스플렁크 튜토리얼을 진행해 보겠습니다!
splunk 홈
splunk를 처음 시작하면 아래와 같은 화면을 볼 수 있습니다. 각 요소들이 어떤 기능을 하는지 살펴봅시다.
- Apps panel : 현재 사용자에게 사용 권한이 있는 앱들이 나타납니다. Search & Reporting 앱은 splunk의 모든 기본이 되는 앱입니다.!
- Quick ling tabs : splunk의 여러 정보를 빠르게 접근할 수 있는 링크 탭입니다.
- Splunk bar
- 설정 : splunk 운영 설정 메뉴
- 메시지 : 운영 시스템 메시지 확인
- 작업 : 검색 진행 상황 모니터링
튜토리얼 데이터 수집
튜토리얼 데이터 다운로드
여기에 접속해서 튜토리얼 데이터를 다운 받습니다!
튜토리얼 데이터는 매일 업데이트 되면서 지난 7일 동안의 시간으로 저장된 로그 데이터입니다. 이 데이터는 가상의 온라인 상점인 버터컵 게임즈에 대한 데이터입니다. (버터컵은 splunk 마스코트)
메일 서버와 웹 계정의 access.log, secure.log, vendor_sales.log 데이터입니다.
데이터 업로드
설정 -> 데이터 추가 -> 업로드 내 컴퓨터 파일 -> 파일 선택
데이터를 추가할 때에는 압축을 풀지 말고 zip 파일 그대로 추가합니다. 다음
새 인덱스 만들기 -> 인덱스 이름 설정 -> 저장 -> 해당 인덱스 선택
인덱스는 여기에서 말했던 것처럼 splunk에서 데이터를 저장하는 공간입니다.
검토 -> 제출 -> 검색시작, 이 후 추가적인 설정 없이 제출 후 검색 시작을 눌러줍니다.
source-"tutorialdata.zip:*" host="localhost.localdomain" index=tutorial검색 결과가 나오면 데이터가 정상적으로 수집 된 겁니다. 이렇게 데이터가 수집된걸 “인덱싱 되었다.” 라고 표현합니다.
Search & Reporting 앱
이 앱에서 splunk 데이터의 모든 검색이 이루어집니다. 데이터를 대시보드에 표현하고, 알림을 울리는 등 모든 기능은 데이터 검색에서 시작되기 때문에 이 앱이 splunk의 가장 기본이 되는 앱입니다.
index=tutorial- 검색창 : spl을 작성하는 공간
- time picker : 검색 시간을 지정
- 검색 결과 탭 : 이벤트 수와 시각화 : 데이터를 그래프로 보여줌
- 검색 작업 버튼
- 작업 : 검색 작업에 대한 상세 내용을 확인
- 인쇄, 데이터 내보내기 -> 데이터를 csv, json 파일로 다운로드
- 검색 모드 : 스마트 모드, 상세 모드, 고속 모드 – 데이터를 검색 모드 선택
- fields sidebar : 데이터의 필드 목록을 확인
두꺼운 글씨는 자주 사용하거나 자주 확인해야 하는 부분이니 잘 봐두시면 좋습니다.
다음 내용은 2부에서 이어집니다.
마무리
출처 – splunk doc