====== Installation de Splunk Enterprise ======

===== Introduction =====

Cette procédure décrit l'installation de Splunk Enterprise sous Linux.
===== Topologie du Lab =====

{{ ::spktopo.png:: |Topologie du lab Splunk}}
===== Pré-requis =====

Il faut tout d'abord se créer un compte gratuit sur Splunk.com.

Au niveau matériel, il faudra un poste sous n'importe quel OS pour effectuer l'installation et la première configuration de Splunk, ainsi qu'une machine (physique ou virtuelle) où sera installé Splunk.

Enfin, configurer le poste et le serveur Splunk dans le même réseau IP.
===== Instructions =====

==== Télécharger Splunk ====

Se rendre à la page suivante pour afficher la liste des téléchargements de Splunk Enterprise : [[https://www.splunk.com/fr_fr/download/splunk-enterprise.html|cliquer ici]]

Choisir la version appropriée de Splunk, dans mon cas je suis sous Debian 11, j'ai choisi le package ''.tgz''.

Accepter les conditions d'utilisation tout en bas de la page, puis cliquez sur le bouton "Command line (wget)" puis sur "here" pour sélectionner et copier la ligne de commande à utiliser pour télécharger Splunk directement sur son système :

{{ ::spk1.png?300 |Obtenir la commande pour télécharger Splunk}}

Sur la VM, coller la commande :

<code>wget -O splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz "https://download.splunk.com/products/splunk/releases/9.1.1/linux/splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz"</code>

Ce qui lance le téléchargement de l'archive :
{{ ::spk2.png |Téléchargement de Splunk}}

Splunk est téléchargé dans le répertoire courant, on va maintenant pouvoir l'installer.

==== Installer Splunk ====

Commencer par déplacer l'archive dans le répertoire ''/opt'', censé être le répertoire d'installation par défaut des paquets non installés depuis les dépôts.

<code>mv splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz /opt</code>

Se placer dans le répertoire ''/opt'' :

<code>cd /opt</code>

Extraire l'archive :

<code>tar -xvzf splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz</code>

Un répertoire ''splunk'' va alors être créé.

Se placer dans le répertoire ''bin'' de l'installation Splunk :

<code>cd splunk/bin/</code>

Lancer Splunk comme ceci, en ajoutant l'option pour accepter les conditions d'utilisation :
<code>./splunk start --accept-license</code>

Au premier lancement, Splunk demande d'indiquer un nom d'utilisateur et un mot de passe fort pour l'administrateur :
{{ ::spk3.png::|Premier lancement de Splunk}}

Splunk va alors générer sa configuration et démarrer ses services. 

Si tout se passe correctement, un message du type ''The Splunk web interface is at http://SRVSPLUNK01:8000'' devrait s'afficher. On peut alors se connecter à l'interface web de Splunk depuis un navigateur en utilisant l'IP de la machine hôte via le port 8000 :

{{ ::spk4.png:: |Connexion à Splunk web}} 

===== Sources=====

[[https://www.udemy.com/course/splunker/?kw=the+complete+splunk+be&src=sac|The complete Splunk Beginner Course (Udemy)]]