[ Splunk Basic ] Splunk Enterprise Web에서 HTTP Event Collector 설정 및 사용

 

 

HEC와 Splunk Enterprise

• 사용자가 HTTPS 프로토콜 외에 HTTP 프로토콜을 통해 보내는 이벤트를 수락할 수 있음
• HEC는 선택적 전달 출력 그룹을 사용하여 다른 Splunk 인덱서에 이벤트를 전달할 수 있음
• 사용자가 배포서버를 사용하여 분산 배포의 인덱서에 걸처 HEC 토큰을 배포할 수 있음

 

Splunk 플랫폼이 HTTP Event Collector 토큰을 사용하여 데이터를 가져오는 방법

• 토큰 : 로깅 에이전트와 HTTP 클라이언트에서 HEC 입력에 연결하는 데 사용되는 개체
• 각 토큰은 128비트의 숫자로 된 고유한 값을 가지며, 이 값은 32자의 GUID로 표시
• 에이전트와 클라이언트가 HEC에 연결할 때 인증을 받기 위해 토큰을 사용
• HEC가 유효한 토큰을 수신하면 HEC에서 연결을 수락하고 에이전트가 애플리케이션 이벤트 페이로드를
  JSON 형식으로 전달할 수 있다

• HEC에서 이벤트를 수신하고, Splunk Enterprise에서 토큰의 설정에 따라 인덱싱
  • source, sourcetype, index

 

 

 

 

HEC 설정

1. 활성화

1 ) 설정 > 데이터 입력 >  HTTP Event Collector 클릭

HTTP Event Collector 클릭

 

 

 

2 ) 전역 설정 클릭

전역 설정 클릭

 

 

 

3 ) 전역 설정 클릭

 

• 모든 토큰 : 사용 가능
• sourcetype 설정 : 원하는 것
• index : 원하는 것
• 배포 서버를 사용하면 체크박스에 체크
• HTTPS 통신을 사용하면 SSL 활성화에 체크
• 포트번호 입력
  • 클라이언트나 HEC를 호스트하는 Splunk 인스턴스에 포트 번호를 차단하는 방화벽이 없는지 확인 필요
• 저장 클릭

 

2. 토큰 만들기

1 ) 설정 > 데이터 추가 > 모니터링 > HTTP Event Collector 클릭

입력 후 다음 클릭

 

 

 

2 ) 인덱스와 소스타입 지정

입력 후 검토 클릭

 

토큰 생성 완료

 

 

3. Splunk Enterprise에서 HEC로 데이터 보내기

1 ) 요구사항

• HEC 활성화
• 하나 이상의 HEC 토큰 사용해야함
• 활성 토큰을 사용하여 HEC에 인증해야함
• HEC로 이동하는 데이터 형식을 특정한 방법으로 지정해야함

2) HEC로 데이터를 보내는 방법

• 원하는 HTTP 클라이언트를 사용하여 HTTP를 요청하고 JSON으로 인코딩된 이벤트를 보낼 수 있음
• 개발자는 애플리케이션에 Java, JavaScript 및 .NET 로깅 라이브러리를 사용하여 HEC에 보낼 수 있음
• 활성 토큰을 사용하여 HEC에 인증해야함

3) Splunk Enterprise에서 HEC로 데이터 보내는 방법

• HEC의 특정 URI로 데이터를 보낸다.
  <protocol>://<host>:<port>/<endpoint>
• <protocol> : http 또는 https
• <host> : HEC를 실행하는 Splunk 인스턴스
• <port> : HEC 포트 번호, 기본값은 8088, HEC 전역 설정에서 변경 가능
• <endpoint> : 사용할 HEC 엔드포인트
  많은 경우 /services/colllector/event 엔드포인트를 JSON형식 이벤트에 사용하거나
  /services/collector/raw 엔드포인트를 원시 이벤트에 사용함

 

4) 예시

• curl https://hec.example.com:8088/services/collector/event -H "Authorization: Splunk B5A79AAD-D822-46CC-80D1-819F80D7BFB0" -d '{"event": "hello world"}' {"text": "Success", "code": 0}