1. Cài đặt và cấu hình Splunk trên máy chủ
Tải Splunk Enterprise (ví dụ: phiên bản .deb cho Ubuntu). Trong phần tải xuống, chọn Linux và sau đó chọn định dạng .deb (Debian package) phù hợp với Ubuntu. Nếu muốn tải qua dòng lệnh, chọn tùy chọn Download via Command Line (wget) để lấy link tải trực tiếp.
ls kiểm tra file tải xuống
Chạy lệnh sau để cài Splunk: sudo dpkg -i splunk-10.0.0...
Sau khi cài đặt hoàn tất, sử dụng lệnh sau để khởi chạy Splunk lần đầu: sudo /opt/splunk/bin/splunk start --accept-license -- . Lệnh này sẽ yêu cầu bạn chấp nhận giấy phép sử dụng. Nhấn y để đồng ý. Tạo tài khoản admin với tên người dùng và mật khẩu
Truy cập giao diện web của Splunk:
Cấu hình để nhận log: Đi tới Settings > Forwarding and receiving > Configure receiving > Add new và thêm cổng 9997
2. Cấu hình Splunk lấy log từ máy win 10
Tải về phiên bản UF phù hợp với máy
Chạy file .msi với quyền admin
sử dụng tài khoản hệ thống cục bộ của máy tính để truy cập dữ liệu
chọn các loại log muốn giám sát
nhập username và password của tài khoản đã cấu hình ở Splunk server
địa chỉ ip của splunk server
cài đặt
kiếm tra xem đã được chuyển hướng đến địa chỉ IP của server chưa
cấu hình UF để gửi dữ liệu đến server
Kiểm tra thấy đã thu được log từ Win10