[ Splunk Dev ] Custom Command 만들기 : 개요

728x90

커스텀 커맨드는 검색 시 splunkd와 함께 실행되는 외부 python 스크립트를 통해 데이터를 처리한다.

Splunk Enterprise는 SPL의 각 줄을 분석하고 검색 명령을 확인한다.
커스텀 커맨드는 commands.conf 파일의 스탠자로 지정된다.
/etc/apps/local/commands.conf
[ whois ]
검색 명령어가 커스텀 커멘드인 경우 Splunk Enterprise는 해당 명령어에 대한 Python 스크립트를 실행한다.
Splunk Enterprise는 STDIN을 통해 Python 스크립트를 통해 검색 결과를 청크로 연결하고
STDOUT을 통해 기록한다.
Python 스크립트를 처리한 후 검색 결과가 검색 파이프라인에 다시 입력된다.

모든 검색 결과가 python 스크립트를 통과한 후 splunkd는 STDIN 파이프를 닫아 프로세스를 종료

Splunk Enterprise에서 새 앱을 만든다.
사용자 정의 검색 명령은 Splunk Enterprise에서 별도의 앱으로 가장 잘 작동한다.
앱 내 검색 명령을 위한 python 스크립트를 만든다.
검색 명령어를 등록한다.
검색 명령에 대한 길잡이 텍스트를 활성화한다.
앱을 패키징하고 배포한다.
앱 및 액세스 제어 설정을 수정한다.

python용 Splunk Enterprise SDK에는 커스텀 커맨드 생성에 도움이 되는 도구가 포함되어 있음

GitHub에서 Python용 Splunk Enterprise SDK를 다운로드 할 수 있다.

Python Class

python용 Splunk Enterprise SDK의 splunklib.searchcommands 모듈에는

사용자 지정 검색 명령을 생성하는 데 필요한 클래스가 있다.

사용하는 특정 클래스는 생성하려는 명령 유형에 따라 다름

https://dev.splunk.com/enterprise/docs/devtools/customsearchcommands/pythonclassescustom/

dev.splunk.com

splunk-sdk-python/splunklib/searchcommands at master · splunk/splunk-sdk-python

Splunk Software Development Kit for Python. Contribute to splunk/splunk-sdk-python development by creating an account on GitHub.

github.com

샘플 앱 및 커스텀 커맨드 예

splunk-app-examples 저장소의 custom_search_commands/python 디렉터리에는 각 유형의 커스텀 커맨드에 대한 예제가 포함된 샘플 앱이 있다.

https://dev.splunk.com/enterprise/docs/devtools/customsearchcommands/customsearchcmdexamples/

dev.splunk.com

템플릿

템플릿을 다운로드하려면 GitHub의 splunk-app-examples 리포지토리에 있는 아래 링크 참조

splunk-app-examples/custom_search_commands/python/customsearchcommands_template/bin at master · splunk/splunk-app-examples

App examples for Splunk Enterprise. Contribute to splunk/splunk-app-examples development by creating an account on GitHub.

github.com

728x90

Studying ITs