Splunk/Splunk Basic (8) 썸네일형 리스트형 [ Splunk Basic ] Splunk Enterprise Web에서 HTTP Event Collector 설정 및 사용 HEC와 Splunk Enterprise사용자가 HTTPS 프로토콜 외에 HTTP 프로토콜을 통해 보내는 이벤트를 수락할 수 있음HEC는 선택적 전달 출력 그룹을 사용하여 다른 Splunk 인덱서에 이벤트를 전달할 수 있음사용자가 배포서버를 사용하여 분산 배포의 인덱서에 걸처 HEC 토큰을 배포할 수 있음 Splunk 플랫폼이 HTTP Event Collector 토큰을 사용하여 데이터를 가져오는 방법토큰 : 로깅 에이전트와 HTTP 클라이언트에서 HEC 입력에 연결하는 데 사용되는 개체각 토큰은 128비트의 숫자로 된 고유한 값을 가지며, 이 값은 32자의 GUID로 표시에이전트와 클라이언트가 HEC에 연결할 때 인증을 받기 위해 토큰을 사용HEC가 유효한 토큰을 수신하면 HEC에서 연결을 수락하고 에.. [ Splunk Basic ] Splunk Web Server HTTPS 암호화 활성화 # 전제조건하나 이상의 TLS 인증서.인증서를 얻은 후에는 Splunk 플랫폼 인스턴스에 사용할 인증서를 준비 해야 합니다.인증서는 Privacy-Enhanced Mail 형식이어야 하며 x.509 공개 키 인증서 표준을 준수해야 합니다.각 인증서 파일마다 개인 키 파일이 있어야 합니다.인증서와 함께 제공되는 키 파일은 RSA 보안 형식이어야 합니다.인증 기관에서 제3자 인증서를 얻 거나 직접 인증서를 생성하여 서명 할 수 있습니다 . [ STEP 1 ] $SPLUNK_HOME/etc/system/local/web.conf 생성[ STEP 2 ] web.conf 작성 후 저장[settings]# port 설정은 안해줘도 됨..ㅎ default 443# httpport = enableSplunkWebS.. [ Splunk Basic ] SPL: Search Processing Language 🐳 Splunk 검색은 일련의 command와 argument들로 구성되어 있다. 명령은 파이프 "|"와 함께 연결되며 왼쪽 명령의 출력이 오른쪽에 있는 다음 명령의 대상이 된다. 검색 파이프라인의 시작 부분에는 인덱스에서 이벤트를 검색하기 위한 암시적 검색 명령이 있다. 검색 요청은 키워드, 인용구, 부울 식, 와일드카드, 필드 이름/값 쌍 및 비교 식으로 작성되며 AND 연산자는 검색어 사이에 내포되어 있다. 위의 검색은 sourcetype이 access_combined이면서 event에 error라는 string이 있는 event를 검색한 후, 상위 5개의 가장 일반적인 uri를 반환한다. 검색 명령은 원하지 않는 이벤트를 필터링하고, 더 많은 정보를 추출하고, 값을 계산하고, 변환하고, 인덱싱된 .. [ Splunk Basic ] System Components 🍀 Forwarders 🍀 데이터를 다른 Splunk 인스턴스로 전달하는 Splunk 인스턴스이다. 🍀 Indexers 🍀 인덱서는 데이터를 인덱싱하는 Splunk 인스턴스입니다. 인덱서는 원시 데이터를 이벤트로 변환하고 이벤트를 인덱스에 저장합니다. 또한 인덱서는 검색 요청에 대한 응답으로 인덱싱된 데이터를 검색합니다. 검색 피어는 검색 헤드의 검색 요청을 이행하는 인덱서입니다. 🍀 Search Head🍀 분산 검색 환경에서 검색 헤드는 검색 요청을 검색 피어 집합으로 보내고 결과를 다시 사용자에게 병합하는 Splunk 인스턴스입니다. 인스턴스가 인덱싱이 아닌 검색만 수행하는 경우 일반적으로 전용 검색 헤드라고 합니다. [ Splunk Basic ] Core Features 🍀 Search 🍀 검색은 사용자가 Splunk 소프트웨어에서 데이터를 탐색하는 기본 방법 인덱스에서 이벤트를 검색하는 검색을 작성 통계 명령을 사용하여 메트릭을 계산 보고서를 생성하고, 롤링 시간 내에서 특정 조건을 검색 데이터의 패턴을 식별하고, 향후 추세를 예측하는 등의 작업을 수행 SPL™(Splunk Search Process Language)을 사용하여 이벤트를 변환 검색을 보고서로 저장하고 대시보드를 강화하는 데 사용할 수 있다. 🍀 Reports 🍀 보고서는 저장된 검색과 같다. 임시로 보고서를 실행하거나, 보고서가 정기적으로 실행되도록 예약하거나, 결과가 특정 조건을 충족할 때 경고를 생성하도록 예약된 보고서를 설정할 수 있음 보고서를 대시보드 패널로 대시보드에 추가할 수 있음 🍀 Das.. [ Splunk Basic ] Concepts 🐤 Events 타임스탬프로 연결된 값 집합 데이터의 단일 항목이며 한 줄 또는 여러 줄을 가질 수 있음 이벤트는 텍스트 문서, 구성 파일, 전체 스택 추적 등이 될 수 있음 트랜잭션을 정의하여 개념적으로는 관련이 있으면서 일정 기간에 걸쳐 있는 이벤트를 검색하고 함께 그룹화할 수 있다. 트랜잭션은 소매 웹 사이트의 단일 고객 세션과 관련된 모든 이벤트와 같은 다단계 비즈니스 관련 활동을 나타낼 수 있다. 🐤 Metrics 메트릭 데이터 포인트는 타임스탬프와 하나 이상의 측정값으로 구성 Dimension을 포함할 수도 있음. Measurement(측정값)는 메트릭 이름과 해당 숫자 값이다. Dimension은 measurement의 추가 정보를 제공한다. 메트릭 데이터 포인트 및 이벤트는 함께 검색하고 .. [ Splunk Basic ] Forwarder: 역할, 유형 및 유형 별 특징 🌞 Forwarder 데이터를 수집하여 전달 작업을 수행하는 Splunk 인스턴스를 말한다. 하나의 splunk enterprise 인스턴스에서 다른 splunk enterprise 인스턴스나 Splunk가 아닌 시스템에도 데이터를 전달할 수 있다. 포워더에서는 데이터를 인덱스별로 전달하고 라우팅한다. 기본적으로 모든 외부 데이터와 _audit 내부 인덱스용 데이터를 전달 필요에 따라 _internal 내부 인덱스용 데이터를 전달하기도 함 🌞 Forwarder의 유형 Universal Forwarder (유니버설 포워더) 데이터를 전달하는 데 필요한 구성요소만 있음 Heavy Forwarder (헤비 포워더) 데이터를 전달함으로 물론 인덱싱, 검색, 변경할 수도 있는 전체 Splunk Enterprise.. [Splunk Basic] 인스턴스(instance) vs. 구성요소(Component) 인스턴스(Instance) 하나로 동작하는 설치된 Splunk Enterprise standalone deployment, 단일 배포 하나의 인스턴스가 모든 데이터 처리 기능을 처리한다. ex) data input, indexing, search management distributed deployment, 분산 배포 다양한 Splunk Enterprise 인스턴스가 프로세스를 분산해서 처리한다. 이런 상황에서는 각각의 인스턴스가 특수한 역할을 수행한다. ex ) 데이터 수집, 인덱싱, 검색 관리, 그 외의 잡무들... 구성요소(Component) Splunk Enterprise 인스턴스의 여러가지 유형 중 하나. 각각의 구성요소들은 데이터 수집이나 인덱싱과 같은 하나 이상의 Splunk Enterpri.. 이전 1 다음
