Instalación de SC4S
El sistema SC4S es un syslog-ng pero potenciado por Splunk, de forma que reconoce ciertos logs automáticamente e identifica la herramienta origen. Desde Splunk se ha creado una versión Docker del SC4S de forma que se pueda configurar en entornos cloud, kubernetes... etc
Requisitos de hardware
Los requisitos oficiales indicados por Splunk para una máquina SC4S dependen de la capacidad de ingesta de logs (por lo tanto de los logs enviados a dicha máquina).
| CPU | RAM | Logs |
|---|---|---|
| 2 | 8GB | 21109.66 msg/sec |
| 4 | 16GB | 34820.94 msg/sec |
| 8 | 32GB | 71929.91 msg/sec |
| 12 | 48GB | 85419.09 msg/sec |
Instalación de dependencias
En una máquina Linux (Debian en este caso) instale Docker.
Instalación de SC4S
Edite el fichero de configuración sysctl
nano /etc/sysctl.conf
Añada el siguiente contenido.
net.core.rmem_default = 17039360
net.core.rmem_max = 17039360
Guarde los cambios y ejecute
sysctl -p
Cree los siguientes directorios y ficheros
mkdir /opt/sc4s/{local,archive,tls} -p
touch /opt/sc4s/env_file