Tenho usado há alguns anos plataforma Splunk® Enterprise para agregar, correlacionar e visualizar os logs de aplicações em meus servidores virtuais, contudo, a licença free possui algumas limitações importantes que no meu contexto, as principais são o fato de não suportar autenticação e só existir o perfil administrador.
Com estas limitações todas as funcionalidades como busca, dashboards, configurações e logs ficam acessíveis para qualquer pessoa que acesse a console web. Então para prevenir esse problema você poderia usar um túnel SSH para conectar o seu PC diretamente ao servidor que estaria configurado para aceitar apenas conexões locais.
Aqui parto do pressuposto que você já possui o Splunk instalado e tem conhecimentos básicos sobre comandos de terminal no Linux.
Edite o arquivo web.conf localizado em $SPLUNK_HOME/etc/system/default/
modificando a respectiva linha como se segue:
server.socket_host = localhost
Salve as mudança e reinicie o serviço SplunkWeb:
$SPLUNK_HOME/bin/splunk restart splunkweb
Crie um túnel SSH entre seu computador e servidor remoto:
ssh user@your-splunk-server.com -L 1080:localhost:8000
Abra seu navegador no endereço: localhost:1080/en-US/app/launcher/home
Pronto! Você verá que a interface gráfica web será exibida mesmo sem estar exposta a Internet. 👌