Splunk/Splunk Basic (7) 썸네일형 리스트형 [ Splunk Basic ] Splunk Web Server HTTPS 암호화 활성화 [ STEP 1 ] $SPLUNK_HOME/etc/system/local/web.conf 생성[ STEP 2 ] web.conf 작성 후 저장[settings]# port 설정은 안해줘도 됨..ㅎ default 443# httpport = enableSplunkWebSSL = true [ STEP 3 ] splunk 재시작 하지만 이렇게 간단하게 설정을 하면제품과 함께 제공되는 기본 인증서를 사용하게 된다.그러나 그것의 암호화 형식은 보안 표준을 충족하지 않는다. 통신이 완전히 안전한지 확인하려면 기본 인증서를 자신의 인증서로 교환하고 보안 인증을 구성해야 함. 기본 인증서 교체에 대한 자세한 내용은 TLS 인증서를 사용하도록 Splunk Web 구성을 참조하십시오 . [ Splunk Basic ] SPL: Search Processing Language 🐳 Splunk 검색은 일련의 command와 argument들로 구성되어 있다. 명령은 파이프 "|"와 함께 연결되며 왼쪽 명령의 출력이 오른쪽에 있는 다음 명령의 대상이 된다. 검색 파이프라인의 시작 부분에는 인덱스에서 이벤트를 검색하기 위한 암시적 검색 명령이 있다. 검색 요청은 키워드, 인용구, 부울 식, 와일드카드, 필드 이름/값 쌍 및 비교 식으로 작성되며 AND 연산자는 검색어 사이에 내포되어 있다. 위의 검색은 sourcetype이 access_combined이면서 event에 error라는 string이 있는 event를 검색한 후, 상위 5개의 가장 일반적인 uri를 반환한다. 검색 명령은 원하지 않는 이벤트를 필터링하고, 더 많은 정보를 추출하고, 값을 계산하고, 변환하고, 인덱싱된 .. [ Splunk Basic ] System Components 🍀 Forwarders 🍀 데이터를 다른 Splunk 인스턴스로 전달하는 Splunk 인스턴스이다. 🍀 Indexers 🍀 인덱서는 데이터를 인덱싱하는 Splunk 인스턴스입니다. 인덱서는 원시 데이터를 이벤트로 변환하고 이벤트를 인덱스에 저장합니다. 또한 인덱서는 검색 요청에 대한 응답으로 인덱싱된 데이터를 검색합니다. 검색 피어는 검색 헤드의 검색 요청을 이행하는 인덱서입니다. 🍀 Search Head🍀 분산 검색 환경에서 검색 헤드는 검색 요청을 검색 피어 집합으로 보내고 결과를 다시 사용자에게 병합하는 Splunk 인스턴스입니다. 인스턴스가 인덱싱이 아닌 검색만 수행하는 경우 일반적으로 전용 검색 헤드라고 합니다. [ Splunk Basic ] Core Features 🍀 Search 🍀 검색은 사용자가 Splunk 소프트웨어에서 데이터를 탐색하는 기본 방법 인덱스에서 이벤트를 검색하는 검색을 작성 통계 명령을 사용하여 메트릭을 계산 보고서를 생성하고, 롤링 시간 내에서 특정 조건을 검색 데이터의 패턴을 식별하고, 향후 추세를 예측하는 등의 작업을 수행 SPL™(Splunk Search Process Language)을 사용하여 이벤트를 변환 검색을 보고서로 저장하고 대시보드를 강화하는 데 사용할 수 있다. 🍀 Reports 🍀 보고서는 저장된 검색과 같다. 임시로 보고서를 실행하거나, 보고서가 정기적으로 실행되도록 예약하거나, 결과가 특정 조건을 충족할 때 경고를 생성하도록 예약된 보고서를 설정할 수 있음 보고서를 대시보드 패널로 대시보드에 추가할 수 있음 🍀 Das.. [ Splunk Basic ] Concepts 🐤 Events 타임스탬프로 연결된 값 집합 데이터의 단일 항목이며 한 줄 또는 여러 줄을 가질 수 있음 이벤트는 텍스트 문서, 구성 파일, 전체 스택 추적 등이 될 수 있음 트랜잭션을 정의하여 개념적으로는 관련이 있으면서 일정 기간에 걸쳐 있는 이벤트를 검색하고 함께 그룹화할 수 있다. 트랜잭션은 소매 웹 사이트의 단일 고객 세션과 관련된 모든 이벤트와 같은 다단계 비즈니스 관련 활동을 나타낼 수 있다. 🐤 Metrics 메트릭 데이터 포인트는 타임스탬프와 하나 이상의 측정값으로 구성 Dimension을 포함할 수도 있음. Measurement(측정값)는 메트릭 이름과 해당 숫자 값이다. Dimension은 measurement의 추가 정보를 제공한다. 메트릭 데이터 포인트 및 이벤트는 함께 검색하고 .. [ Splunk Basic ] Forwarder: 역할, 유형 및 유형 별 특징 🌞 Forwarder 데이터를 수집하여 전달 작업을 수행하는 Splunk 인스턴스를 말한다. 하나의 splunk enterprise 인스턴스에서 다른 splunk enterprise 인스턴스나 Splunk가 아닌 시스템에도 데이터를 전달할 수 있다. 포워더에서는 데이터를 인덱스별로 전달하고 라우팅한다. 기본적으로 모든 외부 데이터와 _audit 내부 인덱스용 데이터를 전달 필요에 따라 _internal 내부 인덱스용 데이터를 전달하기도 함 🌞 Forwarder의 유형 Universal Forwarder (유니버설 포워더) 데이터를 전달하는 데 필요한 구성요소만 있음 Heavy Forwarder (헤비 포워더) 데이터를 전달함으로 물론 인덱싱, 검색, 변경할 수도 있는 전체 Splunk Enterprise.. [Splunk Basic] 인스턴스(instance) vs. 구성요소(Component) 인스턴스(Instance) 하나로 동작하는 설치된 Splunk Enterprise standalone deployment, 단일 배포 하나의 인스턴스가 모든 데이터 처리 기능을 처리한다. ex) data input, indexing, search management distributed deployment, 분산 배포 다양한 Splunk Enterprise 인스턴스가 프로세스를 분산해서 처리한다. 이런 상황에서는 각각의 인스턴스가 특수한 역할을 수행한다. ex ) 데이터 수집, 인덱싱, 검색 관리, 그 외의 잡무들... 구성요소(Component) Splunk Enterprise 인스턴스의 여러가지 유형 중 하나. 각각의 구성요소들은 데이터 수집이나 인덱싱과 같은 하나 이상의 Splunk Enterpri.. 이전 1 다음
