Télécharger Splunk

Splunk est très simple à installer. Sous Linux il faut extraire une archive et sous Windows utiliser l'exécutable.

Les fichiers peuvent être téléchargés directement depuis le site officiel, mais il faut un compte. Le plus simple et rapide est d'utiliser une adresse email bidon avec fakemailgenerator par exemple pour se créer un compte le temps de télécharger les fichiers voulus.

La version Splunk Entreprise est téléchargeable ici, qui sera limitée à 500Mo de logs par jours pendant 2 mois. Passé cette période, il faudra choisir entre la version gratuite (donc limitée) et l'achat d'une licence.

Installer et lancer Splunk

Sous Linux

Version rapide, en root

Extraire l'archive tgz et placer le dossier Splunk dans /opt/ :

tar xzvf splunk-7.0.0-c8a78efdd40f-Linux-x86_64.tgz
mv splunk /opt/

Lancer Splunk automatiquement au démarrage :

/opt/splunk/bin/splunk enable boot-start

Puis pour lancer Splunk :

/opt/splunk/bin/splunk start --accept-license

Splunk sera lancé et disponible sur l'IP de la machine, sur le port 8000. Les identifiants par défaut son admin : changeme.

Source : docs.splunk.com

Pour installer et lancer Splunk avec un utilisateur dédié (recommandé en production), suivre le tutoriel sur linoxide.com.

Sous Windows

C'est encore plus simple, il faut suivre les indications données par l'installateur Splunk !

Mots clés

• splunk
• siem
• fiche reflexe