[ Splunk Cloud ] Authorization (권한 부여)

🎠 Authorization _ Built in roles 🎠

Splunk 사용자의 기능은 할당된 역할에 의해 정의됩니다.

   ◾️ sc_admin

           - 관리자에게 많이 할당되는 역할

           - 사용자 지정 사용자 역할 추가 가능

   ◾️ power and user

           - 대부분의 사용자에게 할당됨

   ◾️ apps

           - 앱 관리

           - admin capabilities 일

   ◾️ can_delete

           -  기본적으로 다른 사용자 역할이나 그룹에 할당되지 않음

           -  |  delete 명령으로 데이터를 숨길 수 있다.

   ◾️ tokens_auth

           -  이 역할을 가진 사용자는 토큰 기반 인증을 구성할 수 있음

 

 

 

🎠 맞춤 사용자 역할 정의 🎠

설정 > 역학 > 새 역할

역할 생성의 기존 역할을 사용하여 작업 또는 직무를 반영

역할은 5가지 구성 성분이 있다.

1. 상속 (Role inheritance)
   • 상속은 할당된 하나 이상의 기존 역할을 기반으로 한다.
     • 역할은 기능, 제한 및 인덱스 액세스를 상속한다.
     • 상속된 기능 또는 액세스는 비활성화할 수 없다.
       예외: 검색 제한
     • 검색 제한이 없는 역할에 할당된 사용자와 검색 제한이 있는 다른 사용자는 
       검색 제한을 상속합니다.
   • 새 역할을 기본 역할, 사용자 지정 역할 또는 기능을 사용할 수 있다.
2. 기능 (Capabilities)
   • 기능은 명령어와 사용자 작업 실행에 대한 권한을 부여한다.
     • 관리자는 역할별로 사용자를 관리한다.
     • Splunk Cloud는 기본 구성 요소의 기능을 제한한다.
   • 역할은 작업과 활동에 의해 제한 및 관리된다.
     • 기능이 상속된 역할이 보임
     • 상속된 기능은 활성화 
3. 인덱스 접근 (Index access)
   • 인덱스는 데이터에 대한 액세스를 제어한다.
     • Included는 선택한 인덱스를 나열하거나 검색할 수 있는 권한을 부여한다.
       • 선택되지 않은 인덱스는 사용할 수 없다.
     • Default는 선택한 인덱스를 정의한다.
       • 사용자가 생략해도 되는 인덱스 "index = 인덱스 이름"
     • Wildcard를 사용하여 인덱스 그룹에 대한 액세스 지정
   • 상위 역할에서 상속된 인덱스는 검색 가능하며 비활성화할 수 없습니다.
   • 인덱스 접근은 허용적이다.
     • 기본적으로, 새로 만들어진 내부인덱스가 아닌 인덱스는 검색 가능하다.
       • 데이터 액세스 정책을 충족하기 위해 인덱스 제한 구현 고려
       • 테스트 인덱스는 제한적/민감한 데이터만 포함해야 합니다.
     • 테스트 또는 스테이징 인덱스를 검색할 수 있습니다.
       • 샘플 수집 데이터의 양과 가치 고려
       • 와일드카드 *테스트* 인덱스 그룹화를 사용하여 액세스 제한
4. 제한 (Restrictions)
   • 제한은 한 역할이 사용할 수 있는 검색을 제한하기 위해 사용됨
     • 검색 필터 생성기
       • 기본 시간 범위 설정
       • 인덱싱된 필드를 필터링하기 위해 선택
       • 필드 값을 선택
       • 연결 옵션 선택
     • 검색 필터
       • 결과를 필터링하기 위한 검색 문자열 종
5. 리소스 사용 제한 (Resource usage limits)
   • 리소스는 검색 리소스를 관리
     • 역할 찾기 작업 제한
       • 모든 역할 사용자가 사용할 수 있는 검색 수
     • 사용자 검색 작업 제한
       • 각 역할 사용자에 대한 검색 수 설정
     • 역할 검색 시간 창 제한
       • 검색 시간 창 설정
     • 디스크 공간 제한
       • 검색에 사용할 수 있는 최대 디스크 공간 설정

 

 

역할 - 인덱스 상속

• 상속을 사용할 때는 내가 의도한 것보다 더 많은 액세스를 승인하는지 확인하는 것이 좋다.
  • 설정 > 역할 > 역할_이름 > 편집

 

상속의 역할

• 새 역할이 사용자와 같은 다른 역할에서 상속되는 경우
  • 상속받은 역할과 자신의 모든 기능을 가
  • 인덱스 설정을 상속합니다.
  • 상속된 기능 또는 인덱스 액세스가 활성화됨
• 일부 기능이 꺼져 있는 사용자를 설정하려면
  • 다른 역할에서 상속받지 않는 새로운 역할 생성
  • 필요한 기능과 승인된 조치만 선택
  • 적절한 인덱스 및 리소스 설정 할당

 

 

워크로드 관리(WLM)

설정 > 워크로드 관리

검색, 인덱싱 및 기타 사용자 워크로드에 컴퓨팅 리소스(CPU 및 메모리)를 할당하는 규칙 기반 관리

워크로드 풀이라는 논리적 컨테이너에 리소스 할당
규칙은 정의된 기준에 따라 워크로드 풀에 검색을 자동으로 할당합니다.

다음을 통해 성능, 리소스 가용성 및 생산성을 향상시킵니다.

검색 워크로드에서 데이터 수집 분리
중요한 검색 워크로드의 우선 순위 지정
리소스가 많은 검색 분리

 

 

워크로드 관리(WLM) - Adimission Rules

사용자 정의를 기반으로 실행 전에 검색을 자동으로 필터링 함

– 특정 시간 범위에서 검색을 실행하기 위해 사용자, 역할, 앱 등을 제한합니다.
– 과도한 리소스를 사용하고 중요한 데이터 가용성에 영향을 줄 수 있는 검색 실행 방지

이런식으로 새로운 검색에 대해서 검색을 필터링할 수 있다.

 

워크로드 관리(WLM) - Workload Pools

CPU 및 메모리 리소스의 일정 비율을 할당하는 데 사용되는 정의된 논리적 컨테이너

사전 정의된 풀 – 표준, 높음 및 낮음 우선순위

 

 

워크로드 관리(WLM) - Workload Rules

사용자 정의 조건 세트는 워크로드 풀에 자동으로 검색을 할당하거나
비용이 많이 드는 검색의 영향을 줄입니다.

• 설정된 기준에 따라 풀 할당

– 예, 역할=보안 AND search_type=adhoc

• 비용이 많이 드는 검색에 대한 개선 조치 트리거

 

 

 

사용자 관리를 위해 CMC 사용하기

CMC는 클라우드 모니터링 콘솔의 약어이다.

사용자 행동 및 리소스 사용은 성능 및 비즈니스 가치에 영향을 미친다.
일반적으로 보고되는 문제는 '사용자가 검색할 수 없음'입니다.

왜? 무제한 사용자 활동은 리소스를 묶을 수 있고 액세스 및/또는 기능에 영향을 미침

 

CMC > 사용량에서  Splunk Cloud 관리자가 할 수 있는 것

• 사용자 활동 분석/모니터링 및 검토
• 용량/기능 계획을 위해 특정 사용자 활동으로 드릴다운
• 사용자에게 검색 행동을 최적화하도록 교육
  • 작업에 필요한 데이터만 검색(더 구체적으로 지정)
  • 적절한 검색 시간 및 작업 범위 설정 (가능한 경우 호스트, 소스 유형, 시간 등 명시)
  • 리소스를 묶는 활동을 줄입니다(실시간 또는 장기 실행 검색 방지). 

고객 관리자는 주요 기능, 액세스 및 사용자 활동이 관리되는지 확인해야 합니다.

 

 

사용자 상세 대시보드

사용자 성능 문제를 조사하는 데 사용

Possible issues

• 성능 또는 누락된 데이터에 대해 불평하는 사용자
  • 사용자에게 인덱스, 검색 또는 리소스에 대한 역할 기반 제한이 발생합니까?
  • 사용자가 실행할 수 있는 검색 유형 및/또는 수에 대한 역할 제한에 도달했습니까?
  • 이 문제는 리소스 가용성 문제로 인해 발생합니까? (검색을 위한 최대 메모리) (검색 동시성 제한)

Be proative

• 사용자 활동을 검토하고 사용자에게 모범 사례를 교육!
  • 워크로드 관리를 위해 리소스를 늘리거나 제한
  • 불완전하거나 건너뛴 조치의 원인 논의
  • 사용자 활동의 증감 모니터링
    • 검색 횟수
    • 평균 검색 런타임
    • 총 검색 시간
  • 유형별 검색 및 앱별 페이지뷰 모니터링
  • 최적화를 위한 모든 추세를 볼 수 있음