Anasayfa » uberAgent ve Splunk ile İstemci Sistemler Tamamen Gözetimiziniz Altında

Makaleyi Paylaş

3. Parti Yazılımlar / Uncategorized

uberAgent ve Splunk ile İstemci Sistemler Tamamen Gözetimiziniz Altında

Merhaba arkadaşlar, geçen hafta bildiğiniz üzere “Logon Script Tipleri ve Performans Değerleri” başlıklı bir makale yazmıştım. Bu makalede bize değerlerin ölçümünü yapan ve çıktıları veren UberAgent isimli bir yazılımın bahsi geçiyordu. Bu yazılımın nasıl çalıştığı hakkında detaylar ile ilgili çok fazla istek geldi ve bu yazılımın nasıl kurulduğunu ve performans değerlerinin nasıl ölçüldüğü ile alakalı sizlerle makale paylaşmak istedim.

uberAgent adındanda belli olduğu üzere aslında bir ajan. Yani değerlerle ilgili analiz ve log tutma işini kendisi yapmamaktadır. Bütün durum bilgisini belirli bir platforma yollamaktadır. Dolayısı ile bu işi yapacak, yani değerleri depolayacak ve analiz edilmesini sağlayacak başka bir tool’a ihtiyacı bulunmaktadır. Bu tool aynı zamanda bizlere grafikler arayüzleri ve tüm çıktıları vermelidir, bu tool’un adı ise Splunk’tur. Evet uberAgent öncesinde Splunk server’i  kurmak zorundayız.

Bunun için önce https://www.splunk.com/en_us/download/splunk-enterprise-2.html adresine gidiyoruz. Buradan Splunk Enterprise versiyonu indiriyoruz. Göreceğiniz üzere çeşitli edition’lar mevcut. Zaten detaylarınıda bu adreste görebilirsiniz. Biz Enterprise olan versiyonu indiriyoruz 60 gün boyunca lisanslıymış gibi çalışıp sonrasında free edition’a dönmektedir. Kurulum çok basit. Hemen ilk adımla başlayalım. Benim Splunk sunucum windows 2012 R2 bir sunucu, standart sürüm. Kuruluma başladığımızda aşağıdaki ekran gelmektedir.

 

clip_image002

Lisans anlaşma kutusunu işaretleyip install edebiliyoruz. Dilerseniz customize options diyerek kendi istekleriniz doğrultusunda kurabilirsiniz. Kurulum lokasyonu ve kurulum hesabı dahil tüm seçenekleri değiştirebilirsiniz. Benim size tavsiyem “Domain Admin” yetkisi olan bir hesap ile kurulumu yapmanız. Çünkü local hesapla kurduğumuzda domaindeki makinalardan remote olarak log, data ve Event bilgilerini toplamak sıkıntı çıkarabilir. Kurulum bittiğinde aşağıdaki ekran ile karşılaşıyoruz.

Sponsor

Kullanıcı adı ve şifresi ilk kullanım olduğu için username girilecek kutu üzerinde yazıyor. Kullanıcı adı admin şifresi ise changeme. Gerekli bilgileri girdikten sonra sign-in dediğimizde hamen aşağıdaki ekran geliyor ve sizden varsayılan şifreleri değiştirmenizi istiyor.

clip_image004

Değişiklik yapıp save password sonrası show başlıyor, aşağıdaki ekranda lisans kullanımızı firma ile paylaşmanızı öneriyor. Ve dilerseniz Splunk yazılımı ile ilgili geri bildirim vasıtası ile geliştirmeye yardımcıda olabilirsiniz.

 

clip_image006

Işte ana ekran,

clip_image008

Ana ekran boş tabiki. Şimdi uberAgent’I bu konsol içine ekleyip buradan çalışmasını sağlayalım. Bunun için aşağıda gördüğümüz apps yanındaki çark’a tıklıyoruz, şuradaki,

clip_image010

Hemen sonraki ekran gelecek aşağıdaki gibi. Buradan “install app from file” butonuna tıklıyoruz,

clip_image012

Burada yapılacak işlem şu şekilde, öncelikle uberAgent’ı Splunk sunucusunda açıyoruz. Zaten sizde göreceksiniz zip’li dosya. Bunu açtıktan sonra aşağıdaki gibi file kısmından browse diyerek uberAgent_indexer.tgz dostasını gösterelim ve upload diyelim,

clip_image014

 

Aynı işlemi uberAgent_searchead.tgz dosyası içinde yapalım. Ve bu ikisini tamamladıktan sonra aşağıdaki ekrana uberAgent ikonu gelecek, oda aynen şöyle,

clip_image016

Evet buradan sonra uberAgent ekranlarında dolaşırken gözlerinize inanamayacağınız detaylar göreceksiniz. Client “nefes alsa” haberiniz olacak şekilde detay bilgileri rahatlıkla izleyebiliyorsunuz. Şimdi buradan sonra UberAgent’ın client tarafındaki kurulumuna gidiyoruz. Sonra yeniden buraya döneceğiz,

Arkadaşlar uberAgent sitesinde mutlaka biraz vakit geçirip ürünün nelere kadir olduğunu anlamanızı tavsiye ederim. Şimdi UberAgent’ı https://uberagent.com/download/# linkinden indiriyoruz. Bir zip dosyası. Bu dosya tüm işletim sistemlerine ait ajanı içinde barındırıyor. Splunk 6.2 sonrası tüm sürümlerle kullanılabilir.

Ben kurulumu test ortamımda bulunan bir windows 8.1 sürümü client’a yapacağım. Dosyayı açtıktan sonra “C:\Users\Administrator\Desktop\uberAgent components\uberAgent_endpoint\bin” yolundaki manual-install dosyasını çalıştırark kuruyoruz. Işletim sisteminizin mimarisi neyse ona uygun olan client kurulumu yapılacaktır. Ister 32bit ister 64bit mimari, buradan rahatlıkla kurabilirsiniz. Dosyaya çift tıkladığınızda aşağıdaki hoşgeldiniz ekranı ile karşılacaksınız,

clip_image018

Next diyerek devam ettiğinizde klasik lisans ekranı gelecektir,

clip_image020

Kutuyu işaretleyip yine Next diyoruz, Ajan için kurulum lokasyonu gelecektir,

 

clip_image022

Aşağıdaki ekran önemli, Splunk sunucunun ip adresi ve portunu vermemiz gerekiyor. Böylece tüm bilgileri bu sunucuya gönderecektir. Biz varsayılan ayarlarla kurduğumuz için default değerleri verebiliriz,

clip_image024

Bu değerleri sonradan değiştirmek mümkün. Ayrıca birden fazla Splunk server mevcut ise , ile ikinci server bu kısma yazabilirsiniz. Devam,

clip_image026

Kurulum tamamlanıyor,

clip_image028

Finish dedikten sonra servis konsolunda uberAgent servisini aşağıdaki gibi görebiliriz,

clip_image030

uberAgent kurulumunu tamamladık. Bu servis kullanıcı müdahalesinden korumalıdır. Yani son kullanıcı bu servise müdahale edemez. uberAgent’i GPO üzerinden’de istediğiniz detaylarda Splunk’a bilgi gönderir şekilde ayarlayabilirsiniz. Ama yok ben uğraşmadan tüm detayları göreyim derseniz zaten default kutulumda tüm detayları yolluyor ve gözlemleye biliyorsunuz.

Buradan sonra geçen hafta yolladığım makaledeki gibi bahsi geçen login script’lerin detaylı incelemesini yapabiliriz. 3 tip script için aşağıdaki gibi dosyaları oluşturup GPO üzerinden dağıtımını yapabilirsiniz.

clip_image031

 

LoginSctipt’lerin GPO ile dağıtımı ve devreye alınması işlerine burada girmeyeceğim, çözümpark üzerinde çok fazla makale bulabilirsiniz. Bu aşamadan sonra scriptleri uygulayıp uberAgent’in Splunk server’a veri yollamasını beklemek zorundayız. Bu süre en az 1 saat. Ama benim size tavsiyem en az 1 gün olacaktır. Unutmayalım uberAgent sadece loginscriptlerle ilgili bilgi göndermiyor. Çok fazla konu ile alakalı bilgi yolluyor. Login script sadece bir seçenek. Login scriptlerle ilgili detayı splunk sunucusundaki arayüzde single logon başlığında. Ben istediğim performans değerlerini süzmeden önceki halini paylaşıyorum,

clip_image033

Bu ekranları incelediğinizde gerçekten çok etkileneceksiniz. Renklerden tutunda yerleşim planlarına kadar herşey çok güzel. Özellikle VDI ortamlarında nerede problem yaşıyorsunuz tesbiti için inanılmaz bir ürün. License konusunu detaylı araştırmadım ama hem Splunk hemde uberAgent için ilgili sayfaları ziyaret edebilirsiniz. Splunk Server 60 gün enterprise çalışıp sonra free edition’a dönüyor. uberAgent ise free çalışmaya devam ediyor fakat lisanslamadığınız sürece ilk açılışta aşağıdaki ekran geliyor ve yaklaşık 15 sn kadar ekranda kalıyor,

clip_image035 

Sinir bozucu bu ekrandan kurtulmak için lisans alıp gerekli şekilde lisans girişini yapmak gerekli, orasıda splunk server üzerindeki başlığı altında licensing bölümünde.

Kolay gelsin.

 

Makaleyi Paylaş

Cevap bırakın