Splunk op Windows Server
  • Introduction
  • Group Managed Service Accounts
  • Splunk
  • Topologie
  • gMSA aanmaken
  • GPO's
  • Splunk installatie
  • Let's get splunky
  • Splunken met Grote Splunk
  • Splunky Splunky how about a big hand now
Powered by GitBook
On this page
  • Splunk installatie
  • Op de Splunkmon server
  • You must perform this procedure before you start Splunk Enterprise. If Splunk Enterprise has started, then stop it, uninstall it, and reinstall it.
  • Will it work?
  • gMSA uittesten?

Was this helpful?

Splunk installatie

PreviousGPO'sNextLet's get splunky

Last updated 5 years ago

Was this helpful?

Splunk installatie

Nu komen we bij de installatie. Doe zeker eerst een gpupdate /force en een reboot op de server en kijk of de eerder aangemaakte GPO's al doorgevoerd worden. Log ook natuurlijk best aan met je domain admin account voor de installatie.

Op de Splunkmon server

Na het registeren op de website en het downloaden van de MSI ga je naar de folder waar de MSI staat (kijk zeker of je console in elevated modus staat).

Ter info. In de handleiding staat er (ook op een verkeerde plaats naar mijn mening) de volgende waarschuwing:

You must perform this procedure before you start Splunk Enterprise. If Splunk Enterprise has started, then stop it, uninstall it, and reinstall it.

In mijn geval heb ik dus de "silent" installation gedaan met de "NOLAUNCH" flag, maar stond de service toch te draaien. Ik heb geen problemen ondervonden dus neem het zekere voor het onzekere en installeer de msi als volgt:

msiexec /i splunk-7.0.2-03bbabbd5c0f-x64-release.msi LAUNCHSPLUNK="0" AGREETOLICENSE="Yes" /quiet

De naam van de MSI kan natuurlijk veranderen, dus pas deze aan.

Voila, je moet dus visueel wel degelijk Splunk bij je programma's zien staan.

Na de installatie, open je services.msc en verander je de entiteit die de service draait van zowel splunkd als splunkweb (indien deze nodig zou zijn, het is blijkbaar depcrecated).

START DE SERVICE NOG NIET TERUG OP

Voor één of andere bizarre reden moet je de password-vakjes leegmaken eer je kan confirmeren. Hierna zou je dus het volgende moeten zien:

Eerst moeten we ervoor zorgen dat onze GG-SplunkUser groep full control heeft over de Splunk folder.

Dit doen we met icacls, ook alweer in een admin venster.

icacls.exe "c:\Program Files\Splunk" /grant "theleague.com\gg-splunkuser":(F) /T /inheritance:e

Hopelijk zie je ook veel aangepaste bestanden staan, dan zou het allemaal in orde moeten zijn.

Will it work?

Hou er ook rekening mee dat je op een server zit en dus een paar Internet Explorer beveiligingen moet afzetten en/of lager zetten.

Standaard inloggegevens:

  • Username: admin

  • Password: changeme

Veel beter!

Goed. Nu zouden we moeten klaar zijn om te Splunken!

gMSA uittesten?

Behalve het eerder uitgevoerde cmdlet zijn er blijkbaar niet veel opties om de werking van een gMSA account uit te testen. Nu goed. Hoe snel kan jij een 120 character wachtwoord kraken ? ;)

Wees er ook van bewust dat de software in kwestie gMSA moet ondersteunen. Het is dankzij Splunk dat ik er eigenlijk eens toegekomen ben. Voor de rest: elke task in task scheduler zou je met een gMSA account moeten draaien!

START DE SERVICE NOG ALTIJD NIET TERUG OP

Oh ja, start de service nu wel op natuurlijk en vervolgens zou Splunk moeten bereikbaar zijn op

http://127.0.0.1:8000/