DEPLOY SPLUNK CLUSTER MULTI INDEXER
Phần 2: Cấu hình Cluster và Onboard Data.
3. Cài đặt Splunk Core.3.1 WinSCP
Sử dụng WinSCP truy cập vào VM cần cài Splunk(ở đây là máy 10.120.140.151 – Indexer server 01), nhập IP Adress , User Name/ Password để truy cập:
Truy cập thư mục /splunk trong VM:
Download Splunk Enterprise tại đây: https://www.splunk.com/en_us/download/splunk-enterprise.html
Copy source Splunk Enterprise từ một máy Windows vào thư mục /splunk:
Truy cập VM vừa copy Splunk Enterprise, sử dụng các lệnh sau để kiểm tra đã có file cài trong thư mục /splunk hay chưa:
#cd /
#ls
#cd splunk
#ls
3.2 Install Splunk and Active License Splunk
a)Install Splunk
Trước khi install Splunk, truy cập đến thư mục chứa file cài Splunk bằng các lệnh sau:
#cd /splunk
#ls
Sử dụng lệnh sau giải nén file cài Splunk ra thư mục /splunk, tên thư mục giải nén ra là splunk:
#tar –vzxf splunk-8.0.3-a6754d8441bf-Linux-x86_64.tgz –C /splunk
Kiểm tra file giải nén của Splunk:
#ls
Truy cập đến thư mục /splunk/splunk/bin:
#cd splunk
#ls
#cd bin
Cài đặt splunk khởi động cùng hệ điều hành trong trường hợp reboot VM, splunk yêu cầu nhập username/password tài khoản quản trị, ở đây sử dụng username=admin:
Khởi động Splunk:
#./splunk start
Lúc này Splunk đã sẵn sàng sử dụng, sử dụng trình duyệt web , truy cập địa chỉ 10.120.140.150:8000 , sử dụng username/password cài đặt bên trên để đăng nhập:
Truy cập thành công splunk:
Cài đặt tương tự với Search Head server, Indexer trong hệ thống Splunk.
b) Active license
Để active license cho Splunk, vào Settings > Licensing:
Chọn Add license:
Chọn Choose File:
Chọn file license , sau đó chọn OK:
Sau đó chọn Install để cài đặt license:
Chọn Restart Now:
Chọn OK:
Đợi quá trình restart hoàn tất:
Sau khi Splunk khởi động lại,chọn Setting > License:
Như vậy license đã được Active thành công.
4. Cấu hình Cluster
4.1 Disbale SELINUX
Trước khi cấu hình Cluster, cần disable SELINUX.
Xem trạng thái SELINUX với câu lệnh sau:
#sestatus
Sử dụng vi để edit file /etc/selinux/config ,
#vi /etc/selinux/config
Cấu hình SELINUX=disabled như hình dưới đây.
Sau khi lưu cấu hình, tiến hành reboot lại OS:
#reboot
Sau khi VM reboot, kiểm tra lại trạng thái của SELINUX:
#sestatus
Như vậy, đã hoàn thành disable SELINUX.
Làm lần lượt đối với các thành phần còn lại trong hệ thống (Search Head server, Indexer server).
4.2 Enable HTTPS
Để Enable HTTPS trên Splunk, chọn Settings> Server settings:
Chọn General settings:
Tại mục Enable SSL (HTTPS) in Splunk Web, chọn Yes, sau đó chọn Save:
Sau đó, trong Messages, xuất hiện thông báo yêu cầu restart lại Splunk, chọn Click here to restart Server controls:
Chọn Restart Splunk:
Sau đó chọn OK:
Chọn click here to continue:
Sau khi Splunk Restart, sử dụng https để truy cập Splunk Web:
Như vậy, đã hoàn thành enable HTTPS.
Làm lần lượt đối với các thành phần còn lại trong hệ thống (Search Head server, Indexer server).
4.3 Add License cho Search Head server và Indexer server:
Truy cập giao diện Splunk Web của Search Head server, đăng nhập, sau đó chọn Settings> Licensing:
Chọn Change to slave:
Chọn Designate a different Splunk instance as the master license server, sau đó điền vào Master license server URL thông tin server của Master server , sau đó chọn Save:
https://10.120.140.150:8089
Splunk sẽ yêu cầu Restart lại, chọn Restart Now:
Sau khi khởi động, vào Settings > Licensing để kiểm tra:
Như vậy , đã active thành công Search Head server, thưc hiện tương tự với các thành phần còn lại trong hệ thống Splunk.
4.4 Cấu hình Cluster trên Master
Thực hiện cấu hình Cluster trên Master, trên Splunk Web của Master server, chọn Settings>Indexer clustering:
Chọn Enable Indexer Clustering:
Chọn Master node, chọn Next:
Hoàn thành các thông tin dưới đây, sau đó chọn Enable Master Node:
- Replication Factor: = 3
- Search Factor: = 2
- Security Key: (Nhập key bí mật để cấu hình cluster giữa các thành phần)
- Cluster Label: Nhập tên của Cluster tùy ý
Splunk yêu cầu Restart , chọn Restart now:
Sau khi có thông báo hoàn tất Restart lại Splunk, chọn OK, sau đó tiến hành đăng nhập lại Splunk Web:
Giao diện Master sau khi cấu hình cluster:
Như vậy , đã hoàn tất enabel Master mode trên Splunk Master server.
4.5 Cấu hình Cluster trên Search Head
Thực hiện cấu hình Cluster trên Search Head, trên Splunk Web của Search Head server, chọn Settings>Indexer clustering:
Chọn Enable Indexer clustering:
Chọn Search head node, chọn Next:
Hoàn thành Master URL(Master server https://10.120.140.150:8089 , nhập Security key đã được khởi tạo từ khi cấu hình Master server, sau đó chọn Enable search head node:
Splunk yêu cầu khởi động lại, sau đó chọn Restart Now:
Sau Splunk thông báo hoàn tất khởi động, chọn OK và đăng nhập lại Search Head 01:
Sau khi đăng nhập, trạng thái của Search Head server trong Cluster như sau:
Như vậy , đã hoàn thành cấu hình Cluster cho Search Head server, thực hiện tương tự với Search Head server còn lại trong hệ thống Splunk.
4.6 Cấu hình Cluster tên Indexer
Thực hiện cấu hình Cluster trên Indexer, trên Splunk Web của Indexer server, chọn Settings>Indexer clustering:
Chọn Enable Indexer clustering:
Chọn Peer node, chọn Next:
Hoàn thành các thông tin như hình dưới đây, sau đó chọn Enable peer node:
- Master URL: https://10.120.140.150:8089
- Peer replication port: 8080
- Security key: Nhập key đã cấu hình ở bước cấu hình cluster cho Master server.
Splunk yêu cầu Restar, chọn Restar Now:
Sau khi Splunk thông báo khởi động hoàn tất, chọn OK , sau đó đăng nhập lại
Sau khi đăng nhập, trạng thái của Indexer server trong Cluster như sau:
Như vậy , đã hoàn thành cấu hình Cluster cho Indexer server, thực hiện tương tự với các Indexer server còn lại trong hệ thống Splunk.
4.7 Kiểm tra cấu hình Cluster và cấu hình sau khi cluster trên Master server
a)Kiểm tra cấu hình Cluster
Trạng thái cluster trên Master server:
Trạng thái cluster trên Search Head 01 server:
Trạng thái cluster trên Search Head 02 server:
Trên Seach Head 01 server, chọn Settings > Distributed search:
Chọn Search peers:
Trạng thái Distributed search trên Search Head 01:
Thực hiện tương tự, trạng thái Distributed search trên Search Head 02:
Trạng thái cluster trên Indexer 01:
Trạng thái cluster trên Indexer 02:
Trạng thái cluster trên Indexer 03:
Trạng thái cluster trên Indexer 04:
Như vậy , đã hoàn thành cấu hình Cluster cho các thành phần trong Splunk.
b) Cấu hình Monitoring Console trên Master server
Trên Master server, chọn Settings> chọn Monitoring Console:
Sau đó chọn Settings trong Monitoring Console, chọn General Setup:
Sau đó chọn Distributed:
Sau đó chọn Continue:
Sau đó chọn Apply Changes:
Sau đó chọn Save:
Thông báo thành công, chọn Refresh:
5. Cấu hình onboard Data
a)Cấu hình onboard data trên Master server.
Sử dụng WinSCP truy cập vào thư mục /splunk/splunk/etc/master-apps/ của Master server, sau đó copy 2 file TA_HG_network, TA_HG_system vào thư mục này:
Chi tiết nội dung hai file sẽ được thảo luận trong các phần sau.
Trên Splunk Web của Master server, chọn Settings > Indexer clustering:
Chọn Edit, chọn Configuration Bundle Actions:
Chọn Validate and Check Restart để kiểm tra cấu hình 2 file vừa copy vào Master server:
Xác nhận lại bằng cách chọn Validate and Check Restart:
Đợi quá trình validate and check hoàn thành:
Nếu các cấu hình không xảy ra lỗi, sẽ thông báo thành công:
Sau đó chọn Push để đẩy các cấu hình này xuống Indexer:
Chọn Push Changes để confirm:
Đợi quá trình push cấu hình xuống Indexer, sau đó Indexer sẽ khởi động để khớp cấu hình:
Thông báo Push thành công:
b)Kiểm tra Indexer sau khi cấu hình onboard data
Sau khi cấu hình onboard data trên Master, truy cập Splunk Web của Indexer 01, chọn Settings> Data inputs:
Sau đó chọn UDP:
Thấy đã tồn tại các cấu hình từ Master push xuống Indexer, như vậy đã cấu hình onboard data thành công:
Thực hiện việc kiểm tra tương tự đối với các Indexer còn lại trong hệ thống Splunk.
