[ Splunk Cloud ] Splunk Cloud Admin 역할

☀️ 학습 목표 ☀️

    🌿Splunk Cloud의 특징과 topology를 설명할 수 있다.

    🌿Splunk Cloud Administrator가 관리하는 일을 인지한다.

    🌿Splunk Enterprise on-premise와 Splunk Cloud administrator의 중요한 업무를 나열한다.

    🌿Splunk Cloud data 수집 전략을 설명할 수 있다.

 

 

 

 

🍀 Splunk Cloud Admin (sc-admin)의 역할🍀

    Splunk 클라우드에서 데이터를 수집하고 관리하려면 다음 관리 작업이 필요합니다.

🪅 Splunk Cloud 서치 헤드에서 

• 인덱스 생성 및 관리
• 데이터 보관 관리
• Splunk Cloud로 이벤트나 데이터를 전송
• props.conf와 transforms.conf를 이용해서 파싱을 정의하고 설정
• knowledge objects를 관리
• SSAI 및 심사 통과된 앱을 설치하고 관리 함
• LDAP/SAML로 통합하기 (on-prem IdP 및 authentication)

 

🪅 on-prem component의 source에서

• Splunk Cloud로 event나 data를 전송(on-prem UF or HF)
• inputs을 정의하고 파싱을 설정함
• 격리 문제 해결

 

🍀 Splunk Cloud 지원 작업🍀

    클라우드의 제한 및 액세스 제어로 인해 일부 작업은 다음과 같이 수행됩니다.

🪅 Splunk Cloud 지원 관련 작업

• Splunk 서비스 가용성 및 성능 문제 격리
• 클라우드 배포의 문제 해결
  • 고객 configuration 또는 수집 문제
  • Splunk product
  • 제한 사항 또는 SW 버그
• Configuration 변화 및 유지 관리 작업
• app 설치 및 관리
  • 공개되지 않은 앱 또는 여러 config 변경에 대해 Splunk resource 활용
  • 인덱서 또는 IDM에 설치된 앱 또는 configuration 제거 또는 편집

🪅 Splunk 계정 팀과 함께 작업

• 사이징, 라이센싱 또는 계약상 쿼리에 대한 논의 및 관리
• 프로페셔널 서비스와 같은 내부 리소스 활용
  • 새로운 사용 사례 또는 수집 문제
  • 데이터 수집 모범 사례

 

 

🍀 sc_admins 지원🍀

🪅 CMC(Cloud Monitoring Console)이 제공하는 것

• 모니터링 및 토폴로지 상세
• 활성 데이터의 수집 및 검색
• 전반적인 health 및 performance에 대한 오리엔테이

🪅 정기적인 CMC 사용과 분석은 가치로운 인사이트를 제공함

• 어떤 것이 좋은 상태인가?
• 어떤 것이 나쁜 상태인가?
• 언제 추가적인 지원을 해야할까?

🪅 강화된 투명성을 제공

• 실행 가능한 인사이트 제공
• splunk 지원 서비스를 통해 문제 해결 시 커뮤니케이션 향상
• 최적화 기회에 대한 교육

 

🍀 Cloud Monitoring Console (CMC)🍀

• 온프레미스 모니터링 콘솔과는 달리, CMC(CMC 앱)는 사전 구성되어 있습니다.
  (*예외 - 포워더 및 워크로드 관리에는 해당되지 않음)
• CMC는 고객이 관리하고 유지하는 영역에 대한 정보를 제공합니다.
• CMC는 관리자가 문제를 해석하고 조사하는 데 필요한 가시성과 데이터를 제공합니다.
• Splunk 배포 전반에 걸쳐 예상되는 동작과 활동을 검증하고 확인합니다.

 

🍀 CMC 대시보드🍀

🪅 CMC 대시보드는 다음과 같은 인사이트를 제공한다.

• 데이터 수집 및 데이터 품질
• 포워더 연결
• HTTP 이벤트 수집 토큰 및 활동
• 인덱싱 성능
• 인덱서 클러스터링 (해당되는 경우)
• 검색 헤드 및 클러스터링 (해당되는 경우)
• Knowledge object
• 라이선스 사용량
• 검색 성능
• 사용자 활동 및 행동 분석
• 워크로드 관리

 

 

 

 

🍀 CMC 메뉴🍀

• Overview
• Health (preview)
• Alerts Indexing
  • Indexing Performance(인덱싱 성능)
  • Index Detail(인덱스 상세 정보)
  • HTTP Event Collector
  • Data Quality(데이터 품질)
• Search 
  • Search Usage Statistics
  • Scheduler Activity
  • Skipped Scheduled Searches
  • Expensive Searches
• Usage
  • User Activity (Statistical usage info)
  • User Detail (User activity over time)
• License Usage
  • Entitlements
  • Ingest
  • Workload
  • Storage Summary
  • Searchable Storage (DDAS)
  • Archive Storage (DDAA)
• Forwarders
  • Forwarders: Instance (UF/HF status and health)
  • Forwarders: Deployment (Status and historical info on UFs)
  • Forwarder Versions
  • Forwarder Monitor Setup
• Workload Management Monitoring

 

 

🍀 Classic Cloud 에서 Victoria Cloud로 이동하기 🍀 

Classic Experience에서 Victoria Experience로 업그레이드 하기

Splunk PS 및 TechOps를 통해 IDM의 모든 앱, 사용자 지정 및 구성을

기본 검색 헤드 또는 검색 헤드 클러스터로 마이그레이션

1. IDM이 제거된다.
   • 모든 특수 IP 허용 목록은 기본 검색 헤드 IP 주소로 리디렉션해야 합니다
2. 하이브리드 서치
   • 빅토리아 클라우드에는 지원되지 않는다.
   • 연합 검색 사용
     • "하이브리드 검색에서 연합 검색으로 마이그레이션" 참조
     • Migrate from hybrid search to federated search - Splunk Documentation
3. HTTP Event Collecter (HEC)
   • Victoria Experience는 관리를 위해
     Splunk Web과 Admin Configuration Service(ACS) 엔드포인트를 사용합니다
     • “Manage HEC tokens in Splunk Cloud Platform” 참조
     • Manage HTTP Event Collector (HEC) tokens in Splunk Cloud Platform - Splunk Documentation