[Splunk ES] Splunk ES Lab을 위한 간단 OS 세팅

🐥 AWS Free Tier로 Splunk 랩 만들면서 한 OS 튜닝 정리

이번에는 AWS Free Tier 환경에서 Splunk 랩을 구축하면서
OS 튜닝을 조금 정돈해봤다!!!

 

무엇을 꼭 해야 하고, 무엇은 선택인지, 무엇은 안 해도 되는지
헷갈리는 부분을 한 번에 정리!

---

1) 🍎 필수 OS 셋업 (Must)

이건 안 하면 그냥 안 돌아갑니다. 즉 필수.

[A] Hostname 설정

sudo hostnamectl set-hostname splunk-es

 

[B] 시스템 업데이트 + 기본 패키지 설치

sudo yum update -y
sudo yum install -y wget tar curl unzip

[C] splunk 사용자 계정 생성

sudo useradd splunk

[D] Java 11 설치 (DBX용)

sudo dnf install -y java-11-devel

[E] AWS SG 포트 오픈

Security Group에서 필요한 포트만 허용:

• 8000 → Splunk Web
• 22 → SSH
• (옵션) DB 연결용 TCP
• (옵션) 9997 → 인풋용

[F] Boot-start 활성화  >> Splunk 설치 이후에!!

sudo /opt/splunk/bin/splunk enable boot-start -user splunk

➡️ 여기까지가 필수 6대장

---

2) 🧀 해두면 매우 좋은 항목 (Should)

안 해도 돌아가지만 운영 시 미묘하게 도움 되는 항목들

[G] ulimit 조정

sudo vi /etc/security/limits.conf

splunk soft nofile 100000
splunk hard nofile 100000

 

 

• ulimit는 프로세스가 사용할 수 있는 자원(FD/스레드/메모리)의 상한을 정해서 서비스가 자원 부족으로 죽지 않도록 하기 위해 조정한다.
• 서버형 워크로드는 기본값이 너무 낮아 고성능 I/O·다중 연결·스레드 기반 서비스에서 바로 병목 또는 장애가 발생한다.
• 보안 관점에서는 상한을 너무 높게 두면 DoS 공격 시 자원이 무제한 소비될 수 있어 합리적인 upper bound 설정이 위험 완화 수단이 된다.

전체를 한 문장으로 먼저 요약

 

“커널 한도(fs.file-max) ≥ 사용자 세션 한도(limits.conf) ≥ 실제 프로세스가 쓰는 ulimit”
이렇게 세 레이어를 맞춰줘야 서비스가 숨 안 막히고 정상 동작함.

---

1. 파일 디스크립터 총량 확인

---

# root 사용자로 전환해서 확인하는 것이 좋음
sudo -i

cat /proc/sys/fs/file-nr
sysctl -a | grep fs.file-max

 

의미:

• fs.file-max = 리눅스 커널 전체가 열 수 있는 파일 디스크립터 최대치 (OS 전역 한도)
• file-nr = 현재 열려 있는 파일 수 / 사용 가능 수 / max 값을 표시

즉:
OS 전체 자원 “총 그릇 크기”를 확인하는 단계

 

둘 중 선호하는 방식으로 확인하면 됨!

---

2. sysctl.conf 설정

---

vi /etc/sysctl.conf
fs.file-max = 3657031

 

 

의미:

• 위에서 확인한 값 기반으로 커널 레벨에서 파일 디스크립터 최대치를 상향 조정
• 서버 전체의 최대 연결/파일 오픈 여력을 늘림

즉:
“OS 전체 한도” 늘리는 구간

 

---

3.limits.conf 확인 (일반 계정으로)

---

 

$ ulimit -a

 

의미:

• 현재 로그인된 사용자 세션이 실제로 쓸 수 있는 한도를 확인
• 여기서 많이들 실수하는 게 root 계정이 아니라 서비스 사용자(splunk 등) 기준으로 봐야 적용 여부가 보임

즉:
실제 서비스가 쓸 수 있는 “사용자·세션 한도” 확인

 

---

4. limits.conf 설정

---

 

 

/etc/security/limits.conf
또는
/etc/security/limits.d/*.conf


## 설정 내용 ##
root soft nofile 100000
root hard nofile 100000
splunk soft nofile 100000
splunk hard nofile 100000


## 이건 굳이 안해도 될 듯 ##
## AWS Linux 기본 값이 unlimited야
root soft nproc 100000
root hard nproc 100000
splunk soft nproc 100000
splunk hard nproc 100000

 

의미:

• soft = 기본값 (세션이 우선적으로 적용)
• hard = 절대 상한 (soft가 hard를 넘을 수 없음)
• nofile = 파일/소켓 최대 FD 수
• nproc = 생성 가능한 프로세스·스레드 수

즉:
“사용자 단위 자원 제한” 설정

왜 splunk 사용자 별도로 설정하나?
→ Splunk 프로세스는 root가 아니라 splunk 계정으로 돌기 때문

 

 

 

---

5. sysctl 적용

---

$ sysctl -p

 

의미:

• sysctl.conf에서 커널 파라미터 다시 로딩
• 즉 커널 레벨 파일 디스크립터 관련 한도 적용 완료

---

6. 재로그인 필요 이유 (CentOS 등)

---

• limits.conf는 PAM (Pluggable Authentication Modules)을 통해 로그인 세션에 적용되므로
• SSH 다시 들어오거나 서비스 재시작해야 반영됨

즉:
재부팅까지는 필요 없지만 “다시 들어올 것” 필요

 

 

 

[H] THP Disable

# 파일 생성
sudo vi /etc/systemd/system/disable-thp.service

# 내용 넣기
[Unit]
Description=Disable Transparent Huge Pages
After=sysinit.target

[Service]
Type=oneshot
ExecStart=/bin/sh -c "echo never > /sys/kernel/mm/transparent_hugepage/enabled"
ExecStart=/bin/sh -c "echo never > /sys/kernel/mm/transparent_hugepage/defrag"

[Install]
WantedBy=multi-user.target

# 적용
sudo systemctl daemon-reload
sudo systemctl enable --now disable-thp

# 확인
cat /sys/kernel/mm/transparent_hugepage/enabled

[I] 시간 동기화 (NTP/Chrony)

sudo yum install -y chrony
sudo systemctl enable --now chronyd


## 한국시간으로 바꾸기
sudo timedatectl set-timezone Asia/Seoul


## 적용 확인
timedatectl

 

SIEM에서 timestamp는 거의 신격 존재…

 

---

[J] SElinux 설정

vi /etc/selinux/config
SELINUX=disabled

sudo reboot

getenforce

---

4) 🚫 지금은 안 해도 되는 것들 (Don’t)

이번 랩 환경에서는 불필요

• ✗ RAID / MegaCLI (EBS는 RAID 아님)
• ✗ Java8/Java17 고민 (DBX는 Java11 안정)
• ✗ UDP Buffer Tuning (UDP 수집 없음)
• ✗ Queue tuning (단일 ingest에서는 과함)
• ✗ Heavy Forwarder 설정 (미사용)

---

 

다음에는 Splunk 설치 + DB 자산 연동(DBX) + 티켓/워크플로 구성도 정리해볼 예정!