Sebbene Splunk sia disponibile anche in versione gratuita con alcuni limiti, uno di questi è purtroppo l’assenza dell’App specifica per VMware. Splunk infatti presenta un modulo base comune a entrambe le versioni, che è possibile arricchire con ulteriori App, alcune sviluppate direttamente da Splunk come quella che descriverò in questo post, altre gratuite e sviluppate da una Community molto attiva.
Splunk for VMware è disponibile per la versione Windows di vCenter, non per la versione appliance. Inoltre, la licenza posseduta deve poter consentire un indexing giornaliero di circa 600-1000 Mb logs per host. Non sono pochi, quindi verificate attentamente le dimensioni della vostra infrastruttura.
L’infrastruttura di Splunk per VMware comprende tre differenti moduli, descritti in questo diagramma.
Provvederemo di seguito a installarli uno ad uno.
Per prima cosa, è necessario creare un service account con permessi limitati su vCenter. Splunk offre un documento da seguire passo passo per completare questo step. Vi invito a seguirlo senza riportarlo in questo post.
Creato l’account, che nel mio caso si chiamerà “splunk”, installiamo l’app su Splunk. L’installazione è documentata in questa pagina web. Sembra più complicata di quello che è in realtà, alla fine è sufficiente caricare il file zip nel server Splunk, scompattarlo e copiare il contenuto della directory app in una cartella specifica di Splunk. Se avete un unico server Splunk installato con parametri di default, il contenuto va copiato in /opt/splunk/etc/apps.
Riavviato Splunk, troverete in home un nuovo modulo, relativo appunto a VMware:
Il setup serve unicamente a impostare le quote per le varie ricerche, dopo di che l’App è configurata, e Splunk vi redirige direttamente alla timeline di ricerca (dove si possono già notare alcune interessanti ricerche che sarà possibile fare):
Ovviamente, questa è solo la prima parte dell’attività. Passiamo ora al vCenter Add-On. Questo componente si basa sullo Universal Forwarder di Splunk, quindi dovremo in realtà installare precedentemente anche questo componente su vCenter stesso. Una volta installato, il forwarder è molto semplice da configurare, e potete ancora una volta seguire le istruzioni sul sito Splunk.
Preparato il forwarder, installiamo il vCenter Add-On. Sempre seguendo le istruzioni, scompattiamo lo zip e copiamo il contenuto nella cartella etc/apps dell’installazione di Splunk che abbiamo effettuato su vCenter. Nella directory defaults preleviamo il file inputs.conf e lo copiamo nell’altra directory “local” (non era presente nello zip originale, ho provveduto a crearla). Editiamo il file e impostiamo “disabled = false”, e riavviamo il forwarder.
Ultimo passaggio, il deploy della FA VM. Si tratta di una virtual appliance, utilizzata per collezionare i log e le informazioni dai vari server ESXi esistenti. Il deploy è dei più classici, si crea la VM a partire dall’appliance, si avvia e si configura il networking…. anche in questo caso, fate riferimento alla documentazione ufficiale per tutti i passi da compiere per la configurazione. Vi avviso, sono parecchi! Un unico avvertimento: se non riuscite a fare login in console della virtual appliance, non pensate che le password siano sbagliare, ricordatevi piuttosto del keyboard delay!
Dando tempo a Splunk per collezionare sufficienti informazioni dal nostro ambiente VMware, ecco comparire i dati nella web interface. Ovviamente il mio laboratorio non produce dati significativi, ma da qui in poi il limite è la fantasia delle ricerche che si vanno a impostare!
