728x90
반응형
HTTP Event Collector (HEC)
HEC는 토큰 기반 인증을 사용하는 HTTP 입력 방식
보안성, 확장성, 그리고 Forwarder 없이도 이벤트를 전송 가능
HEC 특징
- Agentless 지원 → Forwarder 없이도 데이터 수집 가능
- 다양한 소스 지원 → 브라우저, 자동화 스크립트, 모바일 앱 등
- 대표 활용 사례
- collectd 메트릭 수집
- AWS Kinesis Firehose 연동
- 컨테이너 기반 애플리케이션 로그 전송
예시 설정 (inputs.conf)
[http://name]
token = <string>
disabled = 0
description = "HEC input"
sslVersions = tls1.2
cipherSuite = <string>
listenOnIPv6 = yes📌 참고: inputs.conf는 반드시 $SPLUNK_HOME/splunk_httpinput/local/inputs.conf
경로에 위치해야 HEC 입력이 활성화됨
HEC Tokens
HEC는 토큰 기반 인증으로 동작
- 각 입력마다 고유한 GUID 형태의 토큰이 생성됨
- 토큰은 HTTP(S) Authorization 헤더에 포함되어야 함
- UI를 통해서도 토큰을 손쉽게 발급 가능
- 여러 애플리케이션 그룹에 별도 토큰 발급 → 필요 시 토큰 폐기(revoke) 가능
👉 이를 통해 잘못된 액터가 Splunk에 데이터를 주입하거나 영향을 주는 것을 방지
예시 설정
[http://sampleuser@splunk.com]
token = 851B08AC-FBF1-4CDA-A731-C3E36AE1734FSplunk TCP 입력 ([splunktcp://…])
Splunk TCP 입력은 Splunk Forwarder와 Indexer 간의 통신에 사용되는 기본 포트 기반 입력 방식
특징
- Splunk to Splunk(S2S) 통신 전용
- 인덱서 및 중간 포워더(Heavy Forwarder 등)에서 사용 가능
- CLI 명령어 실행 시 자동으로 stanza 생성 가능
splunk enable listen 9997예시 설정 (inputs.conf)
[splunktcp://9997]
connection_host = dns
compressed = true
queueSize = 500MB
disabled = 0운영 권장 사항
- Forwarder:Receiver 비율은 2:1 권장
- 3rd-party 로드밸런서 사용은 피할 것 → Splunk Forwarder 자체 로드밸런싱 기능을 사용하는 것이 안정적
728x90
반응형
'Splunk' 카테고리의 다른 글
| [Splunk] LDAP 연동 이해하기 (0) | 2025.08.21 |
|---|---|
| [Splunk] 기본 제공 소스타입과 INDEXED_EXTRACTIONS 활용법 (0) | 2025.08.20 |
| [Splunk] 데이터 입력 완벽 가이드 (0) | 2025.08.20 |
| [Splunk] Splunk Forwarder와 S2S 통신 완벽 이해 (1) | 2025.08.19 |
| [Splunk] Fishbucket (3) | 2025.08.15 |