'Splunk/Splunk Dashboard and Visualization' 카테고리의 글 목록
본문 바로가기
728x90
반응형

Splunk/Splunk Dashboard and Visualization

 (7)
[ Splunk Dashboard : 튜닝 ] base search 설정하기 index=Lorem logtype=ipsum enviroment=$env$ | stats count BY status $time.earliest$ $time.latest$ search statuscode pie search statuscode>400 pie
[ Splunk Dashboard : 튜닝 ] 패널 크기 비율 설정하기 AAAA $field1.earliest$ $field1.latest$ 1m delay ["FF8F8F","EEF296","9ADE7B","508D69","FFC7C7", "ED9ED6", "C683D7", "FF6969"] BBBB $field1.earliest$ $field1.latest$ 1m delay ["FF8F8F","EEF296","9ADE7B","508D69","FFC7C7", ..
[ Splunk Dashboard : 튜닝 ] Dashboard Description 패널에 글자 마다 색깔 넣기 $result.total_count$ $result.count$ -24h now 방화벽에 탐지된 위협 요인 중 실제 위협(건) 총 $total_count$건 탐지 중 실제 위협 탐지 내역은 $block_count$건 입니다.
[ Splunk Dashboard : 튜닝 ] Dashboard Description 패널 만들기 | makeresults | eval time=relative_time(now(),"-1mon@mon"), ltime=relative_time(now(),"-0mon@mon-1d" ) | eval time=strftime(time,"%Y년%m월%d일") + " - " +strftime(ltime,"%Y년%m월%d일") | fields - _time ltime $result.time$ -24h now $reporttime$
[ Splunk Dashboard : 튜닝 ] 원하는 곳에 빈 줄 넣고 높이 조절하기 splunk 대시보드를 만들다가 여러가지 입력기를 생성하면 내가 원하는 줄에 위치에 원하는 입력기가 들어가지 않는 경우가 있다. 이런 경우 해결하는 방법을 공유한다. 기본 상황에서 방화벽 장비와 차단여부 input 태그 사이에 빨간색 부분을 넣어준다. 그러면 아래와 같이 빈 한 줄이 생성된다. . . 간격이 넓으니 좀 보기가 싫어서 간격을 줄여준다. .... .... 그러면 완성!
[ Splunk Dashboard : 튜닝 ] 다른 대시보드로 가는 버튼 생성하기 버튼 이름 버튼 이름
[ Splunk Dashboard : 튜닝 ] 검색 결과 없을 때도 대시보드에 오류 안 생기게 하는 꿀 팁 고객사에 나가서 프로젝트를 하다보면 대시보드에 이렇게 한국어로는 '결과를 찾을 수 없습니다.' 영어로는 'No results found'라는 문구가 뜰 때가 있다. 검색 쿼리 조건으로 해당하는 이벤트가 생성되지 않아서 이런 결과가 나오는 것이다. 만약 이런 화면을 보고 싶지 않다면 이벤트가 검색되지 않아도 뭔가의 데이터가 생성되어서 화면으로 나타낼 수 있어야한다. 각 패널이 사용하는 시각화 툴 따라 방법이 좀 달라진다. 첫번째: single value를 사용할 때 일단 single value 시각화란 검색 결과가 수치로 나올 때 그 수치를 보여주는 용도로 사용한다. | appendpipe [ |stats count | where count=0 ] 가정한 문제가 발생했을 때 위와 같은 쿼리를 쿼리 맨 아랫..
728x90
반응형

티스토리툴바