In un precedente articolo, ho raccontato di come è possibile gestire in modo preciso e completo i log che un ambiente vSphere produce. Uno degli strumenti più potenti che esiste in commercio è sicuramente Splunk. Il modello di licensing di Splunk è basato unicamente sulla quantità di dati che un sistema è in grado di registrare giornalmente. Esiste infatti una versione completamente gratuita, limitata a 500 Mb giornalieri e senza possibilità di utilizzare moduli aggiuntivi (come appunto quello per VMware), oppure la versione Enterprise, che parte sempre da 500 Mb giornalieri (ma con molte funzioni in più) al costo di 5000 USD perpetui o 2000 USD in abbonamento annuale, per incrementare poi questi valori al crescere della quantità giornaliera.
Non è sicuramente un prodotto per tutti, ma la sua potenza è tale che il prezzo finale è sicuramente giustificato.
In questo primo articolo, mostrerò come installare e configurare Splunk.
Per i miei test, ho utilizzato una virtual machine CentOS 6.4 64 bit. La lista dei sistemi operativi supportati da Splunk e molto vasta, ed è possibile utilizzare anche Windows o Solaris, oppure FreeBSD e anche Mac OS X.
Una volta registrati sul portale Splunk, è possibile scaricare il file di installazione, nel mio caso un RPM, di circa 38 MB. L’installazione richiede pochissimi requisiti, che vanno verificati prima di iniziare controllando questa pagina web della documentazione.
L’installazione è semplicissima, e consiste nell’eseguire il comando:
rpm -i splunk-5.0.2-149561-linux-2.6-x86_64.rpm
Installato l’applicativo, è possibile avviarlo manualmente, ma è molto meglio registrare Splunk come servizio. Per fare ciò, è sufficiente dare il comando:
/opt/splunk/bin/splunk enable boot-start
In questo modo, Splunk verrà registrato nella lista dei service di CentOS, e per avviarlo sarà sufficiente il classico comando:
[root@splunk ~]# service splunk start Starting Splunk... Splunk> Take the sh out of IT. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking configuration... Done. Checking indexes... Creating: /opt/splunk/var/lib/splunk Creating: /opt/splunk/var/run/splunk Creating: /opt/splunk/var/run/splunk/appserver/i18n Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css Creating: /opt/splunk/var/run/splunk/upload Creating: /opt/splunk/var/spool/splunk Creating: /opt/splunk/var/spool/dirmoncache Creating: /opt/splunk/var/lib/splunk/authDb Creating: /opt/splunk/var/lib/splunk/hashDb Validated databases: _audit _blocksignature _internal _thefishbucket history main summary Done New certs have been generated in '/opt/splunk/etc/auth'. Checking filesystem compatibility... Done Checking conf files for typos... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Done [ OK ] Starting splunkweb... Generating certs for splunkweb server Generating a 1024 bit RSA private key ..............................................................++++++ ............................................................++++++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=splunk/O=SplunkUser Getting CA Private Key unable to write 'random state' writing RSA key [ OK ] Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://splunk:8000
Avviato Splunk, così come suggerito dall’avvio del servizio, ci possiamo recare sulla sua interfaccia web per la sua configurazione e gestione. Dopo averci obbligato a modificare la default password (ottima cosa!), ci troveremo davanti all’interfaccia iniziale di Splunk:
Tramite il Menu in alto a destra, andiamo a configurare il sistema, principalmente la parte Licensing e i Settings:
Vedremo nei prossimi post come connettere un sistema vSphere a Splunk e analizzare i dati.