Installation de Splunk Enterprise

Il faut tout d'abord se créer un compte sur Splunk.com.

Se rendre à la page suivante pour afficher la liste des téléchargements de Splunk Enterprise : cliquer ici

Choisir la version appropriée de Splunk, dans mon cas je suis sous Debian 11, j'ai choisi le package .tgz.

Accepter les conditions d'utilisation tout en bas de la page, puis cliquez sur le bouton “Command line (wget)” puis sur “here” pour sélectionner et copier la ligne de commande à utiliser pour télécharger Splunk directement sur son système :

Sur la VM, coller la commande :

wget -O splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz "https://download.splunk.com/products/splunk/releases/9.1.1/linux/splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz"

Ce qui lance le téléchargement de l'archive :

Splunk est téléchargé dans le répertoire courant, on va maintenant pouvoir l'installer.

Commencer par déplacer l'archive dans le répertoire /opt, censé être le répertoire d'installation par défaut des paquets non installés depuis les dépôts.

mv splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz /opt

Se placer dans le répertoire /opt :

cd /opt

Extraire l'archive :

tar -xvzf splunk-9.1.1-64e843ea36b1-Linux-x86_64.tgz

Un répertoire splunk va alors être créé.

Se placer dans le répertoire bin de l'installation Splunk :

cd splunk/bin/

Lancer Splunk comme ceci, en ajoutant l'option pour accepter les conditions d'utilisation :

./splunk start --accept-license

Au premier lancement, Splunk demande d'indiquer un nom d'utilisateur et un mot de passe fort pour l'administrateur :