OSCam/fr/Monitoring/Splunk

Aus Streamboard Wiki
Version vom 22. Februar 2016, 15:24 Uhr von Pr2 (Diskussion | Beiträge) (Ajout de la page Splunk traduite dans la section française)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

OSCam Übersicht OSCam Home OSCam Accueil OSCam Home

Introduction

Qu'est-ce que Splunk

Splunk est un outil universel pour analyse de grande quantité de données comme des logs, syslogs, fichiers +++

Qui a créé Splunk

Splunk est développé et supporté par www.splunk.com

Le complément OSCam est développé par Jotne. Il a été développé comme un projet pour avoir un contrôle sur le serveur et aider d'autres aussi.

Il y a certainement bien plus qui peut encore être fait, mais ceci est un manière d'aider les autres a utilisé Splunk.

Jotne a travaillé avec Splunk pour son travail, mais il se considère comme un utilisateur moyen du produit. Un gros travail a été fait pour indexer et catégoriser les données venant du serveur OScam.

Licensing

Ce que nous mettons en place ici est gratuit. Splunk Enterprise sera utilisé la licence gratuite (Free License) avec les limitations suivantes:

  • Max 500MB donnée de log par jour. (C'est bien plus que vous avez besoin et il peut facilement gérer les gros serveurs OScam)
  • Pas d'alerte et de monitoring
  • Pas de recherche distribuée
  • Pas de gestion d'utilisateurs multiple (toujours se connecté avec l'utilisateur par défaut)
  • + d'autres choses

Ce que nous pouvons faire avec le add-ons OSCam pour Splunk

La liste de ce que vous pouvez faire est infinie, mais en voici quelques unes:

  • Voir quelles chaînes un utilisateur/client vous demande.
  • Voir ce qui est demandé d'un reader/proxy.
  • Un panneau général avec diverses informations.
  • Un log des erreurs (par clients ou readers)
  • Une recherche dans les logs
  • Un comptage des événements, des moyennes
  • Afficher les événement par n'importe quelle plage de temps
  • Gérer plusieurs serveurs à la fois
  • Vue en directe
  • Historique des logs

Besoin système

Ce dont vous avez besoin pour faire fonctionner Splunk dépend de l'OS choisi, mais le minimum requis est:

Windows

  • 2 GB Ram
  • 32/64 bits
  • Windows
    • Windows Client depuis Windows 7 et supérieur
    • Windows Server depuis Windows 2003 et supérieur

Non Windows

  • 1 GB ram
  • 32/64 bits
    • Linux
    • Solaris
    • Mac OS X

Installation

Splunk

Installation de Splunk

Pour télécharger Splunk, vous avez besoin d'un compte sur http://www.splunk.com/fr_fr C'est gratuit, donc il vous suffit d'en créer un.

Aller dans:Produits -> Présentation -> Splunk® Enterprise -> Téléchargement gratuit Choisir votre OS -> Windows, Linux, Solaris, Mac OS

Installer le package sur votre OS préféré. Nous parlerons ici de Windows.

Exécuter Splunk

Au premier démarrage aller sur: 

http://localhost:8000 ou 
votre_ip:8000

Splunk va vous demander de changer le mot de passe du compte admin. Faites-le, mais vous n'en aurez pas besoin plus d'une fois, étant donné qu'il disparaitra lors de la conversion en licence gratuite.

Convertie la licence

Nous vous recommandons de convertir le licence Splunk en licence grouep gratuite maintenant. Mais si vous préférez, vous pouvez l'essayer avec une licence complète pendant 30 jours, ou vous finirai dans une situation ou il sera bloqué pour une utilisation en mode essai pendant 30 jours.

Pour la convertir faire:

  • Paramètres -> Licence.
  • Changer license group.
  • License gratuite
  • Sauvegarder
  • Redémarrer maintenant (pour activer la nouvelle licence)

Vous pouvez aller directement dans Splunk sans qu'on demande un utilisateur/mot de passe.

Faire en sorte que Splunk accepte les données syslog

Vous devez faire en sorte que Splunk accepte les données syslog via des paquets UDP sur le port 514.

  • Paramètres -> Data inputs -> UDP -> Nouveau
  • Soyez certains que UDP est sélectionné.
  • Port:514 (par défaut pour syslog)
  • Suivant:
  • Type de source: Choisir
  • Dans le menu déroulant: syslog et scroller dans la barre jusqu'à trouver: Syslog (Données produites par plusieurs démons syslog....)
  • -> Revoir
  • -> Soumettre
  • Démarrer la recherche

Firewall

Maintenant Splunk est prêt à recevoir des données. Mais vous devez d'abord ouvrir le Firewall, pour laisser passer les paquets UDP:514 Si votre OScam est sur une autre site, vous devez aussi autorisé le port-forwarding sur le routeur également.

Windows

Voici un exemple sur comment ouvrir le Firewall sous Windows.

  • Ouvrir Windows Firewall avec sécurité avancée (cliquer sur le bouton Windows, taper: firewall)
  • Aller dans règles entrantes
  • Règles entrantes valides
  • Nouvelle règle...
  • Programme (cette option est plus simple, étant donné que vous ouvrez tous les ports en une seule fois)
  • Avec ce chemin d'accès: %ProgramFiles%\Splunk\bin\splunkd.exe
  • Suivant
  • Autoriser la connexion
  • Suivant
  • vérifier que les options suivantes sont cochées. (Domain,Private,Public)
  • Suivant
  • Dans le nom taper: Splunk
  • Finis

Routeur

Si vous passez par Internet, vous devez transférer les paquets UDP:514.

  • Port publique: 514
  • Port interne: 514
  • Interne ip_de_votre_serveur_splunk

OSCam

Faire en sorte qu'OScam envoie les données

Avant de faire envoyer les données par OScam vous devez créer une vue dans Splunk pour voir les données entrés dans le système.

  • Dans Splunk, choisir le logo splunk> dans le coin supérieur droit.
  • Cliquer sur le vert >Recherche & Reporting
  • Cliquer sur Donnée résumée

Lorsqu'OScam commence a envoyer des données, vous devriez le voir quelques secondes plus tard.

En haut de votre interface web d'OScam

  • Config
  • Logging (section)
  • Syslog server: ip_de_votre_serveur_splunk
  • Save
  • Restart
  • Restart (OScam doit être redémarré)

Splunk doit maintenant compter les données venant d'OScam

Ajout des fichiers OSCam dans Splunk

  • Télécharger le fichier oscam_for_splunk.rar ici:

Datei:Oscam for splunk 1.0.rar

  • Le décompresser
  • Copier le répertoire OSCam dans: C:\Program Files\Splunk\etc\apps (vérifier qu'il devient bien C:\Program Files\Splunk\etc\apps\OSCam\...\...\)
  • Redémarrer Splunk: Paramètres -> Contrôles du serveur -> Redémarrer Splunk -> OK

Using Splunk

Aller sur votre serveur Splunk sur la page principale.

Là vous pourrez sélectionner la vue Splunk> ou OSCam

Vue Splunk

Ici vous voyez toutes les informations détaillées venant d'OScam. Vous pouvez aussi d'ici aller dans le Dashboard et voir la vue pré-définie OScam.

Vue OSCam

Ceci vous amènes sur la vue prédéfinie.

OSCam info

Cette vue vous donne un aperçu rapide.

OSCam User Usage

Ici vous pouvez voir quel chaînes sont demandées par les utilisateurs.

OSCam Reader Usage

Ici vous pouvez voir ce qui est demandé par les readers/proxies.

OSCam Error

Ici vous pouvez voir les erreurs que vous avez.

Other info

OSCam debug

Vous pouvez changer le niveau de débug de 0 vers un autre. Nous n'avons pas encore eu le temps d'indexer les messages de déboggage, donc ils sont juste reçu mais non catégorisé.

Abgerufen von „http://wiki.streamboard.tv/index.php?title=OSCam/fr/Monitoring/Splunk&oldid=13274