'Splunk' 카테고리의 글 목록
본문 바로가기
728x90
반응형

Splunk

 (61)
[ Splunk Search ] 시간 별 top 5 서비스 골라서 timechart로 표현하기 | bin span=1m _time| stats sum(count) as cnt by _time service| sort - _time cnt| streamstats count as rank by _time| where rank
[ Splunk Basic ] Splunk Enterprise Web에서 HTTP Event Collector 설정 및 사용 HEC와 Splunk Enterprise사용자가 HTTPS 프로토콜 외에 HTTP 프로토콜을 통해 보내는 이벤트를 수락할 수 있음HEC는 선택적 전달 출력 그룹을 사용하여 다른 Splunk 인덱서에 이벤트를 전달할 수 있음사용자가 배포서버를 사용하여 분산 배포의 인덱서에 걸처 HEC 토큰을 배포할 수 있음 Splunk 플랫폼이 HTTP Event Collector 토큰을 사용하여 데이터를 가져오는 방법토큰 : 로깅 에이전트와 HTTP 클라이언트에서 HEC 입력에 연결하는 데 사용되는 개체각 토큰은 128비트의 숫자로 된 고유한 값을 가지며, 이 값은 32자의 GUID로 표시에이전트와 클라이언트가 HEC에 연결할 때 인증을 받기 위해 토큰을 사용HEC가 유효한 토큰을 수신하면 HEC에서 연결을 수락하고 에..
[ Splunk Dashboard : 튜닝 ] base search 설정하기 index=Lorem logtype=ipsum enviroment=$env$ | stats count BY status $time.earliest$ $time.latest$ search statuscode pie search statuscode>400 pie
[ Splunk Dashboard : 튜닝 ] 패널 크기 비율 설정하기 AAAA $field1.earliest$ $field1.latest$ 1m delay ["FF8F8F","EEF296","9ADE7B","508D69","FFC7C7", "ED9ED6", "C683D7", "FF6969"] BBBB $field1.earliest$ $field1.latest$ 1m delay ["FF8F8F","EEF296","9ADE7B","508D69","FFC7C7", ..
[ Splunk Dashboard : 튜닝 ] Dashboard Description 패널에 글자 마다 색깔 넣기 $result.total_count$ $result.count$ -24h now 방화벽에 탐지된 위협 요인 중 실제 위협(건) 총 $total_count$건 탐지 중 실제 위협 탐지 내역은 $block_count$건 입니다.
[ Splunk Basic ] Splunk Web Server HTTPS 암호화 활성화 # 전제조건하나 이상의 TLS 인증서.인증서를 얻은 후에는 Splunk 플랫폼 인스턴스에 사용할 인증서를 준비 해야 합니다.인증서는 Privacy-Enhanced Mail 형식이어야 하며 x.509 공개 키 인증서 표준을 준수해야 합니다.각 인증서 파일마다 개인 키 파일이 있어야 합니다.인증서와 함께 제공되는 키 파일은 RSA 보안 형식이어야 합니다.인증 기관에서 제3자 인증서를 얻 거나 직접 인증서를 생성하여 서명 할 수 있습니다 .  [ STEP 1 ] $SPLUNK_HOME/etc/system/local/web.conf 생성[ STEP 2 ] web.conf  작성 후 저장[settings]# port 설정은 안해줘도 됨..ㅎ default 443# httpport = enableSplunkWebS..
[ Splunk Search : 사용 사례 ] 어제와 오늘 데이터 분 단위로 비교하기 index=os_window earliest=-24h@s latest=-h@s | bin span=10m _time | stats count as today_count by _time | append     [ | search index=os_window earliest=-48h@s latest=-24h@s     | bin span=10m _time     | stats count as yesterday_count by _time]| eval time=strftime(_time, "%T")| stats values(today_count) as today_count values(yesterday_count) as yesterday_count by time| eval today_count=if(isnull..
[ Splunk Dev ] Custom Command 만들기 : 개요 커스텀 커맨드를 사용하는 경우 Splunk가 아직 개발하지 않은 방식으로 데이터를 처리하고 싶을 때 Splunk에 의해 저장되지 않은 외부 소스의 데이터를 검색 파이프라인으로 가져오려고 할 때 검색 결과를 외부 시스템으로 내보내려고 할 때 커스텀 커맨드 명령 작동 방식 커스텀 커맨드는 검색 시 splunkd와 함께 실행되는 외부 python 스크립트를 통해 데이터를 처리한다. Splunk Enterprise는 SPL의 각 줄을 분석하고 검색 명령을 확인한다. 커스텀 커맨드는 commands.conf 파일의 스탠자로 지정된다. /etc/apps/local/commands.conf [ whois ] 검색 명령어가 커스텀 커멘드인 경우 Splunk Enterprise는 해당 명령어에 대한 Python 스크립트..
728x90
반응형

티스토리툴바