전체 글 (106) 썸네일형 리스트형 [ Splunk Basic ] Splunk Web Server HTTPS 암호화 활성화 # 전제조건하나 이상의 TLS 인증서.인증서를 얻은 후에는 Splunk 플랫폼 인스턴스에 사용할 인증서를 준비 해야 합니다.인증서는 Privacy-Enhanced Mail 형식이어야 하며 x.509 공개 키 인증서 표준을 준수해야 합니다.각 인증서 파일마다 개인 키 파일이 있어야 합니다.인증서와 함께 제공되는 키 파일은 RSA 보안 형식이어야 합니다.인증 기관에서 제3자 인증서를 얻 거나 직접 인증서를 생성하여 서명 할 수 있습니다 . [ STEP 1 ] $SPLUNK_HOME/etc/system/local/web.conf 생성[ STEP 2 ] web.conf 작성 후 저장[settings]# port 설정은 안해줘도 됨..ㅎ default 443# httpport = enableSplunkWebS.. [ Splunk Search : 사용 사례 ] 어제와 오늘 데이터 분 단위로 비교하기 index=os_window earliest=-24h@s latest=-h@s | bin span=10m _time | stats count as today_count by _time | append [ | search index=os_window earliest=-48h@s latest=-24h@s | bin span=10m _time | stats count as yesterday_count by _time]| eval time=strftime(_time, "%T")| stats values(today_count) as today_count values(yesterday_count) as yesterday_count by time| eval today_count=if(isnull.. [ Splunk Dev ] Custom Command 만들기 : 개요 커스텀 커맨드를 사용하는 경우 Splunk가 아직 개발하지 않은 방식으로 데이터를 처리하고 싶을 때 Splunk에 의해 저장되지 않은 외부 소스의 데이터를 검색 파이프라인으로 가져오려고 할 때 검색 결과를 외부 시스템으로 내보내려고 할 때 커스텀 커맨드 명령 작동 방식 커스텀 커맨드는 검색 시 splunkd와 함께 실행되는 외부 python 스크립트를 통해 데이터를 처리한다. Splunk Enterprise는 SPL의 각 줄을 분석하고 검색 명령을 확인한다. 커스텀 커맨드는 commands.conf 파일의 스탠자로 지정된다. /etc/apps/local/commands.conf [ whois ] 검색 명령어가 커스텀 커멘드인 경우 Splunk Enterprise는 해당 명령어에 대한 Python 스크립트.. [ Splunk Dashboard : 튜닝 ] Dashboard Description 패널 만들기 | makeresults | eval time=relative_time(now(),"-1mon@mon"), ltime=relative_time(now(),"-0mon@mon-1d" ) | eval time=strftime(time,"%Y년%m월%d일") + " - " +strftime(ltime,"%Y년%m월%d일") | fields - _time ltime $result.time$ -24h now $reporttime$ [ Splunk Dashboard : 튜닝 ] 원하는 곳에 빈 줄 넣고 높이 조절하기 splunk 대시보드를 만들다가 여러가지 입력기를 생성하면 내가 원하는 줄에 위치에 원하는 입력기가 들어가지 않는 경우가 있다. 이런 경우 해결하는 방법을 공유한다. 기본 상황에서 방화벽 장비와 차단여부 input 태그 사이에 빨간색 부분을 넣어준다. 그러면 아래와 같이 빈 한 줄이 생성된다. . . 간격이 넓으니 좀 보기가 싫어서 간격을 줄여준다. .... .... 그러면 완성! [ Splunk Dashboard : 튜닝 ] 다른 대시보드로 가는 버튼 생성하기 버튼 이름 버튼 이름 [ Splunk Search : 사용 사례 ] 생성한 saved search 정보 검색하기 프로젝트 이후에 작성해야 하는 산출물 중에 "시나리오 정의서" 라는 것이 있다. 시나리오를 어떻게 작성했는지에 대해 기술하는 것인데 생성한 시나리오가 한 두 개도 아니고 UI에서 하나 하나 확인하면 화딱지 나니 검색식으로 리스트를 뽑은 후에 간단하게 복붙으로 해결하고 싶을 때 이 방법을 사용한다. 시나리오 정의서는 시나리오 번호 시나리오 제목 시나리오 상세 검색식 설정된 스케쥴 이렇게 다섯가지를 기본으로 작성한다. 사용한 쿼리 | rest /servicesNS/-/search/saved/searches splunk_server=local | rename eai:acl.* as *, action.summary_index.* as * | where app="search" | table title, descr.. [ Splunk Dashboard : 튜닝 ] 검색 결과 없을 때도 대시보드에 오류 안 생기게 하는 꿀 팁 고객사에 나가서 프로젝트를 하다보면 대시보드에 이렇게 한국어로는 '결과를 찾을 수 없습니다.' 영어로는 'No results found'라는 문구가 뜰 때가 있다. 검색 쿼리 조건으로 해당하는 이벤트가 생성되지 않아서 이런 결과가 나오는 것이다. 만약 이런 화면을 보고 싶지 않다면 이벤트가 검색되지 않아도 뭔가의 데이터가 생성되어서 화면으로 나타낼 수 있어야한다. 각 패널이 사용하는 시각화 툴 따라 방법이 좀 달라진다. 첫번째: single value를 사용할 때 일단 single value 시각화란 검색 결과가 수치로 나올 때 그 수치를 보여주는 용도로 사용한다. | appendpipe [ |stats count | where count=0 ] 가정한 문제가 발생했을 때 위와 같은 쿼리를 쿼리 맨 아랫.. 이전 1 2 3 4 5 ··· 14 다음
