安装Splunk

我目前正在将Splunk添加到我的实验室中,以便在进行配置时,我将在这里通过一系列博客文章列出我的工作。 Splunk是一款功能强大的SIEM,可用于跨网络和安全工具聚合和关联数据。如果您想免费试用,请访问splunk.com,您应该可以免费下载该软件以在一定程度上使用。 Splunk的好处是,有许多供许多供应商使用的免费的预构建应用程序和仪表板,您可以下载 这里

就我而言,我希望以后能够利用Splunk与ISE进行pxGrid集成,因此我不能将其安装在Windows之上以使其正常工作。在我的实验室中,我将在VM上安装Ubuntu 16.04.2 Desktop映像。可以下载Ubuntu 这里

安装后,导航至Splunk.com并下载适用于Linux的Splunk .deb文件。将其下载到“下载”目录后,您将要安装它。在Ubuntu桌面上打开终端,然后发出以下命令:

sudo dpkg -i ./Downloads/splunk-6.6.2-4b804538c686-linux-2.6-amd64.deb

这将安装Splunk,但直到您手动启动它,该服务才会启动。安装后,发出以下命令:

sudo /opt/splunk/bin/splunk start

几秒钟后,Web服务器应已启动并正在运行。您应该可以在浏览器中导航到Splunk http://<VM-IP>:8000

Splunk会要求您最初使用admin用户名和“ changeme”密码登录。系统将立即提示您更改密码。我建议的另一件事是导航到 设定值>System>Server 设定值 初始登录后,点击顶部栏上的。 

从那里转到 General 设定值 并且我建议启​​用SSL以使Splunk更加安全一些:

保存此配置后,Splunk将提示您重新启动服务以使更改生效。继续做吧。 

此时,Splunk应该已启动并准备好使用一些数据源进行配置!