splunk

splunk - 로그 검색 기능 수행 , 데이터 탐색을 통해 보안을 유지

▶설치 진행

apt-get update –y 
apt-get dist-upgrade –y
apt-get –y install curl
apt-get –y install open-vm-tools open-vm-tools-desktop
ufw disable
sleep mode disable

 

버전 정보

 

메시지 출력 시 실행

SWID_SRC_DIR="$SPLUNK_HOME/etc"
SWID_DEST_DIR="/usr/share/regid.2001-12.com.splunk"
mkdir -p $SWID_DEST_DIR
sudo cp /opt/splunk/swidtag/splunk-Splunk-Enterprise-primary.swidtag /opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag
sudo chown splunk:splunk /opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag

 

 

▶실행

/opt/splunk/bin/splunk enable boot-start 
---> 장비 재부팅시 자동 splunk 실행
/etc/init.d/splunk start

8000번 포트 확인

주소 확인

설치시 생성한 이름, 암호 입력하여 접속

 

 

▶ 라이센싱 -> 라이센싱 그룹 변경

평가판 라이센스로 설정

 

 

▶ 튜토리얼 파일 다운 -> 인덱스 생성

튜토리얼 파일을 다운

다운로드 받은 파일을 선택

인텍스 -> 새 인덱스 

파일 업로드 완료 -> 검색 시작

▶ 검색 기능 사용

▶ 로그 확인

UDP 포트 514

설정완료 -> 검색 시작