylar göreceksiniz. Client “nefes alsa” haberiniz olacak şekilde detay bilgileri rahatlıkla izleyebiliyorsunuz. Şimdi buradan sonra UberAgent’ın client tarafındaki kurulumuna gidiyoruz. Sonra yeniden buraya döneceğiz,

Arkadaşlar uberAgent sitesinde mutlaka biraz vakit geçirip ürünün nelere kadir olduğunu anlamanızı tavsiye ederim. Şimdi UberAgent’ı https://uberagent.com/download/# linkinden indiriyoruz. Bir zip dosyası. Bu dosya tüm işletim sistemlerine ait ajanı içinde barındırıyor. Splunk 6.2 sonrası tüm sürümlerle kullanılabilir.

Ben kurulumu test ortamımda bulunan bir windows 8.1 sürümü client’a yapacağım. Dosyayı açtıktan sonra “C:\Users\Administrator\Desktop\uberAgent components\uberAgent_endpoint\bin” yolundaki manual-install dosyasını çalıştırark kuruyoruz. Işletim sisteminizin mimarisi neyse ona uygun olan client kurulumu yapılacaktır. Ister 32bit ister 64bit mimari, buradan rahatlıkla kurabilirsiniz. Dosyaya çift tıkladığınızda aşağıdaki hoşgeldiniz ekranı ile karşılacaksınız,

Next diyerek devam ettiğinizde klasik lisans ekranı gelecektir,

Kutuyu işaretleyip yine Next diyoruz, Ajan için kurulum lokasyonu gelecektir,

 

Aşağıdaki ekran önemli, Splunk sunucunun ip adresi ve portunu vermemiz gerekiyor. Böylece tüm bilgileri bu sunucuya gönderecektir. Biz varsayılan ayarlarla kurduğumuz için default değerleri verebiliriz,

Bu değerleri sonradan değiştirmek mümkün. Ayrıca birden fazla Splunk server mevcut ise , ile ikinci server bu kısma yazabilirsiniz. Devam,

Kurulum tamamlanıyor,

Finish dedikten sonra servis konsolunda uberAgent servisini aşağıdaki gibi görebiliriz,

uberAgent kurulumunu tamamladık. Bu servis kullanıcı müdahalesinden korumalıdır. Yani son kullanıcı bu servise müdahale edemez. uberAgent’i GPO üzerinden’de istediğiniz detaylarda Splunk’a bilgi gönderir şekilde ayarlayabilirsiniz. Ama yok ben uğraşmadan tüm detayları göreyim derseniz zaten default kutulumda tüm detayları yolluyor ve gözlemleye biliyorsunuz.

Buradan sonra geçen hafta yolladığım makaledeki gibi bahsi geçen login script’lerin detaylı incelemesini yapabiliriz. 3 tip script için aşağıdaki gibi dosyaları oluşturup GPO üzerinden dağıtımını yapabilirsiniz.

 

LoginSctipt’lerin GPO ile dağıtımı ve devreye alınması işlerine burada girmeyeceğim, çözümpark üzerinde çok fazla makale bulabilirsiniz. Bu aşamadan sonra scriptleri uygulayıp uberAgent’in Splunk server’a veri yollamasını beklemek zorundayız. Bu süre en az 1 saat. Ama benim size tavsiyem en az 1 gün olacaktır. Unutmayalım uberAgent sadece loginscriptlerle ilgili bilgi göndermiyor. Çok fazla konu ile alakalı bilgi yolluyor. Login script sadece bir seçenek. Login scriptlerle ilgili detayı splunk sunucusundaki arayüzde single logon başlığında. Ben istediğim performans değerlerini süzmeden önceki halini paylaşıyorum,

Bu ekranları incelediğinizde gerçekten çok etkileneceksiniz. Renklerden tutunda yerleşim planlarına kadar herşey çok güzel. Özellikle VDI ortamlarında nerede problem yaşıyorsunuz tesbiti için inanılmaz bir ürün. License konusunu detaylı araştırmadım ama hem Splunk hemde uberAgent için ilgili sayfaları ziyaret edebilirsiniz. Splunk Server 60 gün enterprise çalışıp sonra free edition’a dönüyor. uberAgent ise free çalışmaya devam ediyor fakat lisanslamadığınız sürece ilk açılışta aşağıdaki ekran geliyor ve yaklaşık 15 sn kadar ekranda kalıyor,

 

Sinir bozucu bu ekrandan kurtulmak için lisans alıp gerekli şekilde lisans girişini yapmak gerekli, orasıda splunk server üzerindeki başlığı altında licensing bölümünde.

Kolay gelsin.

 

Exit mobile version