Ubuntu上でSplunkをインストールし、簡単な初期設定までを行う手順をまとめます。Splunkはログ収集や分析、可視化に非常に便利なツールであり、システムの監視やトラブルシューティング、セキュリティ分析など幅広い用途で利用できます。
※本記事で示す手順は、筆者が定めた最低限の可動要件を満たす設定と動作確認のみを目的として、自身の備忘用のレベルで記しています。運用性やセキュリティ上の細かな考慮等は省いている場合があります。もし各手順を試される場合には自己責任でお願いいたします。
前提条件
- OS: Ubuntu 22.04(執筆時に筆者の手元にあったもの)
- Splunkのバージョン: Splunk Enterprise Ver9.4.0(執筆時点での最新版を想定)
事前準備
Splunk のサイトから、最新のインストールパッケージをダウンロードする。(要Splunkアカウント)
ここでは、debパッケージを利用し、wgetのURLを取得して進めるものとする。
一応、OSをできる範囲で最新状態にしておく。
$ sudo apt update
$ sudo apt upgrade
Splunkのパッケージをダウンロードする。
$ wget -O splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb "https://download.splunk.com/products/splunk/releases/9.4.0/linux/splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb"
$ ls -lh *.deb
-rw-rw-r-- 1 user user 878M Dec 13 19:52 splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb
Splunk のインストール
インストールする。
$ sudo apt install ./splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb
初期設定
Splunk を起動します。初回起動時に、最初はユーザ登録を行います。(フリーライセンス版に移行する前は、Enterpriseトライアルライセンス が有効となっているため、最初はユーザーが必要)
$ sudo /opt/splunk/bin/splunk start --accept-license
・・中略・・
Please enter an administrator username: admin
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
・・中略・・
ブラウザから、"http://<SplnkサーバのIPアドレス>:8000" にアクセスする。
無事にログインできたことを確認する。
ライセンスをフリーライセンス版に変更しておく。[設定]から[ライセンス]を選択する。(デフォルトでは、Enterpriseトライアルライセンス が有効になっているが、一定期間経過後に利用できなくなるので、初めからフリーライセンス版に変更しておく)
[ライセンスグループの変更]を選択する。
[フリーライセンス]を選択して、[保存]を押下する。
[今すぐ再起動]を押下して、ライセンスを反映させる。
[Splunkの再起動]を押下する。
もう一度、ブラウザから "http://<SplnkサーバのIPアドレス>:8000" にアクセスして、ダッシュボードに接続できていればOK。
