LINUX 系統管理課程

1. LINUX系統管理課程 Splunk與nix安裝 蔡一郎 2010/02/25

2. 大綱 • Splunk簡介 • Splunk安裝 • Splunk的基本操作 • nix Apps的安裝 • nix Apps的基本操作

3. Splunk簡介 • IT Search 是一種全新的概念，藉由強大的搜尋引擎平台，您可以快速收集、保存與索引(Index)各種網路設備、安全設備、伺服器與應用程式所產生的大量日誌、設定檔、SNMP、I/O等IT資料，透過和Google一樣簡單的關鍵字搜尋，您不僅可以最快的速度、最短的時間取得互相關聯性的資料，更可滿足多種資訊管理應用的需求 • Splunk • http://www.splunk.com/

4. Splunk架構 • Troubleshoot problems from one place • Networks • Servers • Virtual instances • Change events • Visibility into utilization, performance and faults across all tiers • Capacity planning • Service-level mgmt. • Trends and anomalies • Automatically notify Service Desk/ NOC/ Sysadmin • Recurring errors • Performance degradation • Error storms • Enrich data • Classify and tag events, transactions and assets • Extract fields • Use dynamic lookups

5. Splunk的功能介紹 • 索引 • 採用各種不同的彈性輸入方法，將您所有的應用程式、伺服器和網路設備中的記錄檔、組態、捕捉訊號及警示、訊息、指令碼及程式碼和效能資料製作索引。您將可監控檔案系統的指令碼及組態變更、擷取封存檔案、尋找及追蹤現場應用程式記錄檔、連線至網路連接埠以接收系統記錄檔、SNMP以及其他網路相關設施，而這強大便利的功能卻只是Splunk的初步基礎作業 • 搜尋 • 以快速、自由的方式搜尋所有資料，而非只是少數預先定義的欄位。您可以利用布林代數、巢狀、引號字串及萬用字元搜尋，無需具備特定資料格式而且還能結合時間及文字搜尋。在發生系統錯誤之前，您可以在數秒內跨越您基礎結構的各種設備，尋找錯誤及組態變更。然後，從您的搜尋的結果辨識出問題所在位置，所以比一般嚴格的欄位對應規則 (加諸在時間之前) 更有彈性

6. Splunk的功能介紹 • 警示 • 任何搜尋皆可依排程執行，並依搜尋結果觸發通知或動作。而且，正因為Splunk能夠橫跨不同的元件及技術運作，可說是您工具組中最具彈性的監控工具。各項通知可透過電子郵件、RSS或SNMP寄送至管理主控台。動作觸發指令碼則能執行使用者指定的活動，例如重新啟動應用程式、伺服器或網路裝置 • 報告 • Splunk將強大的報告功能與高速、彈性及具延伸能力的IT搜尋相結合。搜尋結果可輕易地以互動圖表、圖形及表格作總結報告。splunk能分析大量資料的簡易程度，會讓您和您的上司感到驚訝。另外，由於可在搜尋時辨別欄位，因此您可以指定新的欄位，而不需重新為您的資料編製索引

7. Splunk的功能介紹 • 共用 • 眾所周知，廠商、開發人員及操作人員所經手的IT資料通常缺少良好的記錄。但有了Splunk後，每個人皆可新增他們自己的紀錄與知識庫。當您儲存搜尋結果時，還可識別不同的欄位類型、事件及交易，讓整體系統更具智慧，更方便他人使用。而且，這些紀錄與知識庫並不會隨著操作人員的離開而消失 • 延伸能力 • 從單一應用程式及少數的資料來源，將您的安裝延伸至全部的資料中心及數千個資料來源，當然更可存取、儲存資料以及搜尋、轉送至其他系統 • 安全 • 保護IT資料的安全，是刻不容緩的工作。特別是在充分瞭解擁有多麼寶貴的資訊資產時，Splunk提供安全的資料處理、細微的存取控制、審核能力、確保資料的完整性及與現有驗證系統的互動

8. Splunk的安裝 • 安裝Splunk套件 • rpm -ivh splunk-4.x.x-xxxxx.i386.rpm Splunk has been installed in: /opt/splunk To start Splunk, run the command: /opt/splunk/bin/splunk start To use the Splunk Web interface, point your browser at: http://domain-name:8000 Complete documentation is at http://www.splunk.com/r/docs

9. Splunk的啟動 • 啟動Splunk • /opt/splunk/bin/splunk start • http://domain-name:8000 • admin / changeme

10. Splunk for *nix • Provides out-of-the-box monitoring for all Unix platforms that Splunk supports including Linux, FreeBSD, Solaris, AIX and Mac OSX • Pre-built data inputs, searches, reports, alerts and dashboards for Linux and Unix management • Monitor, manage, and troubleshoot *nix operating systems from one place • Includes scripted inputs for collecting CPU, disk, I/O, memory, log, configuration and user data

11. 安裝*nix • 「已安裝應用」 • *nix  啟用  重新啟動 Splunk

12. *nixApps界面

13. *nixApps界面

14. 實作時間

15. Q & A