Table of Contents Splunk Enterprise 설치 매뉴얼 소개 매뉴얼 내용 이 매뉴얼의 일부는 어떻게 되었습니까? Splunk Enterprise 설치 계획 4 설치 개요 4 시스템 요구 사항 5 Splunk Enterprise 아키텍처와

Size: px

Start display at page:

Download "Table of Contents Splunk Enterprise 설치 매뉴얼 소개 매뉴얼 내용 이 매뉴얼의 일부는 어떻게 되었습니까? 4 4 4 Splunk Enterprise 설치 계획 4 설치 개요 4 시스템 요구 사항 5 Splunk Enterprise 아키텍처와"

예원 동
7 years ago
Views:

2 Table of Contents Splunk Enterprise 설치 매뉴얼 소개 매뉴얼 내용 이 매뉴얼의 일부는 어떻게 되었습니까? Splunk Enterprise 설치 계획 4 설치 개요 4 시스템 요구 사항 5 Splunk Enterprise 아키텍처와 프로세스 8 Splunk Enterprise와 함께 배포되는 Windows 타사 바이너리에 대한 정보 10 단계별 설치 방법 11 Splunk Enterprise 설치 보안 Splunk Enterprise 보안에 대하여 Splunk Enterprise를 설치하기 전에 시스템 보안 Splunk Enterprise 보안 설치 Splunk Enterprise를 보안하는 추가 방법 Windows에 Splunk Enterprise 설치 Splunk Enterprise 실행 Windows 사용자 선택 Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비 Windows에 설치 명령줄을 통해 Windows에 설치 Windows 설치 중에 선택한 사용자 수정 Unix, Linux 또는 Mac OS X에 Splunk Enterprise 설치 Linux에 설치 Solaris에 설치 Mac OS X에 설치 FreeBSD에 설치 AIX에 설치 HP-UX에 설치 다른 사용자나 루트가 아닌 사용자로 Splunk Enterprise 실행 Splunk Enterprise 사용 시작 Splunk 처음 시작 다음 단계 Splunk Enterprise의 접근성에 대해 알아보기 Splunk Enterprise 라이선스 설치 Splunk Enterprise 라이선스에 대하여 라이선스 설치 Splunk Enterprise 업그레이드 또는 마이그레이션 Splunk Enterprise 업그레이드 방법 6.2 업그레이드 정보 - 먼저 읽을 내용 버전 5에서 버전 6으로 업그레이드한 후에 변경되는 Splunk Web 절차

Splunk Enterprise를 설치하기 전에 시스템 보안 Splunk Enterprise 보안 설치 Splunk Enterprise를 보안하는 추가 방법 Windows에 Splunk Enterprise 설치 Splunk Enterprise 실행 Windows 사용자 선택 Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해

3 Splunk 앱 개발자를 위한 변경 사항 UNIX에서 6.2로 업그레이드 Windows에서 6.2로 업그레이드 Splunk Enterprise 인스턴스 마이그레이션 새로운 Splunk Enterprise 라이선서로 마이그레이션 Splunk Enterprise 제거 Splunk Enterprise 제거 참조 PGP 공용 키 55 55

4 Splunk Enterprise 설치 매뉴얼 소개 매뉴얼 내용 설치 매뉴얼을 읽고 Splunk Enterprise를 설치하는 방법을 알아보십시오. 이 매뉴얼에서는 다음과 같은 내용을 다룹니다. 시스템 요구 사항 라이선싱 정보 설치 절차 이전 버전에서 업그레이드하는 절차...기타 등등. 참고: 설치 매뉴얼에서는 전체 Splunk Enterprise의 설치에 대해서만 상세히 설명합니다. Splunk 유니버설 포워더를 설치 하려면 데이터 포워딩 매뉴얼의 "유니버설 포워더 배포 개요"를 참조하십시오. 일부 기능을 변경 또는 비활성화한 Splunk Enterprise 전체 인스턴스인 Splunk 헤비 및 라이트 포워더와 달리 유니버설 포워더는 별도의 설치 절차가 있는 완전히 독립 된 실행 파일입니다. 포워더에 대한 소개는 "포워딩 및 수신에 대하여"를 참조하십시오. 필요한 내용 찾기 이 패널의 왼쪽에 있는 목차를 사용하거나 오른쪽 상단의 검색란에서 원하는 내용을 검색할 수 있습니다. 구체적인 시나리오와 베스트 프랙티스에 관심이 있다면 Splunk 커뮤니티 위키를 방문하여 다른 사용자들이 Splunk IT를 어 떻게 사용하는지 확인할 수 있습니다. PDF 만들기 이 매뉴얼의 PDF 버전이 필요할 경우 이 페이지 왼쪽의 목차 아래에 있는 빨간색 PDF로 다운로드 링크를 클릭하십시오. 해 당 매뉴얼의 PDF 버전이 즉시 생성되며 나중에 읽어보기 위해 저장하거나 인쇄할 수 있습니다. 이 매뉴얼의 일부는 어떻게 되었습니까? Splunk는 콘텐츠를 더 효율적으로 배치하고 고객이 더 편리하게 이용할 수 있도록 하기 위해 Splunk Enterprise 설치 작업과 직접적으로 연관이 없는 모든 정보를 이 매뉴얼에서 다른 매뉴얼로 옮겼습니다. 대부분의 내용은 새 용량 계획 매뉴얼로 옮겼습니다. 용량 계획 매뉴얼은 이 매뉴얼과 분산 배포 매뉴얼의 콘텐츠를 한곳에 모아놓은 새로운 매뉴얼입니다. Splunk Enterprise 설치 계획 설치 개요 이 항목에서는 Splunk Enterprise를 컴퓨터에 설치하는 데 필요한 단계에 대해 설명합니다. 설치하기 전에 이 항목과 이 장의 내용을 읽어보시기 바랍니다. 설치 기본사항 이 리스트에서는 Splunk Enterprise 설치 방법에 대해 설명합니다. 1. 설치에 필요한 시스템 요구 사항을 검토합니다. Splunk Enterprise를 설치할 운영 체제와 Splunk Enterprise를 사용하려 는 방법에 따라 특정 요구 사항이 추가로 적용될 수 있습니다. 2. "Splunk Enterprise 배포 구성 요소"를 읽고 Splunk Enterprise 에코시스템에 대해 알아보고, "Splunk 아키텍처 및 프로세 스"를 읽고 설치 프로그램이 컴퓨터에 무엇을 설치하는지 알아봅니다. 3. "Splunk Enterprise 설치 보안" 장을 읽고 Splunk Enterprise를 설치할 컴퓨터를 적절하게 보안 처리합니다. 4. Splunk Enterprise 다운로드 페이지에서 시스템에 적합한 설치 패키지를 다운로드합니다. 5. 운영 체제에 적합한 단계별 설치 지침에 따라 설치 작업을 수행합니다. 6. Splunk Enterprise를 처음 설치하는 사용자는 Splunk 검색 튜토리얼을 읽고 Splunk에 데이터를 인덱싱하고 해당 데이터 를 Splunk Enterprise 검색 언어를 사용하여 검색하는 방법에 대해 알아보는 것이 좋습니다. 7. Splunk Enterprise를 설치한 후에는 데이터 인덱싱에 필요한 공간을 계산할 수 있습니다. 자세한 내용은 "저장소 요구 사 항 평가"를 참조하십시오. 8. Splunk Enterprise를 운영 중인 환경에서 실행할 계획이고 해당 환경의 하드웨어 요구 사항을 확인하려면 용량 계획 매뉴 4

일부 기능을 변경 또는 비활성화한 Splunk Enterprise 전체 인스턴스인 Splunk 헤비 및 라이트 포워더와 달리 유니버설 포워더는 별도의 설치 절차가 있는 완전히 독립 된 실행 파일입니다. 포워더에 대한 소개는 "포워딩 및 수신에 대하여"를 참조하십시오.

5 얼을 참조하십시오. Splunk Enterprise 인스턴스 업그레이드 또는 마이그레이션 이전 Splunk Enterprise 버전에서 업그레이드하는 경우에는 이 매뉴얼의 "Splunk Enterprise 업그레이드 방법"에서 관련 내 용과 특정 지침을 참조하십시오. 특정 버전에서 다른 버전으로의 마이그레이션에 대한 팁은 업그레이드 대상 버전의 "먼저 읽을 내용" 항목을 참조하십시오. 이 항목은 이 매뉴얼의 "Splunk Enterprise 업그레이드 또는 마이그레이션" 장에 있습니다. Splunk Enterprise 인스턴스를 한 시스템에서 다른 시스템으로 이동하는 방법에 대해 알아보려면 이 매뉴얼의 "Splunk 인스 턴스 마이그레이션"을 참조하십시오. 시스템 요구 사항 Splunk Enterprise를 다운로드하고 설치하기 전에 이 항목을 읽고 Splunk에서 어떤 컴퓨팅 환경을 지원하는지 알아보십시 오. 최신 다운로드 버전은 다운로드 페이지를 참조하십시오. 알려진 문제나 해결된 문제에 대한 자세한 내용은 릴리스 노트 를 참조하십시오. 하드웨어 배포 계획에 대한 설명은 새 용량 계획 매뉴얼을 참조하십시오. 향후 릴리스에 추가할 새로운 기능에 대한 아이디어 또는 요청 사항은 Splunk Support에 알려주십시오. Splunk 제품 로드맵 도 살펴보실 수 있습니다. 지원되는 서버 하드웨어 아키텍처 Splunk는 일부 플랫폼에서 32비트 및 64비트 아키텍처에 대한 지원을 제공합니다. 자세한 내용은 다운로드 페이지를 참조 하십시오. 지원되는 OS 중요: 시스템 요구 사항을 조사할 때는 아래 테이블을 주의 깊게 읽으십시오. Splunk를 사용할 수 있는 시스템 요구 사항이 이전 버전에서 크게 변경되었습니다. 아래 테이블에는 Splunk를 사용할 수 있는 컴퓨팅 플랫폼이 나열되어 있습니다. 첫 번째 테이블에는 *nix 운영 체제에 대한 가용성이 나열되고, 두 번째 테이블에는 Windows 운영 체제에 대한 가용성이 나열됩니다. Splunk가 해당 플랫폼에서 사용 가능한지 확인하려면 1. Splunk를 설치할 운영 체제를 왼쪽 컬럼에서 찾습니다. 2. 그런 다음 중간 컬럼에서 사용자의 환경에 가장 가까운 적절한 컴퓨팅 아키텍처를 찾습니다. 테이블에서 Splunk Enterprise/평가판과 Splunk 유니버설 포워더라는 두 가지 Splunk 유형의 사용 가능 여부가 오른쪽 컬럼 2개에 표시되어 있습니다. 컴퓨팅 플랫폼과 원하는 Splunk 유형이 교차하는 칸에 'âœ ' 표가 있으면 Splunk를 해당 플 랫폼에서 사용할 수 있음을 의미합니다. 빈 칸은 Splunk를 해당 플랫폼에서 사용할 수 없음을 의미합니다. Splunk를 사용할 수 없는 플랫폼 또는 아키텍처는 나열되지 않습니다. 일부 란에는 'âœ ' 대신 다른 문자가 있습니다. 추가 문자가 의미하는 내용을 알아보려면 각 테이블의 하단을 참조하십시오. Unix 운영 체제 운영 체제 아키텍처 Enterprise Free 평가판 유니버설 포워더 x86(64비트) Solaris 10 및 11* SPARC x86(32비트) * * * * Linux 2.6+ Linux 3.0+ x86(64비트) x86(32비트) x86(64비트) x86(32비트) PowerLinux 2.6+ PowerPC zlinux, 2.6+ s390x FreeBSD 7** x86(32비트) 5

Splunk Enterprise 인스턴스를 한 시스템에서 다른 시스템으로 이동하는 방법에 대해 알아보려면 이 매뉴얼의 "Splunk 인스 턴스 마이그레이션"을 참조하십시오. 시스템 요구 사항 Splunk Enterprise를 다운로드하고 설치하기 전에 이 항목을 읽고 Splunk에서 어떤 컴퓨팅 환경을 지원하는지 알아보십시 오.

6 FreeBSD 8 x86(64비트) x86(32비트) FreeBSD 9 x86(64비트) Mac OS X 10.8 및 10.9 Intel AIX 6.1 및 7.1 PowerPC v HP/UX 11i v2 및 11i v3 Itanium * Splunk가 사용 가능하고 Solaris 10에서 지원됩니다. Solaris 11은 32비트 Splunk 설치를 지원하지 않습니다. ** 아래 FreeBSD 7 호환성에 대한 중요한 참고 사항을 읽어보십시오. HP/UX 설치 아카이브의 압축을 풀려면 gnu tar을 사용해야 합니다. Windows 운영 체제 아래 테이블에는 Splunk를 사용할 수 있는 Windows 컴퓨팅 플랫폼이 나열되어 있습니다. 운영 체제 아키텍처 Enterprise Free 평가판 유니버설 포워더 Windows Server 2003 및 Server 2003 R2 x86(64비트) x86(32비트) Windows Server 2008 Windows Server 2008 R2, Server 2012 및 Server 2012 R2 Windows 7 Windows 8 Windows 8.1 x86(64비트) x86(32비트) *** *** *** x86(64비트) x86(64비트) x86(32비트) *** *** x86(64비트) x86(32비트) *** *** x86(64비트) x86(32비트) *** *** *** 이 Splunk 버전은 해당 플랫폼 및 아키텍처에서 사용 가능하고 지원되지만 권장되지 않습니다. 운영 체제 참고 사항 및 추가 정보 Windows Windows에서 Splunk의 특정 부분을 올바르게 사용할 수 있으려면 고급 사용자 권한이 필요합니다. 필요한 사항에 대한 자 세한 내용은 다음 항목을 참조하십시오. 이 매뉴얼의 "Splunk 아키텍처 및 프로세스" 이 매뉴얼의 "Splunk 실행 사용자 선택" 데이터 가져오기 매뉴얼의 "원격 Windows 데이터 모니터링 방법을 결정할 때 고려할 사항" FreeBSD 7.x Splunk 6.x를 32비트 FreeBSD 7.x에서 실행하려면 compat6x 라이브러리를 설치하십시오. Splunk Support는 FreeBSD 7.x 에서 Splunk를 실행하는 사용자를 지원하기 위해 "최선의 노력"을 기울입니다. 자세한 내용은 커뮤니티 위키에서 "FreeBSD 7에 Splunk 설치"를 참조하십시오. 지원이 중단된 운영 체제 및 기능 Splunk 제품 버전이 계속 업그레이드되므로 당사에서는 이전 운영 체제에 대한 지원을 점진적으로 중단하고 있습니다. 지원 이 중단되었거나 완전히 제거된 플랫폼 및 기능에 대한 내용은 릴리스 노트의 "지원이 중단된 기능"을 참조하십시오. 6

운영 체제 아키텍처 Enterprise Free 평가판 유니버설 포워더 Windows Server 2003 및 Server 2003 R2 x86(64비트) x86(32비트) Windows Server 2008 Windows Server 2008 R2, Server 2012 및 Server 2012 R2 Windows 7 Windows 8 Windows 8.

7 비 UTF-8 운영 체제에서 설정 파일 만들기 및 편집 Splunk는 ASCII 또는 UTF-8(Universal Character Set Transformation Format-8-bit) 형식의 설정 파일을 지원합니다. UTF- 8 문자 집합 인코딩을 사용하지 않은 OS에서 설정 파일을 편집하거나 만들 경우에는 사용 중인 편집기가 ASCII/UTF-8 형식 으로 저장하도록 설정되었는지 확인해야 합니다. IPv6 플랫폼 지원 다음을 제외하고, 모든 Splunk 지원 OS 플랫폼은 IPv6 설정과 함께 사용할 수 있습니다. AIX PA-RISC 아키텍처에 설치된 HP/UX Solaris 9 Splunk IPv6 지원에 대한 자세한 내용은 관리자 매뉴얼의 "IPv6용 Splunk 설정"을 참조하십시오. 지원 브라우저 Splunk Enterprise는 다음 브라우저를 지원합니다. Firefox ESR(24.2) 이상 Internet Explorer 9, 10 및 11 Safari(최신 버전) Chrome(최신 버전) JSChart 모듈에서 지원되지 않는 옵션을 사용하는 차트를 렌더링하려면 Adobe Flash의 최신 버전이 설치되었는지도 확인 해야 합니다. 이 항목에 대한 자세한 내용은 Splunk 데이터 시각화 매뉴얼의 "JSChart에 대하여"를 참조하십시오. 권장 하드웨어 Splunk Enterprise는 고성능 애플리케이션입니다. 운영 배포용 Splunk에 대한 종합 평가를 실시하는 경우에는 해당 운영 중 인 환경에 일반적인 하드웨어를 사용하는 것이 좋습니다. 이 하드웨어는 아래 권장 하드웨어 용량 사양을 충족하거나 초과해 야 합니다. 운영 배포용 하드웨어 계획에 대한 설명은 용량 계획 매뉴얼의 "Splunk Enterprise를 위한 용량 계획 소개"를 참조하십시 오. Splunk와 가상 머신 Splunk Enterprise를 가상 머신(VM)에서 실행하면 플랫폼에 관계없이 성능이 저하됩니다. 그 이유는 가상화가 시스템의 하 드웨어를 시스템에서 정의된 VM이 필요에 따라 가져오는 리소스 풀로 추출하는 방식으로 작동하기 때문입니다. Splunk Enterprise는 인덱싱 작업을 위해 특히 디스크 I/O를 비롯한 여러 리소스에 계속 액세스할 수 있어야 합니다. Splunk를 VM에 서 실행하거나 다른 VM과 나란히 실행하면 인덱싱 및 검색 성능이 저하될 수 있습니다. 권장 및 최소 하드웨어 용량 플랫폼 권장 하드웨어 용량/설정 최소 지원되는 하드웨어 용량 Windows가 아닌 플랫폼 Windows 플 랫폼 2x 6코어, 2+ GHz CPU, 12GB RAM, RAID(Redundant Array of Independent Disks) 0 또는 1+0, 64비트 OS 설치 2x 6코어, 2+ GHz CPU, 12GB RAM, RAID 0 또는 1+0, 64비트 OS 설치 1x1.4GHz CPU, 1GB RAM Intel Nehalem CPU 또는 2GHz의 동등 기종, 2GB RAM 참고: RAID 0 설정은 내결함성을 지원하지 않습니다. RAID 0으로 설정된 시스템에 Splunk 인덱서를 배포하기 전에 RAID 0 설정이 필요한 데이터 신뢰성 수준을 충족하는지 확인하십시오. 유니버설 포워더 및 라이트 포워더 인스턴스를 제외한 모든 설정에는 최소한 권장 하드웨어 설정이 필요합니다. 최소 지원 하드웨어 지침은 개인이 Splunk를 사용하는 경우를 기준으로 정해졌습니다. 운영 중인 환경에서 Splunk를 사용하기 위한 요구 사항은 훨씬 더 높습니다. 중요: 포워더를 포함한 모든 설치에는 모든 인덱스에 필요한 공간 외에도 5GB 이상의 사용 가능한 하드 디스크 공간이 필요 합니다. 자세한 내용은 이 매뉴얼의 "저장소 요구 사항 평가"를 참조하십시오. 유니버설 포워더 및 라이트 포워더 하드웨어 요구 사항 권장 최소 듀얼코어 1.5GHz+ 프로세서, 1GB+ RAM 1.0Ghz 프로세서, 512MB RAM 지원되는 파일 시스템 플랫폼 파일 시스템 7

AIX PA-RISC 아키텍처에 설치된 HP/UX Solaris 9 Splunk IPv6 지원에 대한 자세한 내용은 관리자 매뉴얼의 "IPv6용 Splunk 설정"을 참조하십시오. 지원 브라우저 Splunk Enterprise는 다음 브라우저를 지원합니다. Firefox ESR(24.

8 Linux ext2/3/4, reiser3, XFS, NFS 3/4 Solaris UFS, ZFS, VXFS, NFS 3/4 FreeBSD FFS, UFS, NFS 3/4, ZFS Mac OS X HFS, NFS 3/4 AIX JFS, JFS2, NFS 3/4 HP-UX VXFS, NFS 3/4 Windows NTFS, FAT32 참고: 위에 나열되지 않은 파일 시스템에서 Splunk Enterprise를 실행할 경우, Splunk가 locktest 시작 유틸리티를 실행하여 파일 시스템이 Splunk 실행에 적합한지 테스트할 수 있습니다. Locktest 는 시작 프로세스를 테스트하는 프로그램입니다. locktest가 실행된 후 실패하면 파일 시스템이 Splunk 실행에 적합하지 않은 것입니다. *nix 시스템에서 파일 설명자(FD) 제한에 대해 고려할 사항 Splunk Enterprise는 *nix 시스템에서 활성 모니터링 파일, 포워더 연결, 배포 클라이언트, 검색 실행 사용자 등에 대한 파일 설명자를 할당합니다. 일반적으로 기본 파일 설명자 제한(*nix 기반 OS에서 ulimit -n 명령어로 제어)은 1024입니다. Splunk 관리자가 올바른 수 준을 결정해야 하지만 최소 8192여야 합니다. Splunk가 위의 각 작업마다 단일 파일 설명자를 할당하는 경우에도 모니터링 되는 수백 개의 파일, 데이터를 전송하는 수백 개의 포워더, 데이터 저장소에서 읽고 쓰는 작업을 자주 하는 소수의 사용자가 기본 설정을 어떻게 쉽게 사용할 수 있는지 간단하게 확인할 수 있습니다. Splunk Enterprise 인스턴스에서 수행하는 작업이 많을수록 FD가 더 많이 필요하므로, 낮은 FD 제한 때문에 인스턴스에 문 제가 발생하기 시작하면 ulimit 값을 높여야 합니다. 자세한 내용은 문제 해결 매뉴얼에서 ulimit에 대한 내용을 참조하십시오. 이 고려 사항은 Windows 기반 시스템에 해당되지 않습니다. 네트워크 파일 시스템(NFS)에 대한 고려 사항 Splunk 인덱싱 저장 매체로 네트워크 파일 시스템(NFS)을 사용할 경우에는 파일 수준 스토리지가 미치는 영향을 모두 고려 하는 것이 중요합니다. 데이터 인덱싱에 파일 수준 스토리지 대신 블록 수준 스토리지를 사용하는 것이 좋습니다. 환경에 신뢰할 수 있고 대기 시간이 짧은 초고속 링크가 있거나, 고가용성 클러스터 네트워크 스토리지를 제공하는 공급업체 를 사용한다면 NFS가 적절한 선택이 될 수 있습니다. 그러나 이 전략을 선택할 계획인 고객은 하드웨어 공급업체와 긴밀히 협력하여 선택한 스토리지 플랫폼이 성능과 데이터 무결성이라는 관점에서 모두 원하는 사양을 충족하는지 확인해야 합니 다. NFS를 사용하기로 할 경우에는 다음과 같은 단점에 주의하십시오. Splunk Enterprise는 "소프트" NFS 마운트(마운트에서 파일 작업을 시도하는 프로그램이 장애 발생 시 오류를 보고한 후에 작업을 계속하도록 하는 마운트)를 지원하지 않습니다. Splunk에서는 클라이언트가 장애 발생 시 서버 연결을 계속 시도하는 마운트인 "하드" NFS 마운트만 안정적으로 사 용할 수 있습니다. 속성 캐싱을 비활성화하지 마십시오. 속성 캐싱을 비활성화하거나 줄여야 하는 다른 애플리케이션이 있는 경우에는 속 성 캐싱이 활성화된 별도의 마운트를 Splunk에 제공해야 합니다. NFS 마운트를 WAN(광역 네트워크)에서 사용하지 마십시오. 성능 문제가 발생하고 데이터 손실로 이어질 수 있습니 다. SSD(solid state drive) 관련 고려 사항 SSD(solid state drive)를 블룸 필터와 함께 사용하면 "희귀" 검색(대량의 데이터에 대해 소수의 결과를 요청하는 검색) 시 기 존 하드 드라이브에 비해 Splunk의 성능이 크게 향상될 수 있습니다. 동시 검색 시에도 성능이 전반적으로 향상될 수 있습니 다. CIFS(Common Internet File System)/SMB(Server Message Block) 관련 고려 사항 Splunk Enterprise는 CIFS/SMB 프로토콜을 데이터 저장 매체로 사용할 수 있도록 지원합니다. CIFS 리소스를 저장에 사용 할 경우 파일 및 공유 수준 모두에서 리소스에 연결할 수 있는 쓰기 권한을 사용자에게 제공하도록 리소스를 설정해야 합니 다. 타사 저장 장치를 사용할 경우 Splunk Enterprise 인스턴스가 클라이언트로 실행되는 구현과 CIFS 구현이 호환 가능한 지 확인합니다. 데이터를 매핑된 네트워크 드라이브(예: 외부 공유에 매핑된 "Y:\")에 인덱싱하려고 시도하지 마십시오. Splunk Enterprise 에서는 비물리적 드라이브 문자와 충돌하는 모든 인덱스를 비활성화합니다. Splunk Enterprise 아키텍처와 프로세스 8

*nix 시스템에서 파일 설명자(FD) 제한에 대해 고려할 사항 Splunk Enterprise는 *nix 시스템에서 활성 모니터링 파일, 포워더 연결, 배포 클라이언트, 검색 실행 사용자 등에 대한 파일 설명자를 할당합니다. 일반적으로 기본 파일 설명자 제한(*nix 기반 OS에서 ulimit -n 명령어로 제어)은 1024입니다.

9 이 항목에서는 Splunk Enterprise의 내부 아키텍처와 프로세스에 대해 개괄적으로 설명합니다. Splunk에서 사용되는 타사 구성 요소에 대한 내용은 릴리스 노트의 credits 부분을 참조하십시오. 프로세스 Splunk Enterprise 서버는 호스트에 splunkd 프로세스를 설치합니다. splunkd 는 스트리밍 IT 데이터를 액세스 및 처리하고 인덱싱하는 분산 C/C++ 서버로, 검색 요청도 처리합니다. splunkd 는 데이터를 프로세서로 구성된 일련의 파이프라인을 통해 스트리밍하여 처리하고 인덱싱합니다. 파이프라인은 각각 하나의 XML 조각으로 설정된 splunkd 프로세스에 있는 단일 스레드입니다. 프로세서는 재사용 가능한 개별적인 C 또는 C++ 함수로, 파이프라인을 통과하는 IT 데이터 스트림에 작용합니 다. 파이프라인은 대기열을 통해 서로 데이터를 전달할 수 있습니다. splunkd 는 결과를 검색 및 조회하는 데 명 령줄 인터페이스를 지원합니다. 버전 6.2부터는 splunkd에서 Splunk Web 사용자 인터페이스도 제공합니다. 이를 통해 사용자는 Splunk 서버에 의해 저장된 데이터를 검색 및 탐색하고 웹 인터페이스를 사용하여 Splunk 배포를 관리할 수 있습니다. 또한 REST(REpresentational State Transfer)를 통해 웹 브라우저와 통신합니다. splunkd 는 SSL/HTTPS가 기본적으로 켜져 있는 포트 8089에서 웹 서버를 실행합니다. 또한 SSL/HTTPS가 기본적으로 꺼져 있는 포트 8000에서도 웹 서버를 실행합니다. splunkweb 은 이제 Windows에만 레거시 전용으로 설치됩니다. 6.2 이전 버전에서는 Splunk용 웹 인터페이스를 제공 했습니다. splunkweb은 이제 설치 및 실행되지만 즉시 종료됩니다. 설정 매개 변수를 변경하여 "기존 모드"에서 실행 되도록 설정할 수 있습니다. Windows 시스템에서 splunkweb.exe는 Splunk가 pythonservice.exe의 이름을 바꾼 타사의 오픈 소스 실행 파일입니다. 이름 을 바꾼 파일이기 때문에 이 파일에는 다른 Splunk for Windows 바이너리와 동일한 파일 버전 정보가 포함되어 있지 않습니 다. Splunk와 함께 배포되는 다른 Windows 타사 바이너리에 대한 정보를 읽으십시오. Splunk Enterprise와 Windows 안전 모드 splunkd, splunkweb 및 SplunkForwarder 서비스는 모두 Windows가 안전 모드일 때 시작되지 않습니다. 또한 안전 모드일 때 시작 메뉴에서 Splunk를 시작하려고 하면 서비스가 실행 중이 아니라는 경고가 표시되지 않습니다. Windows에 설치된 Splunk Enterprise의 추가 프로세스 Splunk의 Windows 인스턴스에는 위에서 설명한 두 가지 서비스 외에 사용자가 Splunk 인스턴스 관련 데이터 입력을 만들 때 Splunk에서 사용하는 추가적인 프로세스가 있습니다. 이런 입력은 특정 Windows 관련 데이터 입력 유형에 의해 설정되 었을 때 실행됩니다. splunk.exe splunk.exe 는 Splunk의 Windows 버전에서 사용되는 제어 애플리케이션입니다. 이 애플리케이션은 프로그램의 명령줄 인 터페이스(CLI)를 제공하며, *nix splunk 프로그램과 비슷한 방법으로 Splunk를 시작 및 중지하고 설정하기 위해 사용할 수 있 습니다. 중요: splunk.exe 는 splunkd 및 splunkweb 프로세스를 제어하는 방법으로 인해 elevated 컨텍스트가 있어야만 실행할 수 있 습니다. Windows 시스템에서 이 실행 파일에 적절한 권한이 부여되지 않으면 Splunk가 올바르게 작동하지 않을 수 있습니 다. Splunk를 Local System 사용자로 설치하면 이 문제가 발생하지 않습니다. splunk-admon splunk-admon.exe 은 Active Directory(AD) 모니터링 입력을 설정할 때마다 splunkd에 의해 생성됩니다. splunk-admon의 목적 은 가장 가까운 사용 가능한 AD 도메인 컨트롤러에 연결하고 AD에 의해 생성된 변경 이벤트를 수집하는 것입니다. 그러면 Splunk가 해당 이벤트를 원하는 인덱스에 저장합니다. splunk-perfmon splunk-perfmon.exe 은 로컬 컴퓨터의 성능 데이터를 모니터링하도록 Splunk를 설정할 때 실행됩니다. 이 서비스는 시스템의 성능 라이브러리를 쿼리하고 성능 메트릭을 순간적으로, 그리고 일정 기간에 걸쳐 추출하는 성능 데이터 도우미 라이브러리 에 연결됩니다. splunk-netmon splunk-netmon 은 로컬 컴퓨터의 Windows 네트워크 정보를 모니터링하도록 Splunk를 설정할 때 실행됩니다. splunk-regmon splunk-regmon.exe 은 Splunk에서 레지스트리 모니터링 입력을 설정할 때 실행됩니다. 이 입력은 (필요할 경우) 처음에 레지 스트리의 현재 상태를 기준으로 기록한 후 일정 기간 동안 레지스트리에 대한 변경 사항을 모니터링합니다. 해당 변경 사항 은 검색 가능한 이벤트로 Splunk에 다시 반환됩니다. splunk-winevtlog 9

프로세서는 재사용 가능한 개별적인 C 또는 C++ 함수로, 파이프라인을 통과하는 IT 데이터 스트림에 작용합니 다. 파이프라인은 대기열을 통해 서로 데이터를 전달할 수 있습니다. splunkd 는 결과를 검색 및 조회하는 데 명 령줄 인터페이스를 지원합니다. 버전 6.2부터는 splunkd에서 Splunk Web 사용자 인터페이스도 제공합니다.

10 이 유틸리티는 정의된 이벤트 로그 모음을 테스트하기 위해 사용할 수 있으며, 조사할 이벤트를 수집하는 동시에 출력합니 다. Splunk에는 엔진에 내장된 Windows 이벤트 로그 입력 프로세서가 있습니다. splunk-winhostmon splunk-winhostmon 은 Splunk에서 Windows 호스트 모니터링 입력을 설정할 때 실행됩니다. 이 입력은 Windows 호스트에 대한 자세한 정보를 가져옵니다. splunk-winprintmon splunk-winprintmon 은 Splunk에서 Windows 인쇄 모니터링 입력을 설정할 때 실행됩니다. 이 입력은 로컬 시스템의 Windows 프린터 및 인쇄 작업에 대한 자세한 정보를 가져옵니다. splunk-wmi 성능 모니터링, 이벤트 로그 또는 기타 입력을 원격 컴퓨터에 대해 설정하면 이 프로그램이 시작됩니다. 입력을 설정하는 방 법에 따라 이 프로그램은 전송되는 Windows 이벤트 로그에 연결하고 읽으려고 하거나 지정된 원격 컴퓨터의 Windows Management Instrumentation(WMI) 공급자에 대해 WQL(Windows Query Language) 쿼리를 실행합니다. 그러면 Splunk 가 이벤트를 저장합니다. 아키텍처 도표 Splunk Enterprise와 함께 배포되는 Windows 타사 바이너리에 대한 정보 이 항목에서는 Splunk Enterprise와 Splunk 유니버설 포워더 패키지에 포함된 타사 Windows 바이너리에 대한 추가 정보를 제공합니다. Splunk의 유니버설 포워더에 대한 자세한 내용은 데이터 포워딩 매뉴얼의 "유니버설 포워더 배포"를 참조하십시오. Splunk Enterprise와 함께 포함된 타사 Windows 바이너리 Splunk Enterprise는 다음과 같은 타사 Windows 바이너리와 함께 제공됩니다. 달리 명시된 경우를 제외하고, 해당 바이너리 는 Splunk Enterprise 제품에만 포함되어 있습니다. 각 바이너리는 개별 설명에 있는 기능을 Splunk Enterprise에 제공합니다. 이 중 파일 버전 정보나 인증코드 서명(바이너리 파일의 신뢰성을 증명하는 인증서)이 포함된 바이너리는 없습니다. 또한 Splunk는 타사 모듈과 관련된 디버그 기호를 지원하 지 않습니다. 참고: Splunk Enterprise와 함께 제공되는 타사 바이너리, 앱 및 스크립트만 Certified for Windows Server 2008 R2(CFW2008R2) Windows Logo 준수 테스트를 거쳤습니다. Splunk 기능을 확장하는 과정에서 인터넷에서 다운로드한 것 과 같은 기타 모든 바이너리, 앱 또는 스크립트는 이 테스트를 거치지 않았습니다. Archive.dll Libarchive.dll은 다중 형식 아카이브 및 압축 라이브러리입니다. Splunk Enterprise와 Splunk 유니버설 포워더에는 모두 이 라이브러리가 포함되어 있습니다. Bzip2.exe Bzip2는 무료로 제공되는 무특허(아래 참조) 고품질 데이터 압축기입니다. 이 압축기는 일반적으로 사용 가능한 최고 기술 (PPM 계열의 통계 압축기)에 10% ~ 15%에 가까운 수준으로 파일을 압축하는 한편, 압축 속도는 약 2배 정도 더 빠르고 압 10

splunk-wmi 성능 모니터링, 이벤트 로그 또는 기타 입력을 원격 컴퓨터에 대해 설정하면 이 프로그램이 시작됩니다.

11 축 해제 속도는 6배 더 빠릅니다. Jsmin.exe Jsmin.exe는 JavaScript 파일에서 공백과 주석을 제거하여 크기를 줄이는 실행 파일입니다. Libexslt.dll Libexslt.dll은 (GNOME 프로젝트의 일부인) libxslt용으로 개발된 EXSLT(Extensible Stylesheet Language Transformation) 동적 링크 C 라이브러리입니다. Splunk Enterprise와 Splunk 유니버설 포워더에는 모두 이 라이브러리가 포함되어 있습니다. Libxml2.dll Libxml2.dll은 GNOME 프로젝트용으로 개발되었지만 GNOME 플랫폼 밖에서도 사용 가능한 XML(Extensible Markup Language) C 파서 및 툴킷입니다. Splunk Enterprise와 Splunk 유니버설 포워더에는 모두 이 라이브러리가 포함되어 있습니다. Libxslt.dll Libxslt.dll은 GNOME 프로젝트용으로 개발된 XSLT(XML Stylesheet Language for Transformations) 동적 링크 C 라이브 러리입니다. XSLT 자체는 XML의 변환을 정의하는 XML 언어입니다. Libxslt는 GNOME 프로젝트용으로 개발된 XML C 라 이브러리인 libxml2에 기반을 두고 있습니다. 또한 Libxslt는 대부분의 EXSLT 프로세서 이식 확장 기능 집합과 Saxon의 일 부 평가 및 식 확장도 구현합니다. Splunk Enterprise와 Splunk 유니버설 포워더에는 모두 이 라이브러리가 포함되어 있습니다. Minigzip.exe Minigzip.exe는 â gzipâ 압축 도구의 최소 구현 파일입니다. Openssl.exe OpenSSL 프로젝트는 SSL(Secure Sockets Layer) v2/v3 및 TLS(Transport Layer Security) v1 프로토콜과 전체 범용 암 호화 라이브러리를 구현하는 상용 등급의 강력한 모든 기능을 갖춘 오픈 소스 툴킷을 개발하기 위한 협력 작업입니다. Splunk Enterprise와 Splunk 유니버설 포워더에는 모두 이 라이브러리가 포함되어 있습니다. Python.exe Python.exe는 Windows용 Python 프로그래밍 언어 라이브러리입니다. Pythoncom.dll Pythoncom.dll은 Python용 OLE(Object Linking and Embedding) 자동화 API가 포함된 모듈입니다. Pywintypes27.dll Pywintypes27.dll은 Python 2.7 버전용 Windows 유형이 포함된 모듈입니다. 단계별 설치 방법 이제 Splunk Enterprise가 무엇이고 Splunk Enterprise를 설치하기 위해 무엇이 필요한지 알았으므로 사용 중인 운영 체제 에 해당되는 자세한 설치 절차를 확인할 수 있습니다. Windows Windows(명령줄 사용) Linux Solaris Mac OS X FreeBSD AIX HP-UX Splunk Enterprise 설치 보안 Splunk Enterprise 보안에 대하여 11

dll은 GNOME 프로젝트용으로 개발되었지만 GNOME 플랫폼 밖에서도 사용 가능한 XML(Extensible Markup Language) C 파서 및 툴킷입니다. Splunk Enterprise와 Splunk 유니버설 포워더에는 모두 이 라이브러리가 포함되어 있습니다. Libxslt.dll Libxslt.

12 새로 설치했거나 업그레이드한 Splunk Enterprise를 설정하고 사용하기 시작한 후에는 즉시 Splunk Enterprise와 데이터의 보안을 보장하기 위한 몇 가지 추가적인 단계를 이행해야 합니다. Splunk Enterprise를 보호하기 위한 적절한 조치를 취하면 공격을 당할 가능성이 줄어들고 대부분의 취약점으로 인한 위험과 영향이 완화됩니다. 이 장에서는 설치 전이나 후 또는 설치 중에 Splunk Enterprise를 보안할 수 있는 몇 가지 방법을 강조합니다. Splunk Enterprise 보안 매뉴얼에는 Splunk Enterprise의 보안을 강화하는 여러 방법에 대한 자세한 내용이 나와 있습니다. Splunk Enterprise를 설치하기 전에 시스템 보안 Splunk Enterprise를 설치하기 전에라도 운영 체제가 보안되도록 일부 단계를 수행합니다. 모든 Splunk 서버 운영 체제를 강 화하는 절차를 수행하는 것이 좋습니다. 현재 내부적으로 사용하는 운영 체제 강화 표준이 마련되어 있지 않은 경우에는 CIS 강화 벤치마크를 사용하는 것이 좋습니다. 최소한 셸/명령줄의 Splunk Enterprise 서버에 대한 액세스를 제한하십시오. 모든 Splunk Enterprise 서버에 대한 물리적 접근을 보안하십시오. Splunk Enterprise 최종 사용자가 물리적 보안과 endpoint 보안에 만전을 기울이도록 하십시오. Splunk Enterprise 보안 설치 Splunk를 다운로드 및 설치할 경우 다음 단계를 수행하십시오. 무결성 확인 Splunk Enterprise가 해시를 비교하기 위해 MD5(Message Digest 5) 및 SHA-512와 같은 해시 기능을 사용하여 다운로드 하는지 확인하십시오. 신뢰할 수 있는 OpenSSL 버전을 사용하십시오. 예:./openssl dgst -md5 <filename-splunk-downloaded.zip> 또는./openssl dgst -sha512 <filename-splunk-downloaded.zip> 서명 확인 다음과 같이 GnuPG 공개 키를 사용하여 다운로드한 RPM 패키지의 신뢰성을 확인할 수 있습니다. 1. GnuPG 공개 키 파일을 다운로드합니다(링크는 TLS에 있음). 2. 다음을 사용하여 키를 설치합니다. rpm --import <filename> 3. 다음을 사용하여 패키지 서명을 확인합니다. rpm -K <filename> Splunk Enterprise를 보안하는 추가 방법 Splunk Enterprise를 설치한 경우 설정을 보안하기 위한 추가 단계를 수행할 수 있습니다. 사용자 인증 및 역할 기반 액세스 제어 설정 사용자를 설정하고 역할을 사용하여 액세스를 제어하십시오. Splunk Enterprise에서는 다음 세 가지 방법으로 사용자를 설 정할 수 있습니다. 기본 인증 시스템("Splunk 기본 제공 시스템을 통한 사용자 인증 설정" 참조) LDAP("LDAP를 사용하여 사용자 인증 설정" 참조) PAM(Pluggable Authentication Module) 또는 RADIUS(Remote Access Dial-In User Server)와 같은 외부 인증 시스 템과 함께 사용하는 스크립트 기반 인증 API("외부 시스템을 사용하여 사용자 인증 설정" 참조) 사용자를 설정한 후에는 기능과 액세스 레벨을 결정하고 제어하는 역할을 할당할 수 있습니다. 역할 및 기능에 대한 자세한 내용은 "역할 기반 사용자 액세스에 대하여"를 참조하십시오. SSL 인증서를 사용하여 암호화 및 인증 설정 Splunk Enterprise에는 기본 인증서 및 키 집합이 함께 제공되며 이를 활성화하면 암호화 및 데이터 압축 기능이 제공됩니다. 인증서 및 키는 브라우저와 Splunk Web 간의 통신뿐만 아니라 인덱서와 같은 포워더에서 수신기로 전송되는 데이터를 보안 하는 경우에도 사용할 수 있습니다. SSL을 사용하여 Splunk 통신을 보안하는 자세한 내용은 이 매뉴얼의 "SSL을 사용한 Splunk 보안에 대하여"를 참조하십시 오. 12

Splunk Enterprise를 설치하기 전에 시스템 보안 Splunk Enterprise를 설치하기 전에라도 운영 체제가 보안되도록 일부 단계를 수행합니다. 모든 Splunk 서버 운영 체제를 강 화하는 절차를 수행하는 것이 좋습니다.

13 Splunk Enterprise 감사(Audit) Splunk Enterprise에는 데이터의 신뢰성을 추적할 수 있는 감사(audit) 기능이 포함되어 있습니다. Splunk Enterprise를 감 사(audit)할 수 있는 다음 방법 중 일부를 탐색해 보십시오. 파일 및 디렉터리 모니터링 Splunk 작업 감사(Audit) 감사(audit) 이벤트 암호화 서명 아카이브 서명에 대하여 Splunk Enterprise 설치 강화 Splunk Enterprise 설치를 강화하려면 다음 단계를 수행하는 것이 좋습니다. 여러 서버에 보안 암호 배포 Splunk의 액세스 제어 리스트 사용 서비스 계정 보안 불필요한 Splunk 구성 요소 비활성화 네트워크에서 Splunk 보안 Windows에 Splunk Enterprise 설치 Splunk Enterprise 실행 Windows 사용자 선택 이 항목에서는 Splunk Enterprise를 Windows에 설치할 때 Splunk Enterprise를 어떤 Windows 사용자로 실행할 것인지 선 택하기 위해 수행해야 하는 단계에 대해 설명합니다. Windows Splunk Enterprise 설치 프로그램을 실행하면 Splunk Enterprise를 어떤 사용자로 실행할지 선택할 수 있는 옵션 이 제공됩니다. 설치하기 전에 이 항목을 읽고 사용자 유형 선택이 미치는 영향을 이해하는 것이 좋습니다. 이 항목은 Splunk Enterprise를 Windows에 설치하는 경우에만 적용됩니다. Splunk Enterprise로 모니터링할 대상에 따라 사용자 선택 Splunk Enterprise를 어떤 사용자로 실행하느냐에 따라 Splunk가 모니터링할 수 있는 대상이 결정됩니다. Local System 사 용자는 로컬 컴퓨터의 모든 데이터에 액세스할 수 있지만 다른 데이터에는 액세스할 수 없습니다. Local System 이외의 다 른 사용자는 원하는 모든 데이터에 액세스할 수 있지만, Splunk Enterprise를 설치하기 전에 필요한 액세스 권한을 해당 사용 자에게 부여해야 합니다. Splunk Enterprise를 설치할 컴퓨터가 원격 Windows 데이터에 액세스하지 않는 경우 이 매뉴얼의 "Windows에 설치"로 계속하거나 명령 프롬프트를 사용하여 설치하려면 "명령줄을 통해 Windows에 설치"로 바로 넘어갈 수 있습니다. 원격 Windows 데이터에 액세스해야 하거나 잘 모를 경우에는 다음 항목을 계속 읽으십시오. 이 항목에는 Splunk Enterprise를 어떤 사용자로 설치해야 하는지에 대한 중요한 내용이 수록되어 있습니다. "Local System 사용자" 및 "기타 사용자" 선택에 대하여 기본사항 Windows Splunk Enterprise 설치 프로그램은 Splunk Enterprise를 "Local System" 사용자로 설치하거나 Windows 컴퓨터 또는 네트워크의 지정된 다른 기존 사용자로 설치할 수 있는 두 가지 방법을 제공합니다. Splunk Enterprise를 사용하여 다음과 같은 작업을 수행할 계획이면 Splunk Enterprise를 "도메인 사용자"로 설치해야 합니 다. 이벤트 로그 원격 읽기 성능 카운터 원격 수집 네트워크 공유 로그 파일 읽기 Active Directory 모니터링을 사용하여 Active Directory 스키마 열거 참고: 이 리스트는 완전하지 않습니다. 다음 조건을 최소한 충족하는 사용자를 지정해야 합니다. (AD 사용 시) 모니터링할 Active Directory 도메인 또는 포리스트의 구성원이어야 합니다. Splunk Enterprise를 설치할 서버의 로컬 Administrators 그룹의 구성원이어야 합니다. 13

여러 서버에 보안 암호 배포 Splunk의 액세스 제어 리스트 사용 서비스 계정 보안 불필요한 Splunk 구성 요소 비활성화 네트워크에서 Splunk 보안 Windows에 Splunk Enterprise 설치 Splunk Enterprise 실행 Windows 사용자 선택 이 항목에서는 Splunk Enterprise를 Windows에 설치할 때

14 Splunk를 설치하기 전에 특정 사용자 보안 권한을 할당받아야 합니다. 자세한 내용은 이 항목 뒷부분의 "최소 권한 요 구 사항"을 참조하십시오. 주의: 사용자가 해당 최소 요구 사항을 충족하지 않을 경우 Splunk Enterprise를 설치하지 못합니다. 이 경우에는 Splunk Enterprise 설치에 성공해도 Splunk Enterprise가 올바르게 실행되지 않거나 전혀 실행되지 않을 수 있습니다. 사용자에게는 특별한 암호 제약조건도 적용됩니다. 자세한 내용은 이 항목 뒷부분의 "Splunk 사용자 계정 및 암호 관련 고려 사항"을 참조하십시오. Splunk Enterprise를 어떤 사용자로 실행해야 하는지 확실하지 않으면 데이터 가져오기 매뉴얼의 "원격 Windows 데이터를 모니터링하는 방법을 결정할 때 고려할 사항"에서 Splunk 사용자를 필요한 액세스 권한과 함께 설정하는 방법에 대한 내용 을 살펴보십시오. 사용자 계정 및 암호에 대한 고려 사항 사용자 계정이 있는 Splunk Enterprise를 설치할 때는 시행 중인 모든 암호 적용 보안 정책에 의해 암호의 유효성이 결정된다 는 또 다른 중요한 문제를 고려해야 합니다. Windows 서버 또는 네트워크에서 암호를 변경할 경우에는 다음과 같은 사항을 고려해야 합니다. 암호의 유효 기간이 만료되기 전에 암호를 변경하고 모든 컴퓨터에서 변경된 암호를 사용하도록 Splunk Enterprise 서 비스의 설정을 변경한 후 Splunk Enterprise를 재시작합니다. 암호가 만료되지 않도록 계정을 설정합니다. 관리 서비스 계정을 사용합니다(이 항목 뒷부분의 "Windows Server 2008, Server 2012 및 Windows 7에서 관리 서 비스 계정 사용" 참조). Windows Server 2008, Windows Server 2012, Windows 7 및 Windows 8.x에서 관리 서비스 계정 사용 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 7 또는 Windows 8.x를 Active Directory에서 실행하고 AD 도메인에 Windows Server 2008 R2 또는 Server 2012 도메인 컨트롤 러가 하나 이상 있을 경우에는 Splunk Enterprise가 관리 서비스 계정(MSA)으로 실행되도록 설치할 수 있습니다. MSA를 사용할 경우 다음과 같은 중요한 장점이 있습니다. 서비스용 계정이 분리되어 보안이 강화됩니다. 관리자가 더 이상 자격 증명을 관리하거나 계정을 관리할 필요가 없습니다. 즉, 암호가 만료된 후에 자동으로 변경되고 수동으로 해당 계정과 관련된 암호를 설정하거나 서비스를 재시작하지 않아도 됨을 의미합니다. 관리자는 해당 계정의 관리를 관리자가 아닌 사용자에게 위임할 수 있습니다. MSA를 사용하여 Splunk를 설치하기 전에 알고 있어야 하는 중요한 사항은 다음과 같습니다. MSA에는 Splunk Enterprise를 실행하는 컴퓨터의 도메인 계정과 동일한 권한이 필요합니다. MSA는 Splunk Enterprise를 실행하는 컴퓨터의 로컬 관리자여야 합니다. 동일한 계정을 도메인 계정처럼 서로 다른 컴퓨터에서 사용할 수 없습니다. Splunk Enterprise를 컴퓨터에 설치하기 전에 Splunk Enterprise를 실행하는 컴퓨터에서 MSA를 올바르게 설정하고 설치해야 합니다. 그 방법에 대한 내용과 설명은 MS Technet에서 "Service Accounts Step-by-Step Guide"( 참조하십시오. MSA를 사용하여 Splunk Enterprise를 설치하려면 이 매뉴얼의 "Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치 하기 위해 Windows 네트워크 준비"를 참조하십시오. 보안 및 원격 액세스 고려 사항 최소 권한 요구 사항 Splunk Enterprise를 도메인 사용자로 설치하기로 결정하면 소프트웨어를 실행하는 서버에 최소 몇 개 이상의 권한이 필요 합니다. 아래에는 도메인 사용자를 사용하여 Splunk Enterprise를 설치할 때 splunkd 및 splunkforwarder 서비스에 필요한 최소 사용 자 권한이 나열되어 있습니다. 모니터링할 데이터 원본에 따라 Splunk 사용자에게 상당히 많은 권한이 추가로 필요할 수 있 습니다. splunkd 또는 splunkforwarder 서비스에 필요한 기본 권한 Splunk Enterprise 설치 디렉터리에 대한 완전한 제어 권한 인덱싱할 모든 플랫 파일에 대한 읽기 권한 splunkd 또는 splunkforwarder 서비스에 할당해야 하는 로컬/도메인 보안 정책 사용자 권한 서비스로 로그온할 수 있는 권한 일괄 작업으로 로그온할 수 있는 권한 프로세스 수준 토큰을 바꿀 수 있는 권한 운영 체제의 일부로 작동할 수 있는 권한 트래버스 검사를 무시할 수 있는 권한 중요: 설치 전에 이런 권한을 Splunk 사용자에게 할당하지 않으면 Splunk Enterprise를 설치하지 못하거나 Splunk 14

Splunk Enterprise를 어떤 사용자로 실행해야 하는지 확실하지 않으면 데이터 가져오기 매뉴얼의 "원격 Windows 데이터를 모니터링하는 방법을 결정할 때 고려할 사항"에서 Splunk 사용자를 필요한 액세스 권한과 함께 설정하는 방법에 대한 내용 을 살펴보십시오.

15 Enterprise를 설치한 후에 제대로 작동하지 않거나 전혀 작동하지 않을 수 있습니다. 참고: Splunk Enterprise를 Local System 계정으로 실행할 때는 이런 권한이 필요하지 않습니다. 각 권한을 할당하는 방법 이 절에는 설치하기 전에 Splunk 서비스 계정에 올바른 사용자 권리 및 권한을 할당하는 방법에 대한 개념이 요약되어 있습 니다. 단계별 지침은 이 매뉴얼의 "Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비"를 참조하십시오. 그룹 정책을 사용하여 여러 컴퓨터에 권한 할당 위에서 살펴본 정책 설정을 AD 도메인 또는 포리스트의 여러 워크스테이션 및 서버에 할당하려면 해당 권한이 있는 그룹 정 책 개체(GPO)를 정의하고 해당 GPO를 전체 도메인에 배포할 수 있습니다. 특정 지침은 이 매뉴얼의 "Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비"를 참조하십시오. GPO를 만들고 활성화했으면 도메인에 속한 워크스테이션 및 서버가 예정된 다음 AD 복제 주기(일반적으로 1.5-2시간 주 기) 중이나 다음 부팅 시 변경 사항을 적용합니다. 또는 그룹 정책을 업데이트할 서버에서 GPUPDATE 명령줄 유틸리티를 사용 하여 AD를 복제할 수 있습니다. 사용자 권한을 설정할 경우 GPO에 의해 할당된 권한이 컴퓨터의 동일한 로컬 보안 정책 권한보다 우선하고 이 설정을 변경 할 수 없습니다. 컴퓨터에서 로컬 보안 정책을 통해 확실하게 정의된 기존 권한을 보존하려면 해당 권한도 GPO 내에서 할당 해야 합니다. 권한 문제 해결 위에서 설명한 권한은 splunkd 및 splunkforwarder 서비스에 특히 필요한 권한입니다. 액세스하려는 데이터 및 용도에 따라 다른 권한이 필요할 수 있습니다. 또한 사용자 권한을 많이 할당하고 기타 그룹 정책 제약 조건이 있을 경우 Splunk가 실행되 지 않을 수 있습니다. 문제가 있을 경우 Process Monitor 또는 GPRESULT와 같은 도구를 사용하여 해당 환경에서 GPO 애플리 케이션 문제를 해결해 보십시오. Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비 중요 보안 정보 이러한 단계를 수행하려면 Splunk Enterprise 작업을 위해 준비할 컴퓨터 및/또는 Active Directory 도메인에 대한 완 전한 관리 액세스 권한이 필요합니다. 해당 권한 없이 이 단계를 수행하지 마십시오. 지침에 따라 Windows 네트워크를 변경해야 합니다. Splunk Enterprise 작업에는 낮은 수준의 액세스 권한이 필요하기 때 문에 Local System 사용자가 아닌 다른 사용자로 Splunk Enterprise를 실행하기 위해서는 이렇게 변경해야 합니다. 이로 인해 심각한 보안 위험이 초래될 수 있습니다. 이러한 위험을 줄이기 위해 Splunk Enterprise를 실행하는 사용자가 인터랙티브한 방식으로 로그인하지 못하도록 차단하 고 사용자가 로그인할 수 있는 워크스테이션의 수를 제한할 수 있습니다. 지침과 함께 제공되는 보안 위험을 이해하지 못한 경우에는 지침을 수행하지 마십시오. Splunk Enterprise 또는 유니버설 포워더를 "Local System" 사용자로 설치할 계획인 경우 지침을 수행하지 마십시 오. 다음 항목에는 Splunk Enterprise를 "Local System" 사용자가 아닌 네트워크 또는 도메인 사용자로 설치할 수 있도록 Windows 네트워크를 준비하기 위해 이행해야 하는 단계가 자세히 설명되어 있습니다. 여기서 설명하는 단계는 Windows Server 2008 R2, Windows Server 2012 및 Windows Server 2012 R2에서 테스트되었 으며, 다른 Windows 버전에서는 약간 다를 수 있습니다. 또한 아래 단계에 따라 할당하는 권한은 Splunk를 성공적으로 설치하기 위해 필요한 최소 권한입니다. Splunk Enterprise가 필요한 데이터에 액세스할 수 있도록 하려면 로컬 보안 정책 또는 그룹 정책 개체(GPO) 내에서 또는 새로 만드는 사용자 및 그룹 계정에 추가 권한을 할당해야 할 수 있습니다. Splunk를 도메인 사용자로 설치하기 위해 Active Directory 준비 다음 항목에서는 Splunk Enterprise 또는 Splunk 유니버설 포워더 도메인 계정으로 설치할 수 있도록 Active Directory를 준 비하는 과정에 대해 설명합니다. Splunk Enterprise에서는 사용자 및 그룹을 만들 때 Microsoft 베스트 프랙티스( 따를 것을 권장합니다. 여기에는 일반적으로 조직 내 그룹을 위한 특정 조직 구성 단위도 같이 만들어야 합니다. 아래 설명에서는 다음 사항을 가정합니다. 사용자가 Active Directory를 실행하고 있습니다. 사용자가 설정할 AD 도메인의 도메인 관리자입니다. 15

그룹 정책을 사용하여 여러 컴퓨터에 권한 할당 위에서 살펴본 정책 설정을 AD 도메인 또는 포리스트의 여러 워크스테이션 및 서버에 할당하려면 해당 권한이 있는 그룹 정 책 개체(GPO)를 정의하고 해당 GPO를 전체 도메인에 배포할 수 있습니다.

16 Splunk Enterprise를 설치할 컴퓨터가 AD 도메인의 구성원입니다. 그룹 만들기 1. 시작 > 관리 도구 > Active Directory 사용자 및 컴퓨터를 선택하여 Active Directory 사용자 및 컴퓨터 도구를 실행합니 다. 2. 프로그램이 로드되면 Splunk 작업을 위해 준비할 도메인을 선택합니다. 3. 기존 컨테이너 폴더를 두 번 클릭하여 열거나 작업 메뉴에서 새로 만들기 > 그룹을 선택하여 새 조직 구성 단위를 만듭니 다. 4. 작업 메뉴에서 새로 만들기 > 그룹을 선택합니다. 5. 대화 상자가 나타나면 Splunk 사용자 계정을 나타내는 이름을 입력합니다(예: "Splunk Accounts"). 그룹 범위가 로컬 도메인으로 설정되고 그룹 유형이 보안으로 설정되었는지 확인합니다. 6. 확인을 클릭하여 그룹을 만듭니다. 7. 두 번째 그룹을 만들고 Splunk Enterprise 사용 컴퓨터를 나타내는 이름을 지정합니다(예: "Splunk Enabled Computers"). 이 그룹에는 Splunk Enterprise를 도메인 사용자로 실행하기 위해 필요한 권한이 할당된 컴퓨터 계정이 포함 됩니다. 그룹 범위가 로컬 도메인으로 설정되고 그룹 유형이 보안으로 설정되었는지 확인합니다. 그룹에 사용자 및 컴퓨터 할당 Splunk Enterprise를 실행하기 위해 사용할 사용자 계정을 아직 만들지 않았다면 지금 만드는 것이 좋습니다. 자체 내부 정책 이 없을 경우에는 사용자 및 그룹 만들기에 대한 Microsoft 베스트 프랙티스를 따르십시오. 사용자 계정을 만들었으면 해당 계정을 Splunk Accounts 그룹에 추가하고 Splunk Enterprise를 실행할 컴퓨터의 컴퓨터 계정을 Splunk Enabled Computers 그룹에 추가하십시오. 이 작업을 완료한 후 Active Directory 사용자 및 컴퓨터를 종료할 수 있습니다. 그룹 정책 개체(GPO) 정의 1. 시작 > 관리 도구 > 그룹 정책 관리를 선택하여 그룹 정책 관리 콘솔(GPMC)을 실행합니다. 2. 왼쪽 트리 뷰 창에서 도메인을 선택합니다. 3. 그룹 정책 개체 폴더를 클릭합니다. 4. <도메인>에 있는 그룹 정책 개체 폴더의 팝업 메뉴에서 새로 만들기를 마우스 오른쪽 단추로 클릭하고 선택합니다. 5. 새 GPO 대화 상자에서 GPO가 적용되는 서버에 사용자 권한이 할당될 것을 나타내는 이름을 입력합니다(예: "Splunk Access") 원본 스타터 GPO 필드의 설정을 "(none)"으로 유지합니다. 6. 확인을 클릭하여 GPO를 저장합니다. GPO에 권한 추가 1. GPMC에 아직 있을 때 새로 만든 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 팝업 메뉴가 나타나면 편집을 선택합 니다. 2. 그룹 정책 관리 편집기가 나타나면 왼쪽 창에서 컴퓨터 설정 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 사용 자 권한 할당으로 이동합니다. a. 오른쪽 창에서 운영 체제의 일부로 작동 항목을 두 번 클릭합니다. b. 창이 열리면 이 정책 설정 정의 체크박스를 선택합니다. c. 사용자 또는 그룹 추가를 클릭합니다.â d. 대화 상자가 열리면 찾아보기를 클릭합니다.â e. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자가 열리면 이전에 만든 "Splunk Accounts" 그룹의 이름을 입 력한 다음 이름 확인을 클릭합니다.â Windows의 경우 유효한 이름에 밑줄이 표시됩니다. 이름이 유효하지 않으면 개체를 찾을 수 없음을 알리고 개 체 이름을 다시 요청합니다. f. 확인을 클릭하여 "사용자 선택â " 대화 상자를 닫습니다. 16

그룹 범위가 로컬 도메인으로 설정되고 그룹 유형이 보안으로 설정되었는지 확인합니다. 6. 확인을 클릭하여 그룹을 만듭니다. 7. 두 번째 그룹을 만들고 Splunk Enterprise 사용 컴퓨터를 나타내는 이름을 지정합니다(예: "Splunk Enabled Computers").

17 g. 확인을 다시 클릭하여 "사용자 또는 그룹 추가" 대화 상자를 닫습니다. h. 확인을 다시 클릭하여 권한 속성 대화 상자를 닫습니다. 3. 다음과 같은 추가 권한에 대해 2a-2h 단계를 반복합니다. 트래버스 검사 무시 일괄 작업으로 로그온 서비스로 로그온 프로세스 수준 토큰 바꾸기 Administrators 그룹 구성원 자격의 서버별 변경 다음 단계에서는 서버의 Administrators 그룹 구성원을 이 GPO가 적용되는 구성원으로 제한합니다. 주의: 각 서버에서 Administrators 그룹에 대한 액세스 권한이 필요한 모든 계정을 제한된 그룹 정책 설정에 추가하십시오. 추가하지 않을 경우 이 GPO를 적용할 서버에 대해 관리 액세스 권한을 잃게 될 수 있습니다! 1. 그룹 정책 관리 편집기 창에 계속 있는 동안 왼쪽 창에서 컴퓨터 설정 -> 정책 -> Windows 설정 -> 보안 설정 -> 제한된 그 룹으로 이동합니다. a. 오른쪽 창에서 팝업 메뉴가 나타나면 그룹 추가â 를 마우스 오른쪽 단추로 클릭하고 선택합니다. b. 대화 상자가 나타나면 Administrators를 입력하고 확인을 클릭합니다. c. 속성 대화 상자가 나타나면 이 그룹 구성원 옆의 추가 단추를 클릭합니다. d.구성원 추가 대화 상자가 나타나면 찾아보기â "를 클릭합니다. e. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자가 열리면 이전에 만든 "Splunk Accounts" 그룹의 이름을 입 력한 다음 이름 확인을 클릭합니다.â Windows의 경우 유효한 이름에 밑줄이 표시됩니다. 이름이 유효하지 않으면 개체를 찾을 수 없음을 알리고 개 체 이름을 다시 요청합니다. f. 확인을 클릭하여 사용자 선택â 대화 상자를 닫습니다. g. 확인을 다시 클릭하여 "사용자 또는 그룹 추가" 대화 상자를 닫습니다. h. 확인을 다시 클릭하여 그룹 속성 대화 상자를 닫습니다. 2. 다음 추가 사용자 또는 그룹에 대해 1a-1h 단계를 반복합니다. 도메인 관리자 GPO를 적용할 모든 서버에서 Administrators 그룹의 구성원이어야 할 추가 사용자 3. 그룹 정책 관리 편집기 창을 닫아서 GPO를 저장합니다. GPO 애플리케이션을 선택된 컴퓨터로 제한 1. GPMC에 계속 있는 동안 GPMC의 왼쪽 창에서 만들고 권한을 추가한 GPO를 선택합니다(아직 선택하지 않은 경우). GPMC가 GPO에 대한 정보를 오른쪽 창에 표시합니다. 2. 오른쪽 창의 보안 필터링에서 추가를 클릭합니다.â 3. 사용자, 컴퓨터 또는 그룹 선택 대화 상자가 나타나면 "Splunk Enabled Computers"(또는 이전에 만든 Splunk 사용 컴퓨 터를 나타내는 그룹 이름)를 입력합니다. 4. 이름 확인을 클릭합니다. 그룹이 유효하면 이름에 밑줄이 표시됩니다. 그룹이 유효하지 않으면 개체를 찾을 수 없음을 알 리고 개체 이름을 다시 요청합니다. 5. 확인을 클릭하여 GPO 정보 창으로 돌아갑니다 단계를 반복하여 "Splunk Accounts" 그룹(이전에 만든 Splunk 사용자 계정을 나타내는 그룹)을 추가합니다. 7. 보안 필터링에서 인증된 사용자 항목을 클릭하여 강조 표시합니다. 8. 제거를 클릭합니다. GPO 적용 GPMC는 "Splunk Accounts"와 "Splunk Enabled Computers"만 남기고 "인증된 사용자" 항목을 "보안 필터링" 필드 에서 제거합니다. 1. GPMC에 계속 있는 동안 GPMC의 왼쪽 창에서 이전에 만든 GPO를 적용할 도메인을 선택합니다. 2. 도메인을 마우스 오른쪽 단추로 클릭하고 팝업 메뉴가 나타나면 기존 GPO 연결â 을 선택합니다. 17

주의: 각 서버에서 Administrators 그룹에 대한 액세스 권한이 필요한 모든 계정을 제한된 그룹 정책 설정에 추가하십시오. 추가하지 않을 경우 이 GPO를 적용할 서버에 대해 관리 액세스 권한을 잃게 될 수 있습니다! 1.

18 참고: GPO가 이전에 만든 OU에만 영향을 미치도록 할 경우 대신 OU를 선택하고 마우스 오른쪽 단추를 클릭하여 팝업 메뉴 를 표시합니다. 3. GPO 선택 대화 상자가 나타나면 이전에 만들고 편집한 GPO를 선택한 후 확인을 클릭합니다. GPMC가 GPO를 선택한 도메인에 적용합니다. 4. GPMC 메뉴에서 파일 > 종료를 선택하여 GPMC를 닫습니다. 참고: Active Directory는 그룹 정책이 업데이트되고 GPO가 도메인에 속한 컴퓨터에 적용되는 시기를 제어합니다. 일반적 으로 복제는 분마다 실행됩니다. Splunk를 도메인 사용자로 설치하기 전에 이 시간만큼 기다려야 합니다. 그 대신 그 룹 정책을 업데이트할 컴퓨터의 명령 프롬프트에서 GPUPDATE /FORCE를 실행하여 그룹 정책을 업데이트할 수도 있습니다. 관리 시스템 계정으로 Splunk 설치 대신 관리 시스템 계정(MSA)으로 Splunk Enterprise를 설치할 수 있습니다. 이 작업을 수행하려면 다음 단계를 수행하십시 오. 1. Windows 데이터를 모니터링하기 위해 사용할 MSA를 만들고 설정합니다. 참고: 이 항목의 앞부분에 있는 "Splunk Enterprise 서비스를 도메인 계정으로 실행하기 위해 Active Directory 준비"에 설명 된 대로 MSA에 적절한 보안 정책 권한과 그룹 구성원 자격을 할당할 수 있습니다. 2. Splunk를 명령줄에서 "Local System" 사용자로 설치합니다. 중요: Splunk Enterprise를 명령줄에서 설치하고 LAUNCHSPLUNK=0 플래그를 사용하여 설치가 완료된 후 Splunk Enterprise가 시작되지 않도록 해야 합니다. 3. 설치가 완료된 후 Windows 탐색기 또는 ICACLS 명령줄 유틸리티를 사용하여 Splunk Enterprise 설치 디렉터리와 모든 하 위 디렉터리에 대한 "모든 권한"을 MSA에 부여합니다. 참고: Splunk Enterprise 설치 디렉터리 위의 상위 디렉터리에서 NTFS 권한 상속을 끊고 해당 디렉터리와 모든 하위 디렉터 리에서 권한을 명시적으로 할당해야 할 수 있습니다. 4. 이 매뉴얼의 "Windows 설치 중에 선택한 사용자 수정" 항목에 설명된 대로 Splunk 서비스 계정의 기본 사용자를 변경합 니다. 이 경우 올바른 사용자는 Splunk Enterprise를 설치하기 전에 설정한 MSA입니다. 중요: MSA를 올바르게 사용하려면 4단계를 완료할 때 사용자 이름 끝에 달러 기호($)를 추가해야 합니다. 예를 들어 MSA 가 SPLUNKDOCS\splunk1이면 서비스 속성 대화 상자의 해당 필드에 SPLUNKDOCS\splunk1$를 입력해야 합니다. 이 작업은 splunkd 및 splunkweb 서비스에 대해 모두 수행해야 합니다. 5. MSA에 "서비스로 로그온" 권한이 있는지 확인합니다. 참고: 서비스 제어판을 사용하여 서비스 계정을 변경하면 Windows에서 이 권한을 MSA에 자동으로 부여합니다. 6. Splunk Enterprise를 시작합니다. Splunk Enterprise가 위에서 설정한 MSA로 실행되고 MSA가 액세스할 수 있는 모든 데이터에 대한 액세스 권한을 갖습니다. PowerShell을 사용하여 AD 도메인 설정 PowerShell을 사용하여 Active Directory 환경을 Splunk Enterprise 서비스에 맞게 설정할 수도 있습니다. 그렇게 하려면 먼저 PowerShell 프롬프트를 Administrator로 엽니다. 그런 다음, 다음 단계를 완료합니다. Splunk 사용자 계정 만들기 1. ActiveDirectory PowerShell 모듈이 필요한 경우 가져옵니다. > Import-Module ActiveDirectory 2. 다음을 입력하여 새로운 사용자를 만듭니다. > New-ADUser â Name <user> ` -SamAccountName <user> ` -Description â œsplunk Service Accountâ ` -DisplayName â œservice:splunkâ ` -Path â œ<organizational unit LDAP path>â ` -AccountPassword (Read-Host â AsSecureString â œaccount Passwordâ ) ` -CannotChangePassword $true ` -ChangePasswordAtLogon $false ` -PasswordNeverExpires $true ` -PasswordNotRequired $false ` -SmartcardLogonRequired $false ` -Enabled $true ` 18

그 대신 그 룹 정책을 업데이트할 컴퓨터의 명령 프롬프트에서 GPUPDATE /FORCE를 실행하여 그룹 정책을 업데이트할 수도 있습니다. 관리 시스템 계정으로 Splunk 설치 대신 관리 시스템 계정(MSA)으로 Splunk Enterprise를 설치할 수 있습니다. 이 작업을 수행하려면 다음 단계를 수행하십시 오. 1.

19 -LogonWorkstations â œ<server>â ` 이 예제에서는 명령을 통해 암호를 변경할 수 없고, 처음 로그온한 후 강제로 변경하지 않아도 되며, 만료되지 않는 계정이 작성됩니 다. <user>는 작성하려고 하는 사용자의 이름입니다. <organizational unit LDAP path>는 새로운 사용자를 배치할 OU의 이름으로 X.500 형식으로 지정됩니다. 예: CN=Managed Service Accounts,DC=splk,DC=com. <server>는 단일 서버이거나 계정이 로그인할 수 있는 서버를 지정하는 쉼표로 구분된 리스트입니다. 참고: LogonWorkstations는 필수 인수는 아니지만, 관리 서비스 계정이 도메인으로 로그인할 수 있는 워크스테이션을 제한할 수 있게 해줍니다. Splunk Enterprise 서버 설정 사용자 계정을 설정한 경우 PowerShell을 사용하여 계정이 Splunk Enterprise를 실행할 수 있는 올바른 권한으로 서버를 설 정합니다. 주의: 이것은 고급 절차입니다. 이 단계에 익숙하고 철자 오류 및 부적절한 형식의 파일 때문에 발생할 수 있는 문제점을 포함 하여 이 단계를 사용한 결과에 대해 잘 알고 있는 경우에만 이 단계를 수행하십시오. 다음 예제에서 <user>는 Splunk Enterprise를 실행하는 작성된 사용자의 이름입니다. <domain>은 사용자가 위치하는 도메인입니다. <computer>는 변경하기 위해 연결하려고 하는 원격 컴퓨터입니다. PowerShell에서 로컬 보안 정책을 설정하려면 1. 설정할 서버에 연결합니다. 로컬 서버를 사용할 경우 로그인하여 PowerShell 프롬프트를 열기만 하면 됩니다. 원격 서버에 연결한 경우 아래 표시된 것처럼 원격 호스트에 새로운 PSSession을 작성합니다. 원격 연결을 작성하려면 먼저 Windows 방화벽을 비활성화해야 할 수도 있습니다. 이 작업을 수행하려면 MS TechNet 의 "Windows 방화벽을 비활성화해야 함"( 참 조하십시오. Windows Server 2008 R2까지의 Windows Server 버전의 경우 MS TechNet의 "Windows PowerShell 을 통해 고급 보안이 포함된 Windows 방화벽 관리"( 참 조하십시오. > Enter-PSSession -Computername <computer> 2. 서비스 계정을 로컬 Administrators 그룹에 추가합니다. > $group = [ADSI]â WinNT://<server>/Administrators,groupâ > $group.add(â œwinnt://<domain>/<user>â ) 3. 로컬 시스템의 사용자 권한 설정의 현재 상태를 포함하는 백업 파일을 작성합니다. > secedit /export /areas USER_RIGHTS /cfg OldUserRights.inf 4. Splunk Enterprise 사용자 고급 권한을 가져올 때 해당 권한을 할당하는 새로운 사용자 권한 정보 파일을 작성하려면 백업 을 사용합니다. > Get-Content OldUserRights.inf ` Select-String â Pattern ` â œ(setcbprivilege SeChangeNotify SeBatchLogon SeServiceLogon SeAssignPrimaryToken SeSystemProfile)â ` %{ â œ$_,<domain>\<user>â } Out-File NewUserRights.inf 5. 새로운 정책 정보 파일의 헤더를 작성하고 헤더를 새로운 정보 파일과 함께 연결합니다. > ( â œ[unicode]â, â œunicode=yesâ ) Out-File Header.inf > ( â œ[version]â, â œsignature=`â `$CHICAGO`$`â â, â œrevision=1â ) Out-File â Append Header.inf > ( â œ[privilege Rights]â ) Out-File â Append Header.inf > Get-Content NewUserRights.inf Out-File â Append Header.inf 6. 정책 정보 파일을 검토하여 헤더가 올바로 작성되었는지, 그리고 파일에 구문 오류가 없는지 검토합니다. 7. 파일을 컴퓨터의 로컬 보안 정책 데이터베이스에 가져옵니다. 19

참고: LogonWorkstations는 필수 인수는 아니지만, 관리 서비스 계정이 도메인으로 로그인할 수 있는 워크스테이션을 제한할 수 있게 해줍니다. Splunk Enterprise 서버 설정 사용자 계정을 설정한 경우 PowerShell을 사용하여 계정이 Splunk Enterprise를 실행할 수 있는 올바른 권한으로 서버를 설 정합니다.

20 > secedit /import /cfg Header.inf /db C:\splunk-lsp.sdb > secedit /configure /db C:\splunk-lsp.sdb 로컬 컴퓨터 또는 AD가 아닌 네트워크에 Splunk Enterprise 설치 준비 Active Directory를 사용하지 않을 경우 아래 설명에 따라 Splunk Enterprise를 설치할 컴퓨터에서 Splunk를 실행할 사용자 에 관리자 권한을 부여하십시오. 1. Splunk Enterprise를 실행할 사용자를 로컬 Administrators 그룹에 추가하여 해당 사용자에게 관리자 권한을 부여합니다. 2. 시작 > 관리 도구 > 로컬 보안 정책을 선택하여 로컬 보안 정책을 시작합니다. 로컬 보안 정책이 로컬 보안 설정을 시작하고 표시합니다. 3. 왼쪽 창에서 로컬 정책을 확장한 후 사용자 권한 할당을 클릭합니다. a. 오른쪽 창에서 운영 체제의 일부로 작동 항목을 두 번 클릭합니다. b. 사용자 또는 그룹 추가를 클릭합니다.â c. 대화 상자가 열리면 찾아보기를 클릭합니다.â d. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자가 열리면 이전에 만든 "Splunk Computers" 그룹의 이름을 입력한 다음 이름 확인...을 클릭합니다. Windows의 경우 유효한 이름에 밑줄이 표시됩니다. 이름이 유효하지 않으면 개체를 찾을 수 없음을 알리고 개 체 이름을 다시 요청합니다. e. 확인을 클릭하여 "사용자 선택â " 대화 상자를 닫습니다. f. 확인을 다시 클릭하여 "사용자 또는 그룹 추가" 대화 상자를 닫습니다. g. 확인을 다시 클릭하여 권한 속성 대화 상자를 닫습니다. 4. 다음과 같은 추가 권한에 대해 3a-3g단계를 반복합니다. 트래버스 검사 무시 일괄 작업으로 로그온 서비스로 로그온 프로세스 수준 토큰 바꾸기 위의 절차를 완료하면 원하는 사용자로 Splunk를 설치할 수 있습니다. Windows에 설치 중요 Splunk Enterprise 버전 6.2부터 설치 절차가 대폭 변경되었습니다. 계속하기 전에 이 항목의 "설치 옵션"을 읽어보십시 오. 이 항목에서는 GUI(Graphical User Interface) 기반 설치 프로그램을 사용하여 Splunk Enterprise를 Windows에 설치하는 절차에 대해 설명합니다. 명령줄에서 설치하면 더 많은 옵션(자동 설치 등)을 사용할 수 있습니다. 주의: 64비트 Windows 시스템에는 더 이상 Windows용 Splunk Enterprise의 32비트 버전을 설치하거나 실행할 수 없습니 다. 또한 지원되지 않는 OS를 실행하는 컴퓨터(예를 들어, Windows Server 2003을 실행하는 컴퓨터)에는 Splunk Enterprise를 설치할 수 없습니다. "시스템 요구 사항"을 참조하십시오. 이러한 방식으로 설치 프로그램을 실행하려고 하면 경고가 표시되고 설치를 계속할 수 없습니다. 참고: Splunk 유니버설 포워더를 설치하려면 데이터 포워딩 매뉴얼의 "유니버설 포워더 배포 개요"를 참조하십시오. 일부 기 능을 변경 또는 비활성화한 Splunk Enterprise 전체 인스턴스인 Splunk Enterprise 헤비 및 라이트 포워더와 달리 유니버설 포워더는 별도의 설치 절차가 있는 완전히 독립된 실행 파일입니다. 포워더에 대한 소개는 데이터 포워딩 매뉴얼의 "포워딩 및 수신에 대하여"를 참조하십시오. 업그레이드 시 Splunk Enterprise를 업그레이드하려면 계속하기 전에 "Splunk 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항 을 참조하십시오. 업그레이드 도중에는 Splunk Enterprise가 관리 또는 HTTP 포트의 변경을 지원하지 않으므로 주의하십시오. 설치하기 전에 Splunk 실행 Windows 사용자 선택 20

Splunk Enterprise를 실행할 사용자를 로컬 Administrators 그룹에 추가하여 해당 사용자에게 관리자 권한을 부여합니다. 2. 시작 > 관리 도구 > 로컬 보안 정책을 선택하여 로컬 보안 정책을 시작합니다. 로컬 보안 정책이 로컬 보안 설정을 시작하고 표시합니다. 3. 왼쪽 창에서 로컬 정책을 확장한 후 사용자 권한 할당을 클릭합니다.

21 Splunk 실행 Windows 사용자 선택 설치하기 전에 "Splunk 실행 Windows 사용자 선택"을 읽고 구체적인 요구 사항을 충족하려면 Splunk를 어떤 사용자 계정으 로 실행해야 하는지 결정하십시오. 사용자 선택은 소프트웨어를 설치하기 전에 수행해야 하는 작업에 영향을 미칠 수 있으 며, 여기서 더 자세한 내용을 확인할 수 있습니다. Splunk Enterprise for Windows와 바이러스 백신 소프트웨어 Splunk Enterprise의 인덱싱 하위 시스템에는 많은 디스크 처리량이 필요합니다. Splunk Enterprise와 운영 체제 사이를 중 개하는 장치 드라이버가 있는 모든 소프트웨어는 Splunk Enterprise의 처리 성능을 저하시켜 느린 속도와 시스템 무응답도 초래할 수 있습니다. 여기에는 바이러스 백신 소프트웨어가 포함됩니다. Splunk 설치를 시작하기 전에 해당 소프트웨어가 Splunk Enterprise 설치 디렉터리 및 프로세스를 액세스 시 스캔하지 않도 록 설정하는 것이 매우 중요합니다. GUI 설치 프로그램을 통한 Splunk Enterprise 설치 Windows 설치 프로그램은 MSI 파일입니다. 1. 설치 프로그램을 시작하려면 splunk.msi 파일을 두 번 클릭합니다. 설치 프로그램이 실행되고 Splunk Enterprise 설치 프로그램 패널이 표시됩니다. 2. 설치를 계속하려면 "라이선스 계약에 동의하려면 이 상자를 선택합니다." 체크박스를 선택합니다. 이렇게 하면 "설치 사용 자 지정" 및 "설치" 단추가 활성화됩니다. 참고: 라이선스 계약을 보려면 "라이선스 계약 보기" 단추를 클릭합니다. 설치 옵션 Splunk Enterprise 6.2부터 Windows 설치 프로그램에는 기본 설치 설정을 사용하여 설치하거나, 설치하기 전에 모든 설정 을 구성할 수 있는 두 가지 옵션이 있습니다. 설치 프로그램은 기본적으로 다음과 같은 작업을 수행합니다. 시스템 드라이브(Windows 시스템을 부팅한 드라이브)의 \Program Files\Splunk에 Splunk Enterprise를 설치합니다. 기본 관리 및 웹 포트를 사용하여 Splunk Enterprise를 설치합니다. Local System 사용자로 실행되도록 Splunk Enterprise를 설정합니다. 이렇게 작업을 수행한 결과에 대해 알아보려면 이 매뉴얼의 "Splunk Enterprise 실행 사용자 선택"을 참조하십시오. 소프트웨어에 대한 시작 메뉴 바로 가기를 만듭니다. 3a. 기본 설치 설정을 변경하려면 "옵션 사용자 지정"을 클릭하고 이 항목의 "옵션 사용자 지정"의 지침에 따라 계속합니다. 3b. 그렇지 않은 경우 "설치" 단추를 클릭하여 기본 설정으로 소프트웨어를 설치합니다. 그런 다음, 8단계를 계속합니다. 옵션 사용자 지정 참고: 각 패널에서 다음을 클릭하여 계속하거나 뒤로를 클릭하여 한 단계 뒤로 돌아가거나 취소를 클릭하여 설치를 취소하고 설치 프로그램을 종료할 수 있습니다. "Splunk Enterprise 설치 위치" 패널이 표시됩니다. 21

22 참고: 설치 프로그램은 기본적으로 시스템 드라이브의 \Program Files\Splunk에 Splunk Enterprise를 설치합니다. 이 설명서 집합에서는 Splunk Enterprise 설치 디렉터리를 $SPLUNK_HOME 또는 %SPLUNK_HOME%으로 나타냅니다. 4. "변경â "을 클릭하여 Splunk Enterprise를 설치할 다른 위치를 지정하거나 "다음"을 클릭하여 기본값을 사용합니다. "Splunk Enterprise 실행 사용자 선택" 패널이 표시됩니다. Splunk Enterprise가 splunkd 및 splunkweb이라는 두 가지 Windows 서비스를 설치하고 실행합니다. 버전 6.2부터는 splunkd 서비스가 모든 Splunk Enterprise 작업을 처리하며 splunkweb 서비스는 기존 모드에서만 실행되도록 설치됩니다. 각 서비스는 이 패널에서 지정하는 사용자로 설치 및 실행됩니다. Splunk Enterprise를 Local System 사용자로 실행할 것인 지 다른 사용자로 실행할 것인지 선택할 수 있습니다. 중요: Splunk Enterprise를 다른 사용자로 실행할 경우 해당 사용자의 조건은 다음과 같아야 합니다. Active Directory 도메인의 구성원이어야 합니다. Splunk Enterprise를 Local System 계정이 아닌 다른 로컬 컴퓨터 계정으로 설치할 수 없습니다. 설치 작업을 수행하는 컴퓨터에서 로컬 관리자 권한이 있어야 합니다. 원격 컴퓨터에서 수집할 데이터 유형에 따라 특정 사용자 권한과 기타 추가 권한이 있어야 합니다. 각 권한 및 권한 요구 사항에 대한 자세한 내용은 "Splunk Enterprise 실행 Windows 사용자 선택"을 참조하십시오. 링크로 연결된 위 항목을 미리 읽지 않은 경우 지금 설치를 중단하고 해당 항목을 먼저 읽으십시오. 5. 사용자 유형을 선택하고 다음을 클릭합니다. Local System 사용자를 선택한 경우 7단계로 진행하십시오. 그렇지 않으면 설치 프로그램에 로그온 정보: 사용자 이름 및 암호 지정 패널이 표시됩니다. 6. 사용자 이름과 암호를 지정하여 Splunk Enterprise를 설치 및 실행하고 다음을 클릭합니다. 중요: 사용자 이름은 domain\username 형식으로 지정해야 합니다. 사용자를 지정할 때 도메인 이름을 포함하지 않으면 설치에 실패하게 됩니다. 해당 보안 컨텍스트에서 유효하고 Active Directory 도메인의 활성 구성원인 사용자를 지정해야 합니다. Local System 계정 또는 유효한 암호 및 로컬 관리자 권한을 가진 유효한 사용자 계정으로 Splunk Enterprise가 실행되어야 22

합니다. 설치 요약 패널이 표시됩니다. 7. "설치"를 클릭하여 계속합니다. 설치 프로그램이 실행되고 설치 완료 패널을 표시합니다. 주의: 설치 절차 중에 사용자를 잘못 지정한 경우에는 이에 대해 설명하는 팝업 오류 창이 2개 나타납니다. 그러면 Splunk Enterprise가 기본적으로 Local System 사용자로 자동 설치됩니다.

필요한 경우 Splunk로 브라우저 실행 및 시작 메뉴 바로 가기 만들기 체크박스를 지금 선택합니다. 마침을 클릭합니다. 설치가 완료되고, 해당 체크박스를 선택한 경우 지원되는 브라우저에서 Splunk Enterprise가 시작되고 실행됩니다.

23 합니다. 설치 요약 패널이 표시됩니다. 7. "설치"를 클릭하여 계속합니다. 설치 프로그램이 실행되고 설치 완료 패널을 표시합니다. 주의: 설치 절차 중에 사용자를 잘못 지정한 경우에는 이에 대해 설명하는 팝업 오류 창이 2개 나타납니다. 그러면 Splunk Enterprise가 기본적으로 Local System 사용자로 자동 설치됩니다. 이 경우 Splunk Enterprise가 자동으로 시작되지 않습 니다. 마지막 설치 패널까지 진행할 수는 있지만 "Splunk로 브라우저 실행" 체크박스의 선택을 취소하여 브라우저가 실행되 지 않도록 하십시오. 그런 다음 이 설명에 따라 Splunk를 시작하기 전에 올바른 사용자로 전환하십시오. 8. 필요한 경우 Splunk로 브라우저 실행 및 시작 메뉴 바로 가기 만들기 체크박스를 지금 선택합니다. 마침을 클릭합니다. 설치가 완료되고, 해당 체크박스를 선택한 경우 지원되는 브라우저에서 Splunk Enterprise가 시작되고 실행됩니다. 참고: 설치 후 Splunk Web에 처음 액세스할 때는 기본 사용자 이름(admin)과 암호(changeme)를 사용하여 로그인하십시오. 설 치 과정에서 입력했던 사용자 이름과 암호를 사용하지 마십시오. 웹 브라우저에서 Splunk 실행 Splunk Enterprise를 컴퓨터에서 시작한 후 Splunk Enterprise에 액세스하려면 다음 작업을 수행하십시오. 또는 시작 > 프로그램 > Splunk에서 Splunk 아이콘을 클릭합니다. 웹 브라우저를 열고 이동합니다. 기본 자격 증명, 사용자 이름: admin 및 암호: changeme를 사용하여 로그인합니다. Splunk Enterprise에 처음 로그인하면 즉시 암호를 변경하라는 메시지가 나타납니다. 새 암호를 입력하고 암호 변경 단추를 클릭하여 즉시 암호를 변경하거나 건너뛰기 단추를 클릭하여 나중에 암호를 변경할 수 있습니다. 참고: 암호를 변경하지 않으면 컴퓨터에 액세스할 권한이 있고 기본 암호를 알고 있는 모든 사용자가 해당 Splunk 인스턴스 에 액세스할 수 있습니다. 따라서 관리자 암호를 최대한 빨리 변경하고 변경된 암호를 기억하십시오. Internet Explorer 보안 강화 팝업 방지 Internet Explorer를 사용하여 Splunk Web에 액세스하는 경우 다음 URL을 허용된 인트라넷 그룹 또는 완전히 신뢰할 수 있 는 그룹에 추가하여 "보안 강화" 팝업이 나타나지 않도록 하십시오. quickdraw.splunk.com Splunk Enterprise 인스턴스의 URL Splunk Web 또는 splunkd 서비스 포트 변경 23

24 Splunk Web 서비스 또는 splunkd 서비스가 다른 포트를 사용하도록 하려면 기본값을 변경할 수 있습니다. Splunk Web 서비스 포트를 변경하려면 명령 프롬프트를 엽니다. %SPLUNK_HOME%\bin 디렉터리로 변경합니다. splunk set web-port ####를 입력하고 Enter 키를 누릅니다. splunkd 포트를 변경하려면 명령 프롬프트를 아직 열지 않은 경우 엽니다. %SPLUNK_HOME%\bin 디렉터리로 변경합니다. splunk set splunkd-port ####를 입력하고 Enter 키를 누릅니다. 참고: 사용할 수 없는 포트를 지정하거나 기본 포트를 사용할 수 없으면 Splunk가 사용 가능한 다음 포트를 자동으로 선택합 니다. 라이선스 설치 또는 업그레이드 Splunk Enterprise를 새로 설치하거나 라이선스 유형을 다른 유형으로 변경하려면 라이선스를 설치하거나 업데이트해야 합 니다. 다음 단계 Splunk Enterprise를 설치한 후에는 다음 단계에 대해 알아보거나 데이터 가져오기 매뉴얼의 다음 항목을 살펴보고 Windows 데이터를 추가하는 방법에 대해 알아볼 수 있습니다. Windows 이벤트 로그 데이터 모니터링 Windows 레지스트리 데이터 모니터링 WMI 기반 데이터 모니터링 원격 Windows 데이터를 모니터링하는 방법을 결정할 때 고려할 사항 명령줄을 통해 Windows에 설치 이 항목에서는 명령줄을 사용하여 Splunk Enterprise를 Windows에 설치하는 절차에 대해 설명합니다. 중요: Splunk 유니버설 포워더를 설치하려면 데이터 포워딩 매뉴얼의 "유니버설 포워더 배포 개요"를 참조하십시오. 일부 기 능을 변경 또는 비활성화한 Splunk 전체 인스턴스인 Splunk Enterprise 헤비 및 라이트 포워더와 달리 유니버설 포워더는 별 도의 설치 절차가 있는 완전히 독립된 실행 파일입니다. 포워더에 대한 소개는 데이터 포워딩 매뉴얼의 "포워딩 및 수신에 대 하여"를 참조하십시오. 64비트 Splunk Enterprise는 64비트 하드웨어에서 실행하는 것이 좋습니다. 32비트 버전에 비해 성능이 크게 개선됩니다. 32비트 설치 프로그램을 64비트 시스템에서 실행하면 설치 프로그램에서 경고를 표시합니다. 명령줄에서 설치해야 하는 경우 Splunk Enterprise를 명령 프롬프트 또는 PowerShell 창에서 개별 컴퓨터에 수동으로 설치할 수 있습니다. 명령줄에서 설치 하는 방법이 유용한 시나리오는 다음과 같습니다. Splunk Enterprise를 설치하지만 즉시 시작하지는 않을 경우 스크립트를 사용하여 Splunk 설치를 자동화하려는 경우 Splunk Enterprise를 나중에 복제할 시스템에 설치하려는 경우 Group Policy 또는 System Center Configuration Manager 같은 배포 도구를 사용하려는 경우 Windows Server Core 버전을 실행하는 시스템에 Splunk Enterprise를 설치하려는 경우 PowerShell을 사용하여 설치 PowerShell 창에서 Splunk Enterprise를 설치할 수 있습니다. 이 단계는 명령 프롬프트에서 설치하는 데 필요한 단계와 동일 합니다. 업그레이드 시 Splunk Enterprise를 업그레이드하려면 계속하기 전에 "Splunk 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항 을 참조하십시오. 특히 업그레이드 도중에는 Splunk가 관리 또는 HTTP 포트의 변경을 지원하지 않으므로 주의하십시오. 설치하기 전에 Splunk Enterprise 실행 Windows 사용자 선택 설치하기 전에 "Splunk Enterprise 실행 Windows 사용자 선택"을 읽고 구체적인 데이터 수집 요구 사항을 충족하려면 Splunk를 어떤 사용자 계정으로 실행해야 하는지 결정하십시오. 사용자 선택은 소프트웨어를 설치하기 전에 수행해야 하는 작업에 영향을 미칠 수 있으며, 여기서 더 자세한 내용을 확인할 수 있습니다. 24

25 Splunk Enterprise를 도메인 사용자로 설치하기 위해 도메인 준비 설치하기 전에 "Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비"에서 Splunk Enterprise를 실행하도록 도메인을 설정하는 방법에 대한 특정 지침을 참조하십시오. Splunk Enterprise for Windows와 바이러스 백신 소프트웨어 Splunk Enterprise의 인덱싱 하위 시스템에는 많은 디스크 처리량이 필요합니다. 바이러스 백신 소프트웨어 또는 Splunk Enterprise와 운영 체제 사이를 중개하는 장치 드라이버가 있는 모든 소프트웨어는 처리 성능을 현저히 저하시켜 느린 속도 와 시스템 무응답도 초래할 수 있습니다. 설치를 시작하기 전에 해당 소프트웨어가 Splunk Enterprise 설치 디렉터리 및 프로세스를 액세스 시 스캔하지 않도록 설정 하는 것이 매우 중요합니다. 명령줄에서 Splunk Enterprise 설치 msiexec.exe를 실행하여 Splunk Enterprise를 명령줄에서 설치할 수 있습니다. PowerShell을 실행할 경우 동일한 절차를 수 행하십시오. 32비트 플랫폼에서는 splunk-<...>-x86-release.msi를 사용합니다. msiexec.exe /i splunk-<...>-x86-release.msi [<flag>]... [/quiet] 64비트 플랫폼에서는 splunk-<...>-x64-release.msi를 사용합니다. msiexec.exe /i splunk-<...>-x64-release.msi [<flag>]... [/quiet] <...> 값은 특정 릴리스에 따라 다릅니다(예: splunk x64-release.msi). 명령줄 플래그를 통해 Splunk Enterprise를 설치 시 설정할 수 있습니다. 명령줄 플래그를 사용하여 다음과 같은 설정을 포함 하되 이에 제한되지 않고 여러 설정을 지정할 수 있습니다. 인덱싱할 Windows 이벤트 로그 모니터링할 Windows 레지스트리 하이브 수집할 WMI(Windows Management Instrumentation) 데이터 Splunk Enterprise를 실행할 사용자(중요: Splunk 인스턴스를 어떤 사용자 유형을 사용하여 설치해야 하는지에 대한 내용은 "Splunk Enterprise 실행 Windows 사용자 선택"을 참조하십시오. Splunk가 활성화할 기본 애플리케이션 설정(Splunk 라이트 포워더 등) 설치 완료 후 Splunk를 자동으로 시작할 것인지 여부 참고: 설치 후에 Splunk Web에 처음 액세스할 경우 기본 사용자 이름(admin)과 암호(changeme)를 사용하여 로그인하십시오. 지원되는 플래그 아래 리스트에는 명령줄을 통해 Splunk for Windows를 설치할 때 사용할 수 있는 플래그가 나열되어 있습니다. 중요: Splunk 유니버설 포워더는 자체적인 설치 플래그가 있는 별도의 실행 파일입니다. 유니버설 포워더에서 지원되는 설 치 플래그는 데이터 포워딩 매뉴얼의 "명령줄에서 Windows 유니버설 포워더 배포"를 참조하십시오. 플래그 용도 기본값 AGREETOLICENSE=Yes No INSTALLDIR="<directory_path>" SPLUNKD_PORT=<port number> 이 플래그는 EULA 동의에 사용됩니다. 자동 설치를 위해서 는 이 플래그를 Yes로 설정해야 합니다. 이 플래그는 설치할 디렉터리를 지정하기 위해 사용합니다. 이 문서에서는 Splunk의 설치 디렉터리를 $SPLUNK_HOME 또 는 %SPLUNK_HOME%으로 계속 지칭합니다. 이 플래그는 splunkd 및 splunkweb이 사용할 대체 포트를 지 정하기 위해 사용합니다. 참고: 포트를 지정했지만 해당 포트를 사용할 수 없는 경우 에는 Splunk가 사용 가능한 다음 포트를 자동으로 선택합 니다. No C:\Program Files\Splunk 8089 WEB_PORT=<port number> 이 플래그는 splunkd 및 splunkweb이 사용할 대체 포트를 지 정하기 위해 사용합니다. 참고: 포트를 지정했지만 해당 포트를 사용할 수 없는 경우 에는 Splunk가 사용 가능한 다음 포트를 자동으로 선택합 니다

26 이 플래그는 Splunk가 특정 Windows 이벤트 로그를 인덱 싱할지 여부를 지정하기 위해 사용합니다. WINEVENTLOG_APP_ENABLE=1/0 WINEVENTLOG_SEC_ENABLE=1/0 WINEVENTLOG_SYS_ENABLE=1/0 WINEVENTLOG_FWD_ENABLE=1/0 WINEVENTLOG_SET_ENABLE=1/0 애플리케이션 로그 보안 로그 시스템 로그 포워더 로그 설정 로그 참고: 플래그를 여러 개 지정할 수 있습니다. 0 (해제) REGISTRYCHECK_U=1/0 REGISTRYCHECK_BASELINE_U=1/0 이 플래그는 Splunk가 Windows 레지스트리 컴퓨터 하이 브에서 이벤트를 인덱싱하고 해당 하이브의 기준 스냅샷을 캡처할지 여부를 지정하기 위해 사용합니다(HKEY_CURRENT_USER). 참고: 두 개의 플래그를 모두 동시에 설정할 수 있습니다. 0 (해제) REGISTRYCHECK_LM=1/0 REGISTRYCHECK_BASELINE_LM=1/0 이 플래그는 Splunk가 Windows 레지스트리 컴퓨터 하이 브에서 이벤트를 인덱싱하고 해당 하이브의 기준 스냅샷을 캡처할지 여부를 지정하기 위해 사용합니다(HKEY_LOCAL_MACHINE). 참고: 두 개의 플래그를 모두 동시에 설정할 수 있습니다. 0 (해제) WMICHECK_CPUTIME=1/0 WMICHECK_LOCALDISK=1/0 WMICHECK_FREEDISK=1/0 WMICHECK_MEMORY=1/0 이 플래그는 Splunk가 어떤 인기 WMI 기반 성능 메트릭을 인덱싱해야 하는지 지정하기 위해 사용합니다. CPU 사용량 로컬 디스크 사용량 사용 가능한 디스크 공간 메모리 통계 주의: 이 Splunk 인스턴스가 원격 Windows 데이터를 모니 터링해야 할 경우에는 LOGON_USERNAME 및 LOGON_PASSWORD 설 치 플래그도 지정해야 합니다. Splunk는 명시적인 액세스 권한이 없는 원격 데이터를 수집하지 않습니다. 또한 지정 된 사용자에게는 특정 권한 및 관리자 권한과 설치 전에 설 정해야 하는 추가 권한이 필요합니다. 필요한 자격 증명에 대한 자세한 내용은 이 매뉴얼의 "Splunk 실행 Windows 사 용자 선택"을 참조하십시오. Splunk가 인덱싱할 수 있는 WMI 기반 메트릭은 훨씬 더 많 습니다. 자세한 내용은 데이터 가져오기 매뉴얼의 "WMI 데 이터 모니터링"을 참조하십시오. 0 (해제) LOGON_USERNAME="<domain\username>" LOGON_PASSWORD="<pass>" 이 플래그는 Splunk 실행 사용자의 도메인/사용자 이름 및 암호 정보를 제공하기 위해 사용합니다. splunkd 및 splunkweb 서비스는 이 자격 증명을 사용하여 설정됩니다. LOGON_USERNAME 플래그에는 도메인을 사용자 이름과 함께 "domain\username" 형식으로 지정해야 합니다. 이런 플래그는 현재 Splunk Enterprise 설치로 원격 데이터 를 모니터링하려는 경우에 필요합니다. 사용할 자격 증명에 대한 자세한 내용은 이 매뉴얼의 "Splunk 실행 Windows 사 용자 선택"을 참조하십시오. none 이 플래그는 이 Splunk 설치에 대해 활성화할 기본 Splunk 애플리케이션 설정을 지정하기 위해 사용합니다. <SplunkApp>의 현재 지원 옵션은 SplunkLightForwarder 및 26

27 SPLUNK_APP="<SplunkApp>" SplunkForwarder입니다. 각 옵션은 현재 Splunk 인스턴스가 라이트 포워더 또는 헤비 포워더로 작동할 것임을 지정합니 다. 자세한 내용은 데이터 포워딩 매뉴얼의 "포워딩 및 수신 에 대하여" 항목을 참조하십시오. 중요: Splunk의 전체 버전은 유니버설 포워더를 활성화하 지 않습니다. 유니버설 포워더는 자체적인 설치 플래그가 있는 다운로드 가능한 독립 실행 파일입니다. 참고: 여기서 Splunk 포워더 또는 라이트 포워더 중 하나를 지정하면 FORWARD_SERVER="<server:port>"도 지정 해야 합니다. Splunk Enterprise를 애플리케이션 없이 설치하려면 이 플 래그를 생략하십시오. none FORWARD_SERVER="<server:port>" 이 플래그는 Splunk 헤비 포워더 또는 라이트 포워더를 활 성화하기 위해 SPLUNK_APP 플래그도 사용할 경우에*만* 사 용합니다. 서버와 이 포워더에서 데이터를 전송할 Splunk 서버와 포트를 지정하십시오. 중요: 이 플래그를 사용하려면 SPLUNK_APP 플래그도 설정해 야 합니다. none DEPLOYMENT_SERVER="<host:port>" LAUNCHSPLUNK=0/1 이 플래그는 설정 업데이트를 푸시하는 데 사용할 배포 서 버를 지정하기 위해 사용합니다. 배포 서버의 이름(호스트 이름 또는 IP 주소)과 포트를 입력하십시오. 이 플래그는 시스템 부팅 시 Splunk를 자동으로 시작할 것 인지 지정하기 위해 사용합니다. 중요: SPLUNK_APP 플래그를 사용하여 Splunk 포워더를 활성 화하면 설치 프로그램이 Splunk가 자동으로 시작되도록 설 정하고 이 플래그를 무시합니다. none 1 (설정) INSTALL_SHORTCUT=0/1 이 플래그는 설치 프로그램이 Splunk 바로 가기를 바탕 화 면과 시작 메뉴에 만들어야 하는지 지정하기 위해 사용합니 다. 1 (설정) 자동 설치 설치를 자동으로 실행하려면 /quiet을 설치 명령어 문자열 끝에 추가하십시오. 시스템에 사용자 액세스 제어가 활성화된 경 우(일부 시스템에서는 기본값), 설치를 관리자로 실행해야 합니다. 이렇게 하려면 다음 작업을 수행하십시오. 명령 프롬프트를 열 때 "관리자 권한으로 실행"을 마우스 오른쪽 단추로 클릭하고 선택합니다. 그런 다음 이 명령 창을 사용하여 자동 설치 명령을 실행합니다. 참고: PowerShell을 명령줄 인터페이스로 사용할 경우에도 이렇게 작동합니다. 예 다양한 플래그의 일부 용례는 다음과 같습니다. Splunk Enterprise가 Local System 사용자로 실행되도록 자동 설치 msiexec.exe /i Splunk.msi /quiet Splunk 헤비 포워더 활성화, Splunk Enterprise 실행 사용자의 자격 증명 지정 msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" LOGON_USERNAME="AD\splunk" LOGON_PASSWORD="splunk123" Splunk 포워더 활성화, Windows System 이벤트 로그 활성화, 설치 프로그램을 자동 모드로 실행 msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" WINEVENTLOG_SYS_ENABLE=1 /quiet 여기서 "<server:port>"는 이 컴퓨터에서 데이터를 전송해야 하는 Splunk 서버의 서버 및 포트입니다. 다음 단계 27

28 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? 데이터 가져오기 매뉴얼에서 Windows 데이터 모니터링 방법을 결정할 때 고려할 사항에 대한 항목도 살펴볼 수 있습니다. Windows 설치 중에 선택한 사용자 수정 Splunk Enterprise 설치 중에 "기타 사용자"를 선택했는데 해당 사용자가 존재하지 않거나 정보를 잘못 입력한 경우에는 Windows 서비스 제어 관리자로 이동하여 올바른 정보를 지정할 수 있습니다. 이때 Splunk를 아직 시작하지 않은 상태여야 합니다. Splunk를 시작한 경우 Splunk를 중지하고 제거한 후 다시 설치해야 합니다. Windows GUI 설치 프로세스 중에 유효하지 않은 사용자를 지정한 경우에는 팝업 오류 창이 2개 나타납니다. 사용자를 변경하려면: 1. 제어판 > 관리 도구 > 서비스에서 splunkd 및 splunkweb 서비스를 찾습니다. 서비스가 시작되지 않았으며 현재 해당 서비스 의 소유자가 Local System 사용자임을 확인할 수 있습니다. 2. 각 서비스를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 해당 서비스에 대한 속성 대화 상자가 표시됩니다. 3. 로그온 탭을 선택합니다. 4. 이 계정 라디오 단추를 선택하고 올바른 도메인\사용자 이름과 암호를 입력합니다. 5. 적용을 클릭합니다. 6. 확인을 클릭합니다. 7. 나머지 서비스에 대해 2-6단계를 반복합니다. 이 작업을 splunkd와 splunkweb에 대해 모두 수행해야 합니다. 8. 이제 두 가지 서비스를 모두 서비스 관리자 또는 Splunk 명령줄 인터페이스에서 시작할 수 있습니다. Unix, Linux 또는 Mac OS X에 Splunk Enterprise 설치 Linux에 설치 RPM 또는 DEB 패키지나 tar 파일을 사용하여 Splunk Enterprise를 Linux에 설치할 수 있습니다. 참고: Splunk 유니버설 포워더를 설치하려면 데이터 포워딩 매뉴얼의 "유니버설 포워더 배포 개요"를 참조하십시오. 일부 기 능을 변경 또는 비활성화한 Splunk Enterprise 전체 인스턴스인 Splunk 헤비 및 라이트 포워더와 달리 유니버설 포워더는 별 도의 설치 절차가 있는 완전히 독립된 실행 파일입니다. 포워더에 대한 소개는 "포워딩 및 수신에 대하여"를 참조하십시오. 업그레이드 시 Splunk를 업그레이드하려면 계속하기 전에 "Splunk 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하십 시오. Tar 파일 설치 Splunk Enterprise를 Linux 시스템에 설치하려면 tar 명령어를 사용하여 tar 파일을 적절한 디렉터리에 푸십시오. tar xvzf splunk_package_name.tgz 기본 설치 디렉터리는 현재 작업 디렉터리의 splunk입니다. /opt/splunk에 설치하려면 다음 명령어를 사용하십시오. tar xvzf splunk_package_name.tgz -C /opt 참고: tar 파일을 사용하여 Splunk Enterprise를 설치할 경우 GNU가 아닌 일부 tar 버전에는 사용 가능한 -C 인수가 없을 수 있습니다. 이 경우 /opt/splunk에 설치하려면 tar 명령 어를 실행하기 전에 /opt로 cd하거나 tar 파일을 /opt에 넣으십시오. 이 방법은 컴퓨터의 파일 시스템에서 액세스 가능 한 모든 디렉터리에 대해 사용할 수 있습니다. Splunk는 splunk 사용자를 자동으로 만들지 않습니다. Splunk가 특정 사용자로 실행되도록 하려면 설치 전에 사용자 를 수동으로 만들어야 합니다. 디스크 파티션에서 계속 인덱싱할 데이터의 압축을 해제한 용량을 저장할 공간이 충분한지 확인하십시오. RedHat RPM 설치 원하는 Splunk 작성 RPM 패키지를 대상 서버에서 로컬로 사용 가능한지 확인하십시오. Splunk 사용자가 해당 파일을 읽고 실행할 수 있는지 확인하십시오. 필요한 경우 액세스 권한을 변경하십시오. 28

29 chmod 744 splunk_package_name.rpm Splunk RPM을 기본 디렉터리인 /opt/splunk에 설치하려면 rpm -i splunk_package_name.rpm Splunk를 다른 디렉터리에 설치하려면 --prefix 플래그를 사용합니다. rpm -i --prefix=/opt/new_directory splunk_package_name.rpm 참고: RPM을 기본이 아닌 디렉터리에 설치하는 것은 권장하지 않습니다. RPM은 업그레이드 시 안전 네트워크를 제공하지 않기 때문에 --prefix가 일치하지 않을 경우 업그레이드에 실패합니다. RPM을 사용하여 /opt/splunk에 있는 기존에 설치된 Splunk Enterprise를 업그레이드하려면 rpm -U splunk_package_name.rpm 참고: rpm을 업그레이드하면 Splunk Enterprise가 업그레이드되는 것이 아니라 rpm 패키지가 업그레이드됩니다. 즉 과거에 rpm을 사용한 경우에만 rpm 업그레이드를 수행할 수 있습니다. tar 설치에서 rpm 설치로 원만하게 전환되지 않습니다. 이 문 제는 Splunk 문제가 아니라 기본적인 패키징 문제입니다. 다른 디렉터리에서 수행된 기존 Splunk Enterprise 설치를 업그레이드하려면 --prefix 플래그를 사용합니다. rpm -U --prefix=/opt/existing_directory splunk_package_name.rpm 참고: 기존 디렉터리에 대해 --prefix 플래그를 지정하지 않으면 rpm이 /opt/splunk의 기본 위치에 설치됩니다. 예를 들어 기존 디렉터리인 $SPLUNK_HOME=/opt/apps/splunk로 업그레이드하려면 다음 명령어를 입력하십시오. rpm -U --prefix=/opt/apps splunk_package_name.rpm 기존 Splunk Enterprise 설치를 대체하려면 rpm -i --replacepkgs --prefix=/splunkdirectory/ splunk_package_name.rpm kickstart를 사용하여 RPM 설치를 자동화하려면 kickstart 파일에 다음 명령어를 추가하십시오../splunk start --accept-license./splunk enable boot-start 참고: kickstart 파일에서 두 번째 줄은 선택 사항입니다. 이 줄을 /etc/init.d/에 추가하여 부팅 시 Splunk Enterprise가 시스템을 시작하도록 하십시오. 이 명령을 root 또는 sudo로 실 행하고 Splunk Enterprise를 실행할 사용자를 지정하십시오../splunk enable boot-start -user splunkuser Debian DEB 설치 Splunk DEB 패키지를 설치하려면 dpkg -i splunk_package_name.deb 참고: Splunk DEB 패키지는 기본 위치인 /opt/splunk에만 설치할 수 있습니다. 설치되는 내용 Splunk 패키지 상태: dpkg --status splunk 모든 패키지 나열: dpkg --list 29

30 dpkg --list Splunk 시작 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk Enterprise에 지정된 입력을 읽을 수 있는 충분한 권한이 있는지 확인하십시오. 자세한 내용은 Splunk Enterprise를 루트가 아닌 사용자로 실행하는 방법에 대한 설명을 참조하십시오. 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk를 설치한 디렉터리입니다../splunk start 이 문서의 규칙은 다음과 같습니다. 시작 옵션 $SPLUNK_HOME 을 사용하여 Splunk Enterprise 설치 경로를 식별합니다. $SPLUNK_HOME/bin/ 을 사용하여 명령줄 인터페이스의 위치를 나타냅니다. Splunk Enterprise를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. Splunk Enterprise를 시작하고 라이 선스 동의 절차를 한 단계로 완료하려면 다음 명령어를 사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 참고: accept-license 옵션 앞에는 대시가 2개 있습니다. Splunk Web 실행 및 로그인 Splunk Enterprise를 시작하고 라이선스 계약에 동의한 후 다음 절차를 수행합니다. 1. 브라우저 창에서 통해 Splunk Web에 액세스합니다. hostname 은 호스트 컴퓨터입니다. port 는 설치 도중에 지정한 포트입니다(기본 포트 8000). ""참고:"" Splunk에 처음 액세스할 때 HTTP로 이동합니다. 2. Splunk Web이 실행되기 전에 로그인 정보(기본 사용자 이름 admin과 암호 changeme)를 요청합니다. Splunk Free로 전환 하면 다음 세션부터 이 로그온 페이지를 건너뜁니다. 다음 단계 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? Splunk Enterprise 제거 Splunk Enterprise를 제거하는 방법은 이 매뉴얼의 "Splunk Enterprise 제거"를 참조하십시오. Solaris에 설치 PKG 패키지 또는 tar 파일을 사용하여 Splunk Enterprise를 Solaris에 설치할 수 있습니다. 업그레이드 시 Splunk를 업그레이드하려면 계속하기 전에 "Splunk 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하십 시오. Splunk 설치 Splunk Enterprise for Solaris는 PKG 파일 또는 tar 파일로 제공됩니다. PKG 파일 설치 PKG 설치 패키지에는 Splunk를 설치하기 전에 몇 가지 질문에 답하라는 요청 파일이 포함되어 있습니다. pkgadd -d /splunk_product_name.pkg 사용 가능한 패키지 리스트가 표시됩니다. 처리할 패키지를 선택합니다(기본값은 "모두"임). 30

31 설치 프로그램에서 기본 설치 디렉터리를 지정하라는 메시지를 표시합니다. 기본 디렉터리인 /opt/splunk에 설치하려면 이 부분을 비워 두십시오. PKG 파일 업그레이드 PKG 파일을 사용하여 기존에 설치된 Splunk Enterprise를 업그레이드하려면 시스템의 기본 패키지 설치 설정 파일 (/var/sadm/install/admin/default)이나 직접 정의 및 호출한 사용자 지정 설정 파일에 있는 instance 매개 변수를 사용해야 합니다. 기본 또는 사용자 지정 설정 파일에서 instance=overwrite로 설정합니다. 그러면 업그레이드 시 splunk 패키지가 하나 더 만 들어지거나(instance=unique 사용) 업그레이드가 실패하는 것을 방지할 수 있습니다(instance=quit 사용). instance 매개 변수 에 대한 내용은 Solaris 맨 페이지(man -s4 admin)를 참조하십시오. 시스템의 기본 패키지 설치 파일을 사용하여 Splunk Enterprise를 업그레이드하려면 새로 설치할 때와 동일한 명령줄을 사 용하십시오. pkgadd -d./splunk_product_name.pkg 설치 프로그램에서 모든 변경된 파일을 덮어쓸지 묻는 메시지가 나타나면 모두 예라고 답합니다. 사용자 지정 설정 파일을 사용하여 업그레이드하려면 다음 명령어를 입력하십시오. pkgadd -a conf_file -d /splunk_product_name.pkg (모든 파일을 덮어쓸 때 예라고 답할 필요 없이) 업그레이드를 자동으로 실행하려면 다음 명령어를 입력하십시오. pkgadd -n -d./splunk_product_name.pkg tar 파일 설치 Splunk Enterprise를 Solaris 시스템에 설치하려면 tar 명령어를 사용하여 tar 파일을 적절한 디렉터리에 푸십시오. tar xvzf splunk_package_name.tar.z 기본 설치 디렉터리는 현재 작업 디렉터리의 splunk입니다. /opt/splunk에 설치하려면 다음 명령어를 사용하십시오. tar xvzf splunk_package_name.tar.z -C /opt 참고: tar 파일을 사용하여 Splunk Enterprise를 설치할 경우 GNU가 아닌 일부 tar 버전에는 사용 가능한 -C 인수가 없을 수 있습니다. 이 경우 /opt/splunk에 설치하려면 tar 명령 어를 실행하기 전에 /opt로 cd하거나 tar 파일을 /opt에 넣으십시오. 이 방법은 컴퓨터의 파일 시스템에서 액세스 가능 한 모든 디렉터리에 대해 사용할 수 있습니다. gzip 바이너리가 시스템에 없으면 uncompress 명령어를 대신 사용할 수 있습니다. Splunk Enterprise는 splunk 사용자를 자동으로 만들지 않습니다. Splunk Enterprise가 특정 사용자로 실행되도록 하 려면 설치 전에 사용자를 수동으로 만들어야 합니다. 디스크 파티션에서 계속 인덱싱할 데이터의 압축을 해제한 용량을 저장할 공간이 충분한지 확인하십시오. 설치되는 내용 Splunk 패키지 정보: pkginfo -l splunk 모든 패키지 나열: pkginfo Splunk 시작 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk Enterprise에 지정된 입력을 읽을 수 있는 충분한 권한이 있는지 확인하십시오. 자세한 내용은 Splunk를 루 트가 아닌 사용자로 실행하는 방법에 대한 설명을 참조하십시오. 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk를 설치한 디렉터리입니다. 31

32 ./splunk start Splunk 문서의 규칙은 다음과 같습니다. 시작 옵션 $SPLUNK_HOME 을 사용하여 Splunk 설치 경로를 식별합니다. $SPLUNK_HOME/bin/ 을 사용하여 명령줄 인터페이스의 위치를 나타냅니다. Splunk Enterprise를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. Splunk Enterprise를 시작하고 라이 선스 동의 절차를 한 단계로 완료하려면 다음 명령어를 사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 참고: accept-license 옵션 앞에는 대시가 2개 있습니다. Splunk Web 실행 및 로그인 Splunk Enterprise를 시작하고 라이선스 계약에 동의한 후 다음 절차를 수행합니다. 1. 브라우저 창에서 이동하여 Splunk Web에 액세스합니다. 설명: mysplunkhost 은 호스트 컴퓨터입니다. port 는 설치 중에 지정한 포트입니다(8000). 2. Splunk Web이 실행되기 전에 로그인 정보(기본 사용자 이름 admin과 암호 changeme)를 요청합니다. Splunk Free로 전환 하면 다음 세션부터 이 로그온 페이지를 건너뜁니다. 다음 단계 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? Splunk Enterprise 제거 Splunk Enterprise를 제거하는 방법은 이 매뉴얼의 "Splunk Enterprise 제거"를 참조하십시오. Mac OS X에 설치 DMG 패키지 또는 tar 파일을 사용하여 Splunk Enterprise를 Mac OS X에 설치할 수 있습니다. 업그레이드 시 업그레이드하려면 계속하기 전에 "Splunk Enterprise 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하 십시오. 설치 옵션 Mac OS 빌드는 DMG 패키지 및 tar 파일의 두 가지 형태로 제공됩니다. 아래에서 관련 설명을 참조하십시오. DMG 파일을 사용한 그래픽(기본) 및 명령줄 설치 tar 파일 설치 참고: 동일한 호스트에서 서로 다른 위치에 두 번 설치해야 할 경우에는 tar 파일을 사용하십시오. pkg 설치 프로그램으로는 추가 인스턴스를 설치할 수 없습니다. 추가 인스턴스가 있을 경우 해당 인스턴스가 성공적으로 설치되는 즉시 설치 프로그 램에 의해 제거됩니다. 그래픽 설치 1. DMG 파일을 두 번 클릭합니다. splunk.pkg를 포함한 파인더 창이 열립니다. 2. 파인더 창에서 splunk.pkg를 두 번 클릭합니다. Splunk Enterprise 설치 프로그램이 열리고 버전 및 저작권 정보가 나열된 소개 화면이 표시됩니다. 3. 계속을 클릭합니다. 대상 선택 창이 열립니다. 4. Splunk Enterprise를 설치할 위치를 선택합니다. 32

33 기본 디렉터리 /Applications/splunk에 설치하려면 하드 드라이브 아이콘을 클릭합니다. 다른 위치를 선택하려면 폴더 선택...을 클릭합니다. 5. 계속을 클릭합니다. 사전 설치 요약이 표시됩니다. 변경 작업을 수행하려면 다음과 같이 하십시오. 설치 위치 변경을 클릭하여 새 폴더를 선택합니다. 또는 뒤로를 클릭하여 한 단계 되돌아갑니다. 6. 설치를 클릭합니다. 설치가 시작됩니다. 몇 분의 시간이 걸릴 수 있습니다. 7. 설치가 완료되면 마침을 클릭합니다. 설치 프로그램이 바탕 화면에 바로 가기를 배치합니다. 명령줄 설치 터미널 창에서 설치하려면 다음 지침을 사용합니다. 중요: 명령줄에서 Mac OS X에 Splunk Enterprise를 설치하려면 루트 사용자를 사용하거나 sudo 명령어를 사용하여 권한 을 높여야 합니다. sudo를 사용할 경우 계정이 관리자 수준의 계정이어야 합니다. 1. To mount the dmg: sudo hdid splunk_package_name.dmg 파인더가 디스크 이미지를 바탕 화면에 마운트합니다. 이미지는 /Volumes/SplunkForwarder <버전>(공백 주의)에서 제공됩 니다. 2. 다음에 설치하려면 루트 볼륨: cd /Volumes/SplunkForwarder\ <version> sudo installer -pkg.payload/splunk.pkg -target / 참고: 디스크 이미지의 이름에 공백이 있습니다. 백슬래시를 사용하여 공백을 이스케이프하거나, 디스크 이미지 이름을 따옴 표로 묶으십시오. 다른 디스크 파티션: cd /Volumes/SplunkForwarder\ <version> sudo installer -pkg.payload/splunk.pkg -target /Volumes\ Disk 참고: 디스크 이미지의 이름에 공백이 있습니다. 백슬래시를 사용하여 공백을 이스케이프하거나, 디스크 이미지 이름을 따옴 표로 묶으십시오. -target 은 Splunk를 /Applications/splunk에 설치할 대상 볼륨(예: 다른 디스크)을 지정합니다. 볼륨의 /Applications/splunk가 아닌 다른 디렉터리에 설치하려면 위의 설명에 따라 그래픽 설치 프로그램을 사용하십시오. tar 파일 설치 Splunk Enterprise를 Mac OS X 시스템에 설치하려면 tar 명령어를 사용하여 tar 파일을 적절한 디렉터리에 푸십시오. tar xvzf splunk_package_name.tgz 기본 설치 디렉터리는 현재 작업 디렉터리의 splunk입니다. /Applications/splunk에 설치하려면 다음 명령어를 사용하십시 오. tar xvzf splunk_package_name.tgz -C /Applications 참고: tar 파일을 사용하여 Splunk Enterprise를 설치할 경우 Splunk Enterprise는 splunk 사용자를 자동으로 만들지 않습니다. Splunk Enterprise가 특정 사용자로 실행되도록 하 려면 설치 전에 사용자를 수동으로 만들어야 합니다. 디스크 파티션에서 계속 인덱싱할 데이터의 압축을 해제한 용량을 저장할 공간이 충분한지 확인하십시오. Splunk 시작 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 33

34 경우에는 Splunk Enterprise에 지정된 입력을 읽을 수 있는 충분한 권한이 있는지 확인하십시오. 파인더에서 Splunk Enterprise 시작 Splunk Enterprise를 파인더에서 시작하려면 바탕 화면에서 Splunk 아이콘을 두 번 클릭하여 "Splunk's Little Helper"라는 도우미 애플리케이션을 실행하십시오. 참고: 도우미 애플리케이션을 처음 실행하면 간단한 초기화를 수행해야 한다는 메시지를 표시합니다. Splunk Enterprise가 평가판 라이선스를 초기화하고 설정할 수 있도록 하려면 확인을 클릭합니다. 도우미 애플리케이션을 로드하면 다음과 같은 몇 가지 옵션을 제공하는 대화 상자를 표시합니다. Splunk 시작 및 표시: 이 옵션은 Splunk Enterprise를 시작하고 웹 브라우저에게 Splunk Web으로 페이지를 열도록 지시합니다. Splunk 시작만: 이를 선택하면 Splunk Enterprise가 시작되지만 브라우저에서 Splunk Web이 열리지 않습니다. 취소: 도우미 애플리케이션을 종료하도록 지시합니다. 이는 Splunk Enterprise 인스턴스 자체가 아닌 도우미 애플리케 이션에만 영향을 미칩니다. 옵션을 선택하면 Splunk 도우미 애플리케이션이 요청한 애플리케이션을 수행하고 종료됩니다. 도우미 애플리케이션을 다시 실행하여 Splunk Web을 표시하거나 Splunk를 중지할 수 있습니다. 도우미 애플리케이션은 이미 실행 중인 Splunk를 종료하는 데 사용될 수도 있습니다. 명령줄에서 Splunk Enterprise 시작 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk Enterprise를 설치한 디렉터리입니다../splunk start 이 문서의 규칙은 다음과 같습니다. 시작 옵션 $SPLUNK_HOME 을 사용하여 Splunk 설치 경로를 식별합니다. $SPLUNK_HOME/bin/ 을 사용하여 명령줄 인터페이스의 위치를 나타냅니다. Splunk Enterprise를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. Splunk Enterprise를 시작하고 라이 선스 동의 절차를 한 단계로 완료하려면 다음 명령어를 사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 참고: accept-license 옵션 앞에는 대시가 2개 있습니다. Splunk Web 실행 및 로그인 Splunk Enterprise를 시작하고 라이선스 계약에 동의한 후 다음 절차를 수행합니다. 1. 브라우저 창에서 다음 위치의 Splunk Web에 액세스합니다. hostname 은 호스트 컴퓨터입니다. port 는 설치 도중에 지정한 포트입니다(기본 포트 8000). 2. Splunk Web이 실행되기 전에 로그인 정보(기본 사용자 이름 admin과 암호 changeme)를 요청합니다. Splunk Free로 전환 하면 다음 세션부터 이 로그온 페이지를 건너뜁니다. 다음 단계 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? Splunk Enterprise 제거 Splunk Enterprise를 제거하는 방법은 이 매뉴얼의 "Splunk Enterprise 제거"를 참조하십시오. FreeBSD에 설치 FreeBSD용 Splunk Enterprise는 설치 프로그램(5.4-intel) 및 tar 파일(i386)의 두 가지 형태로 제공됩니다. 두 가지 파일 모 두.tgz(gzipped tar) 파일입니다. 업그레이드 시 업그레이드하려면 계속하기 전에 "Splunk Enterprise 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하 34

35 업그레이드하려면 계속하기 전에 "Splunk Enterprise 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하 십시오. 전제 조건 FreeBSD 8에 Splunk Enterprise를 설치하려면 호환성 패키지가 필요합니다. 호환성 패키지를 설치하려면 1. 포트를 설치합니다. portsnap fetch update cd /usr/ports/misc/compat7x/ && make install clean 2. 패키지를 추가합니다. pkg_add -r compat7x-amd64 기본 설치 Intel 설치 프로그램을 사용하여 FreeBSD용 Splunk Enterprise를 설치하려면 pkg_add splunk_package_name-6.1-intel.tgz 중요: 이 방법을 사용하면 Splunk Enterprise가 기본 디렉터리인 /opt/splunk에 설치됩니다. /opt가 존재하지 않으면 설치 명 령을 실행하기 전에 만들어야 합니다. 그렇지 않으면 오류 메시지가 나타날 수 있습니다. Splunk에서는 다른 파일 시스템으 로 연결되는 바로 가기 링크를 만들고 Splunk를 이 링크에 설치할 것을 권장합니다. 이 방법이 FreeBSD에서 작은 루트("/") 파일 시스템을 유지하는 최선의 방법이기 때문입니다. Splunk Enterprise를 다른 디렉터리에 설치하려면 pkg_add -v -p /usr/splunk splunk_package_name-6.1-intel.tgz FreeBSD 패키지 시스템에는 기본 업그레이드 지원 기능이 없습니다. 업그레이드를 관리하기 위해 사용할 수 있는 몇 가지 추가 기능 유틸리티가 있지만 확실히 검증되지는 않았습니다. FreeBSD 패키지를 업그레이드하려면 이전 패키지를 제거하 거나 새 패키지를 설치하거나 아래와 같이 tar 파일 설치를 사용하여 기존에 설치된 패키지를 업그레이드할 수 있습니다. tar 파일 설치 Splunk Enterprise를 FreeBSD 시스템에 설치하려면 tar 명령어를 사용하여 tar 파일을 적절한 디렉터리에 푸십시오. tar xvzf splunk_package_name.tgz 기본 설치 디렉터리는 현재 작업 디렉터리의 splunk입니다. /opt/splunk에 설치하려면 다음 명령어를 사용하십시오. tar xvzf splunk_package_name.tgz -C /opt 참고: tar 파일을 사용하여 Splunk Enterprise를 설치할 경우 설치 후 GNU가 아닌 일부 tar 버전에는 사용 가능한 -C 인수가 없을 수 있습니다. 이 경우 /opt/splunk에 설치하려면 tar 명령 어를 실행하기 전에 /opt로 cd하거나 tar 파일을 /opt에 넣으십시오. 이 방법은 컴퓨터의 파일 시스템에서 액세스 가능 한 모든 디렉터리에 대해 사용할 수 있습니다. Splunk Enterprise는 splunk 사용자를 자동으로 만들지 않습니다. Splunk Enterprise가 특정 사용자로 실행되도록 하 려면 설치 전에 사용자를 수동으로 만들어야 합니다. 디스크 파티션에서 계속 인덱싱할 데이터의 압축을 해제한 용량을 저장할 공간이 충분한지 확인하십시오. Splunk Enterprise가 FreeBSD에서 올바르게 작동하도록 하려면 다음 작업을 수행해야 합니다. 1. 다음을 추가합니다. /boot/loader.conf kern.maxdsiz=" " # 2GB kern.dfldsiz=" " # 2GB machdep.hlt_cpus=0 2. 다음을 /etc/sysctl.conf에 추가합니다. vm.max_proc_mmap= 변경 사항을 적용하려면 FreeBSD를 재시작해야 합니다. 35

36 서버 메모리가 2GB보다 적으면 그에 따라 값을 줄이십시오. 설치되는 내용 Splunk Enterprise 패키지 리스트를 확인하려면 pkg_info -L splunk 모든 패키지를 나열하려면 pkg_info Splunk Enterprise 시작 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk Enterprise에 지정된 입력을 읽을 수 있는 충분한 권한이 있는지 확인하십시오. 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk Enterprise를 설치한 디렉터리입니다../splunk start 이 문서의 규칙은 다음과 같습니다. 시작 옵션 $SPLUNK_HOME 을 사용하여 Splunk Enterprise 설치 경로를 식별합니다. $SPLUNK_HOME/bin/ 을 사용하여 명령줄 인터페이스의 위치를 나타냅니다. Splunk Enterprise를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. Splunk Enterprise를 시작하고 라이 선스 동의 절차를 한 단계로 완료하려면 다음 명령어를 사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 참고: accept-license 옵션 앞에는 대시가 2개 있습니다. Splunk Web 실행 및 로그인 Splunk Enterprise를 시작하고 라이선스 계약에 동의한 후 다음 절차를 수행합니다. 1. 브라우저 창에서 다음 위치의 Splunk Web에 액세스합니다. hostname 은 호스트 컴퓨터입니다. port 는 설치 도중에 지정한 포트입니다(기본 포트 8000). 2. Splunk Web이 실행되기 전에 로그인 정보(기본 사용자 이름 admin과 암호 changeme)를 요청합니다. Splunk Free로 전환 하면 다음 세션부터 이 로그온 페이지를 건너뜁니다. 다음 단계 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? Splunk Enterprise 제거 Splunk Enterprise를 제거하는 방법은 이 매뉴얼의 "Splunk Enterprise 제거"를 참조하십시오. AIX에 설치 tar 파일을 사용하여 Splunk Enterprise를 AIX에 설치할 수 있습니다. 중요: Splunk를 설치할 때 지정한 사용자는 /dev/random 및 /dev/urandom을 읽을 권한이 있어야 합니다. 그렇지 않으면 Splunk를 설치할 수 없습니다. 업그레이드 시 업그레이드하려면 계속하기 전에 "Splunk Enterprise 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하 십시오. Splunk Enterprise 설치 36

37 AIX 설치 파일은 tar 파일 형식으로 제공됩니다. tar 파일을 사용하여 설치할 경우 Splunk Enterprise는 splunk 사용자를 자동으로 만들지 않습니다. Splunk Enterprise가 특정 사용자로 실행되도록 하 려면 해당 사용자를 수동으로 만들어야 합니다. 디스크 파티션에 계속 인덱싱할 데이터의 압축을 해제한 용량을 저장할 공간이 충분한지 확인하십시오. AIX tar는 긴 파일 이름의 압축을 풀지 못하거나 파일을 덮어쓰지 못하는 등의 문제가 있을 수 있으므로 GNU tar를 사 용하여 tar 파일의 압축을 푸는 것이 좋습니다. 시스템 tar를 사용해야 할 경우에는 오류 메시지의 출력 내용을 확인하 십시오. Splunk Enterprise를 AIX 시스템에 설치하려면 tar 파일을 적절한 디렉터리에 푸십시오. 기본 설치 디렉터리는 /opt/splunk입니다. AIX 5.3에서는 서비스 팩이 최신 상태인지 확인하십시오. Splunk Enterprise에는 다음 서비스 수준이 필요합니다. $ oslevel -r Splunk Enterprise 시작 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk Enterprise에 지정된 입력을 읽을 수 있는 충분한 권한이 있는지 확인하십시오. 자세한 내용은 Splunk Enterprise를 루트가 아닌 사용자로 실행하는 방법에 대한 설명을 참조하십시오. 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk를 설치한 디렉터리입니다../splunk start 이 문서의 규칙은 다음과 같습니다. $SPLUNK_HOME 을 사용하여 Splunk 설치 경로를 식별합니다. $SPLUNK_HOME/bin/ 을 사용하여 명령줄 인터페이스의 위치를 나타냅니다. 참고: Splunk의 AIX 버전은 재부팅 시 자동으로 시작하도록 자체 등록되지 않습니다. 그러나 메시지가 표시되면 $SPLUNK_HOME/bin 디렉터리에서 다음 명령을 실행하여 자체 등록할 수 있습니다../splunk enable boot-start 이 명령은 Splunk Enterprise 및 Splunk Web을 시스템의 하위 시스템 리소스 컨트롤러에 등록하는 다음 시스템 명령을 실 행합니다. mkssys -G splunk -s splunkd -p <path to splunkd> -u <splunk user> -a _internal_exec_splunkd -S -n 2 -f 9 mkssys -G splunk -s splunkweb -p <path to python> -u <splunk user> -a _internal_exec_splunkweb -S -n 15 -f 9 mkssys 명령줄 인수에 대한 자세한 내용은 IBM pseries 및 AIX Information Center 웹 사이트의 "Mkssys 명 령"( topic=/com.ibm.aix.cmds/doc/aixcmds3/mkssys.htm)을 참조하십시오. 시작 옵션 Splunk Enterprise를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. Splunk Enterprise를 시작하고 라이 선스 동의 절차를 한 단계로 완료하려면 다음 명령어를 사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 참고: accept-license 옵션 앞에는 대시가 2개 있습니다. 자세한 내용은 이 매뉴얼의 "Splunk Enterprise 시작 옵션"을 참조하십시오. Splunk Web 실행 및 로그인 Splunk Enterprise를 시작하고 라이선스 계약에 동의한 후 다음 절차를 수행합니다. 1. 브라우저 창에서 다음 위치의 Splunk Web에 액세스합니다. hostname 은 호스트 컴퓨터입니다. port 는 설치 도중에 지정한 포트입니다(기본 포트 8000). 2. Splunk Web이 실행되기 전에 로그인 정보(기본 사용자 이름 admin과 암호 changeme)를 요청합니다. Splunk Free로 전환 37

38 하면 다음 세션부터 이 로그온 페이지를 건너뜁니다. 다음 단계 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? Splunk Enterprise 제거 Splunk Enterprise를 제거하는 방법은 이 매뉴얼의 "Splunk Enterprise 제거"를 참조하십시오. HP-UX에 설치 tar 파일을 사용하여 Splunk Enterprise를 HP/UX에 설치할 수 있습니다. Splunk Enterprise를 HP-UX 시스템에 설치하려면 GNU tar를 사용하여 tar 파일을 적절한 디렉터리에 푸십시오. 기본 설치 디렉터리는 /opt/splunk입니다. 참고: HP-UX의 시스템 기본 tar를 사용하면 Splunk Enterprise tar 파일을 성공적으로 추출할 수 없습니다. GNU tar를 사용 하거나 다른 플랫폼에 tar 압축을 푸십시오. tar 파일을 사용하여 설치할 경우 Splunk Enterprise는 splunk 사용자를 자동으로 만들지 않습니다. Splunk Enterprise가 특정 사용자로 실행되도록 하 려면 해당 사용자를 수동으로 만들어야 합니다. 디스크 파티션에 계속 인덱싱할 데이터의 압축을 해제한 용량을 저장할 공간이 충분한지 확인하십시오. 업그레이드 시 업그레이드하려면 계속하기 전에 "Splunk Enterprise 업그레이드 방법"의 설명과 마이그레이션에 대한 고려 사항을 참조하 십시오. Splunk Enterprise 시작 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk Enterprise에 지정된 입력을 읽을 수 있는 충분한 권한이 있는지 확인하십시오. 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk Enterprise를 설치한 디렉터리입니다../splunk start 이 문서의 규칙은 다음과 같습니다. $SPLUNK_HOME 을 사용하여 Splunk Enterprise 설치 경로를 식별합니다. $SPLUNK_HOME/bin/ 을 사용하여 명령줄 인터페이스의 위치를 나타냅니다. 참고: Splunk Enterprise의 HP-UX 버전은 재부팅 시 자동으로 시작하도록 자체 등록되지 않습니다. 그러나 다음 명령을 셸 프롬프트의 $SPLUNK_HOME/bin 디렉터리에서 실행하여 자체 등록할 수 있습니다../splunk enable boot-start 시작 옵션 Splunk Enterprise를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. Splunk Enterprise를 시작하고 라이 선스 동의 절차를 한 단계로 완료하려면 다음 명령어를 사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 참고: accept-license 옵션 앞에는 대시가 2개 있습니다. Splunk Web 실행 및 로그인 Splunk Enterprise를 시작하고 라이선스 계약에 동의한 후 다음 절차를 수행합니다. 1. 브라우저 창에서 다음 위치의 Splunk Web에 액세스합니다. hostname 은 호스트 컴퓨터입니다. port 는 설치 도중에 지정한 포트입니다(기본 포트 8000). 2. Splunk Web이 실행되기 전에 로그인 정보(기본 사용자 이름 admin과 암호 changeme)를 요청합니다. Splunk Free로 전환 하면 다음 세션부터 이 로그온 페이지를 건너뜁니다. 38

39 다음 단계 Splunk Enterprise를 설치한 후 다음 단계는 무엇일까요? Splunk Enterprise 제거 Splunk Enterprise를 제거하는 방법은 이 매뉴얼의 "Splunk Enterprise 제거"를 참조하십시오. 다른 사용자나 루트가 아닌 사용자로 Splunk Enterprise 실행 중요: 이 항목은 Windows가 아닌 운영 체제에만 해당됩니다. 사용자를 사용하여 Splunk Enterprise를 Windows에 설치하 는 방법은 이 매뉴얼의 "Splunk Enterprise 실행 사용자 선택"을 참조하십시오. Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk Enterprise에 다음과 같은 권한이 있는지 확인하십시오. Splunk가 조사하도록 설정된 파일 및 디렉터리에 대한 읽기 권한. 일부 로그 파일 및 디렉터리를 인덱스하려면 루트 또 는 superuser 액세스 권한이 필요할 수 있습니다. Splunk Enterprise 디렉터리에 쓸 수 있는 권한과 경고 또는 스크립트 기반 입력과 함께 작동하도록 설정된 모든 스크 립트를 실행할 수 있는 권한 수신 대기하는 네트워크 포트에 바인딩할 수 있는 권한 미만의 네트워크 포트는 루트 사용자만 바인딩할 수 있 는 예약된 포트입니다. 참고: 번호가 1024 미만인 포트는 루트 액세스 전용으로 예약되어 있기 때문에 Splunk가 루트로 실행 중인 경우에는 포트 514(syslog 기본 수신 대기 포트)에서만 수신 대기할 수 있습니다. 그러나 다른 유틸리티(syslog-ng 등)를 설치하여 syslog 데이터를 파일에 기록하고 Splunk가 해당 파일을 대신 모니터링하도록 할 수 있습니다. 설명 Splunk Enterprise를 루트가 아닌 사용자로 실행하려면 먼저 Splunk Enterprise를 root로 설치해야 합니다. 그런 다음 Splunk Enterprise를 처음 시작하기 전에 $SPLUNK_HOME 디렉터리 소유권을 원하는 사용자로 변경하십시오. 아래에는 Splunk Enterprise를 설치하고 루트가 아닌 사용자 splunk로 실행하는 방법이 설명되어 있습니다. 참고: 다음 예에서 $SPLUNK_HOME은 Splunk Enterprise 설치 디렉터리의 경로를 나타냅니다. 1. root 사용자로서 사용자 및 그룹, splunk를 만듭니다. Linux, Solaris 및 FreeBSD의 경우: useradd splunk groupadd splunk Mac OS의 경우: 시스템 기본 설정 > 계정 패널을 사용하여 사용자 및 그룹을 추가합니다. 2. root 사용자로서 (tar 파일이 아닌) 패키지 중 하나를 사용하여 설치를 실행합니다. 중요: 아직 Splunk Enterprise를 시작하지 마십시오. 3. root 사용자로서 chown 명령어를 실행하여 splunk 디렉터리와 해당 디렉터리 아래에 있는 모든 데이터의 소유자를 원하는 사용자로 변경합니다. chown -R splunk:splunk $SPLUNK_HOME 참고: 시스템의 chown 바이너리가 파일의 그룹 소유권 변경을 지원하지 않을 경우 chgrp 명령어를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 시스템의 맨 페이지를 참조하십시오. 4. 루트 계정에서 로그아웃한 후 루트가 아닌 사용자로 로그인하거나 루트가 아닌 사용자가 될 수 있는 su 명령을 사용하여 루트가 아닌 사용자가 됩니다. 5. 루트가 아닌 사용자로 Splunk Enterprise를 시작합니다. $SPLUNK_HOME/bin/splunk start 다른 사용자로 로그인되어 있을 때 Splunk Enterprise를 splunk 사용자로 시작하려면 sudo 명령어를 사용할 수 있습니다. sudo -H -u splunk $SPLUNK_HOME/bin/splunk start 이 예제 명령에서는 다음을 가정합니다. 39

40 Splunk Enterprise가 다른 위치에 설치되어 있으면 명령에서 경로를 적절히 수정합니다. 시스템에 sudo가 설치되어 있지 않을 수 있습니다. 이 경우에는 su를 사용할 수 있습니다. tar 파일을 사용하여 설치할 경우 Splunk Enterprise가 특정 사용자(예: splunk)로 실행되도록 하려면 해당 사용자를 수 동으로 만들어야 합니다. splunk 사용자가 제품에 대한 인증서를 생성하려면 /dev/urandom에 액세스할 수 있어야 합니다. Solaris 10 권한 Solaris 10에 Splunk Enterprise를 splunk 사용자로 설치할 경우 splunkd를 시작하고 예약된 포트에 바인딩하기 위해 추가 권한을 설정해야 합니다. Solaris 10에서 splunkd를 splunk 사용자로 시작하려면 다음 명령어를 실행하십시오. # usermod -K defaultpriv=basic,net_privaddr,proc_exec,proc_fork splunk Solaris 10에서 splunk 사용자가 예약된 포트에 바인딩할 수 있게 하려면 다음 명령어를 (루트로) 실행하십시오. # usermod -K defaultpriv=basic,net_privaddr splunk Splunk Enterprise 사용 시작 Splunk 처음 시작 중요 보안 팁 새로 업그레이드하거나 설치한 Splunk Enterprise를 사용하기 전에 먼저 Splunk와 데이터가 안전한지 확인해야 합니다. 자세한 내용은 Splunk Enterprise 보안 매뉴얼의 "강화 표준"을 참조하십시오. Splunk Enterprise를 시작하려면 Windows의 경우 명령줄 또는 Windows 서비스 관리자를 사용하여 Splunk Enterprise를 Windows에서 시작할 수 있습니다. 명령줄을 사용하 면 더 많은 옵션이 제공됩니다(이 절의 뒷부분 참조). cmd 창에서 C:\Program Files\Splunk\bin 으로 이동한 후 다음 명령어를 입력하십시오. splunk start Splunk를 기본 위치에 설치한 Windows 사용자의 경우 이후 예제와 설명에서 $SPLUNK_HOME을 C:\Program Files\Splunk로 변 경하십시오. 시스템 속성 대화 상자의 고급 탭을 사용하여 %SPLUNK_HOME%을 시스템 전역 환경 변수로 추가할 수도 있습니다. UNIX의 경우 Splunk Enterprise 명령줄 인터페이스(CLI) 사용: $SPLUNK_HOME/bin/splunk start 그러면 시작 시퀀스가 계속되기 전에 Splunk Enterprise가 라이선스 계약을 표시하고 이에 동의할 것을 요청합니다. Mac OS X의 경우 Splunk Enterprise는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. Splunk Enterprise를 루트가 아닌 사용자로 실행할 경우에는 Splunk에 지정된 입력을 읽을 수 있는 적절한 권한이 있는지 확인하십시오. 파인더에서 Splunk Enterprise 시작 Splunk Enterprise를 파인더에서 시작하려면 바탕 화면에서 Splunk 아이콘을 두 번 클릭하여 "Splunk's Little Helper"라는 도우미 애플리케이션을 실행하십시오. 참고: 도우미 애플리케이션을 처음 실행하면 간단한 초기화를 수행해야 한다는 메시지를 표시합니다. 평가판 라이선스를 초 기화하고 설정하려면 확인을 클릭하십시오. 도우미 애플리케이션을 로드하면 다음과 같은 몇 가지 옵션을 제공하는 대화 상자를 표시합니다. Splunk 시작 및 표시: 이 옵션은 Splunk를 시작하고 웹 브라우저에게 Splunk Web으로 페이지를 열도록 지시합니다. Splunk 시작만: 이 옵션은 Splunk를 시작하지만 브라우저에서 Splunk Web을 열지 않습니다. 취소: 도우미 애플리케이션을 종료하도록 지시합니다. 이는 Splunk Enterprise 인스턴스 자체가 아닌 도우미 애플리케 이션에만 영향을 미칩니다. 40

41 옵션을 선택하면 도우미 애플리케이션이 요청한 애플리케이션을 수행하고 종료됩니다. 도우미 애플리케이션을 다시 실행하 여 Splunk Web을 표시하거나 Splunk Enterprise를 중지할 수 있습니다. 도우미 애플리케이션은 이미 실행 중인 Splunk Enterprise를 종료하는 데 사용될 수도 있습니다. 명령줄에서 Splunk Enterprise 시작 명령줄 인터페이스에서 Splunk Enterprise를 시작하려면 다음 명령어를 $SPLUNK_HOME/bin 디렉터리에서 실행하십시오. 여기 서 $SPLUNK_HOME은 Splunk를 설치한 디렉터리이며 기본적으로 /Applications/splunk입니다../splunk start 기타 시작 옵션 Splunk Enterprise를 처음 시작할 때 라이선스에 자동으로 동의하려면 accept-license 옵션을 start 명령어에 추가하십시오. $SPLUNK_HOME/bin/splunk start --accept-license 시작 시퀀스에서 다음을 표시합니다. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Verifying configuration. This may take a while... Finished verifying configuration. Checking index directory... Verifying databases... Verified databases: _audit, _blocksignature, _internal, _thefishbucket, history, main, sampledata, splunklogger, summary Checking index files All index checks passed. All preliminary checks passed. Starting splunkd... Starting splunkweb... Splunk Server started. The Splunk web interface is at 참고: 기본 포트가 이미 사용 중이거나 사용할 수 없는 경우 Splunk Enterprise가 사용 가능한 다음 포트를 사용할 것을 제안 합니다. 이 옵션에 동의하거나 사용할 포트를 지정할 수 있습니다. 또한 두 가지 기타 start 옵션이 있는데, no-prompt 및 answer-yes입니다. $SPLUNK_HOME/bin/splunk start --no-prompt를 실행하면 Splunk Enterprise가 시작 절차를 계속 진행하다가 질문에 답 하도록 요청합니다. 이때 Splunk는 질문과 종료하는 이유를 표시하고 종료됩니다. SPLUNK_HOME/bin/splunk start --answer-yes를 실행하면 Splunk Enterprise가 시작 절차를 계속 진행하고 모든 예/아 니요 질문에 자동으로 "예"라고 답합니다. Splunk Enterprise는 질문을 표시하고 답하면서 계속합니다. 예를 들어 다음과 같이 한 줄에 옵션 3개를 모두 포함하여 시작을 실행하면 $SPLUNK_HOME/bin/splunk start --answer-yes --no-prompt --accept-license Splunk는 라이선스에 동의할 것을 요청하지 않습니다. Splunk는 모든 예/아니요 질문에 예라고 답합니다. 예/아니요 질문이 아닌 질문이 표시되면 Splunk가 종료됩니다. 개별 프로세스 시작 및 비활성화 개별 Splunk Enterprise 프로세스를 start 명령어에 개체로 추가하여 시작 및 중지할 수 있습니다. 추가할 수 있는 개체는 다 음과 같습니다. splunkd, Splunk 서버 데몬 splunkweb, Splunk Web 인터페이스 프로세스 예를 들어 splunkd만 시작하려면 다음과 같이 하십시오. $SPLUNK_HOME/bin/splunk start splunkd splunkweb을 비활성화하려면: 41

42 $SPLUNK_HOME/bin/splunk disable webserver start에 대한 자세한 내용은 CLI 도움말 페이지를 참조하십시오. $SPLUNK_HOME/bin/splunk help start Splunk Web 실행 다음으로 이동합니다. 설치할 때 선택한 호스트와 포트를 사용합니다. Splunk Enterprise에 처음 로그인할 때 기본 로그인 정보는 다음과 같습니다. 사용자 이름 - admin 암호 - changeme Splunk Free에는 액세스 제어가 없습니다. 다음 단계 Splunk Enterprise를 서버 한 대에 설치한 후에는 다음 링크를 참조하여 시작하십시오. Splunk Enterprise의 정의 및 기능과 특징에 대해 알아봅니다. Splunk Enterprise에 데이터를 추가하는 방법에 대해 알아봅니다. 사용자를 추가 및 관리합니다. 데이터를 저장하기 위해 필요한 공간을 계산합니다. 하루 몇 기가바이트에서 몇 테라바이트에 이르는 Splunk Enterprise 배포 계획을 세웁니다. 검색, 모니터링 및 보고 방법 등에 대해 알아봅니다. 기존 기술과 비교한 Splunk Enterprise의 가장 큰 차이점 중 하나는 검색 시 데이터를 분류하고 해석한다는 데 있습니 다. 이것이 무엇을 의미하는지, 그리고 이 기능을 어떻게 사용하는지 알아봅니다. Splunk Enterprise를 앱과 함께 패키지(예: Splunk + WebSphere)로 다운로드한 경우에는 Splunk Web으로 이동하고 시작 관리자에서 앱을 선택하여 앱 설정 페이지로 바로 이동하십시오. 패키지 앱의 설치 및 배포에 대한 자세한 내용을 보려면 Splunk 앱에서 앱 이름을 검색하십시오. Splunk Enterprise의 접근성에 대해 알아보기 Splunk는 1973년 미국 재활법 508조와 사용 편리성 베스트 프랙티스에 따라 AT(보조과학기술) 사용자를 위한 접근성과 사 용 편리성을 유지 및 개선하기 위해 노력하고 있습니다. 이 항목에서는 Splunk가 AT 사용자를 위해 제품의 접근성을 개선하 는 방법에 대해 설명합니다. Splunk Web과 CLI의 접근성 Splunk Enterprise 명령줄 인터페이스(CLI)는 완전한 접근성을 제공하며, Splunk Web에서 사용 가능한 일부 기능을 지원합 니다. CLI는 모든 사용자가 접근성 요구에 관계없이 쉽게 사용할 수 있도록 설계되었으며, 따라서 Splunk는 AT 사용자(특히 시각장애인 또는 이동에 불편이 있는 사용자)에게 CLI 사용을 권장합니다. 또한 Splunk는 시각장애인과 같은 사용자들이 때때로 GUI 사용을 선호하는 것을 이해합니다. 따라서 Splunk Web은 다음과 같은 접근성 기능을 포함하도록 설계되었습니다. 양식 필드와 대화 상자에는 웹 브라우저에서 지원되는 화면 초점 표시가 있습니다. 브라우저에 의해 구현되는 시각적 초점이 없는 링크 또는 단추나 기타 요소를 위해 구현된 추가적인 화면 초점은 없습 니다. 양식 필드에 레이블이 일관적으로 적절하게 지정되며, ALT 텍스트를 사용하여 기능적 요소와 이미지에 대해 설명합니 다. Splunk Web은 사용자 정의 스타일 시트를 재정의하지 않습니다. Splunk Web의 데이터 시각화에는 컬러로 전달되는 정보를 컬러 없이 사용할 수 있도록 마우스를 위로 이동하여 확인 할 수 있거나 데이터 테이블로 출력되는 내부 데이터가 있습니다. HTML로 구현되는 대부분의 데이터 테이블에는 필요할 때 데이터를 식별하기 위해 헤더와 마크업이 사용됩니다. Flash를 사용하여 표시되는 데이터 테이블에는 헤더가 시각적으로 표시됩니다. CSV(쉼표 구분 값) 형식으로 출력되 는 기본 데이터에는 적절한 데이터 식별 헤더가 있습니다. 접근성과 실시간 검색 Splunk Web에는 깜박이거나 점멸하는 구성 요소가 포함되어 있지 않습니다. 그러나 실시간 검색을 사용하면 페이지가 업데 이트됩니다. 실시간 검색은 배포 또는 사용자/역할 수준에서 쉽게 비활성화할 수 있습니다. AT 사용자는 편의와 사용 편리성 을 극대화하기 위해 실시간 기능을 비활성화한 상태에서 CLI를 사용하는 것이 좋습니다. 실시간 검색의 비활성화에 대한 자 세한 내용은 검색 매뉴얼의 "실시간 검색의 사용을 제한하는 방법"을 참조하십시오. Firefox 및 Mac OS X를 사용한 키보드 탐색 42

43 Mac OS X에서 Firefox의 Tab 키 탐색 기능을 활성화하려면 브라우저 기본 설정 대신 시스템 기본 설정을 사용하십시오. 키 보드 탐색을 활성화하려면 1. 메뉴 모음에서 [Apple 아이콘]>시스템 기본 설정>키보드를 클릭하여 키보드 기본 설정 대화 상자를 엽니다. 2. 키보드 기본 설정 대화 상자의 상단에 있는 바로 가기 키보드 단추를 클릭합니다. 3. 대화 상자 하단의 전체 키보드 액세스 부분에서 모든 컨트롤 라디오 단추를 클릭합니다. 4. 키보드 기본 설정 대화 상자를 닫습니다. 5. Firefox가 이미 실행 중이면 브라우저를 종료하고 재시작합니다. Splunk Enterprise 라이선스 설치 Splunk Enterprise 라이선스에 대하여 Splunk Enterprise는 지정한 원본으로부터 데이터를 가져와서 분석할 수 있도록 데이터를 처리합니다. 이 프로세스를 인덱 싱이라고 합니다. 인덱싱 프로세스에 대한 내용은 데이터 가져오기 매뉴얼의 "Splunk Enterprise의 데이터 작업"을 참조하 십시오. Splunk Enterprise 라이선스는 하루에 인덱싱할 수 있는 데이터의 양을 지정합니다. Splunk 라이선스에 대한 자세한 내용은 다음을 참조하십시오. 관리자 매뉴얼의 "Splunk 라이선싱 방식" 관리자 매뉴얼의 "Splunk Enterprise 라이선스 유형" 관리자 매뉴얼의 "Splunk Free 추가 정보" 라이선스 설치 이 항목에서는 Splunk Enterprise에 새 라이선스를 설치하는 방법에 대해 설명합니다. 계속하기 전에 라이선스에 대한 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개는 관리자 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 관리자 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 새 라이선스 추가 새 라이선스를 추가하려면: 1. 설정 > 라이선싱으로 이동합니다. 2. 라이선스 추가를 클릭합니다. 3. 파일 선택을 클릭하고 라이선스 파일을 찾아서 선택합니다. 또는 라이선스 XML을 직접 복사하여 붙여넣습니다를 클릭하 여 라이선스 파일 내용을 제공된 필드에 붙여넣습니다. 4. 설치를 클릭합니다. Splunk가 라이선스를 설치합니다. Enterprise 라이선스를 처음 설치하는 경우 Splunk를 재시작해야 합니다. 라이선스 위반 라이선스가 허용하는 최대 인덱스 볼륨을 초과할 때 위반이 발생합니다. 역일(자정에서 다음 자정까지의 24시간)의 라이선 스 일별 볼륨을 초과할 경우 위반 경고가 발생합니다. 이 메시지는 14일간 나타납니다. 30일 기간 동안 Enterprise 라이선 스에서 5개 이상의 경고가 계속 발생하거나 Free 라이선스에서 3개의 경고가 계속 발생할 경우 라이선스 위반에 해당되며, Splunk가 검색할 수 없게 됩니다. 이전 30일 동안 경고가 5개보다 적거나(Enterprise), 3개보다 적을 때(Free) 또는 임시 Reset 라이선스(Enterprise만 해당됨)를 적용할 경우에는 검색 기능을 다시 사용할 수 있습니다. Reset 라이선스를 받으려 면 판매 담당자에게 문의하십시오. 참고: 요약 인덱싱 용량은 라이선스 용량에서 차감되지 않습니다. 위반 경고가 발생할 경우 라이선스 마스터가 자정까지 이 경고를 해결하면 30일 기간 내에 총 경고 수로 카운트되지 않습니 43

44 다. 라이선스 위반 기간 중에는 다음에 유의하십시오. Splunk는 데이터 인덱싱을 중지하지 않습니다. 라이선스를 초과할 경우에만 검색이 차단됩니다. Splunk는 _internal 인덱스에 대한 검색을 비활성화하지 않습니다. 즉, 인덱스 상태 대시보드에는 계속 액세스할 수 있 으며 _internal에 대한 검색을 통해 라이선스 문제를 진단할 수도 있음을 의미합니다. 라이선스 위반 사항이 있습니까? 관리자 매뉴얼의 "라이선스 위반에 대하여"를 참조하거나 Splunk 커뮤니티 위키에서 "인덱 싱된 데이터 볼륨 문제 해결"을 읽으십시오. 라이선싱에 대한 자세한 내용은 관리자 매뉴얼의 "Splunk 라이선스 관리" 장에서 확인할 수 있습니다. Splunk Enterprise 업그레이드 또는 마이그레이션 Splunk Enterprise 업그레이드 방법 이 항목에서는 Splunk Enterprise와 Splunk Enterprise 구성 요소의 버전을 업그레이드하는 방법에 대해 설명합니다. 대부분 최신 패키지를 기존 설치된 패키지에 설치하여 Splunk Enterprise를 업그레이드합니다. Windows 시스템에서 설치 프로그램 패키지는 설치된 버전을 인식하고 자동 업그레이드를 제안합니다. 참고: Splunk Enterprise를 업그레이드할 경우 관리자 수준의 사용자 계정을 사용하여 업그레이드하십시오. 6.2의 새로운 멋진 기능 6.2 버전에서 제공하는 새로운 기능의 전체 리스트는 릴리스 노트의 "Splunk Enterprise 6.2 소개"를 참조하십시오. 이 릴리스의 문제 및 해결 방법이 나열된 리스트는 릴리스 노트의 "알려진 문제"를 참조하십시오. 항상 기존 배포 환경 먼저 백업 업그레이드 또는 마이그레이션하기 전에 항상 기존 Splunk Enterprise 배포 환경을 백업하십시오. 외부 백업, 디스크 또는 파일 시스템 스냅샷 또는 다른 방법을 사용하거나 설치된 Splunk Enterprise와 데이터를 업그레이드 하기 전의 상태로 복원할 수 있는 기술을 사용하여 위험을 관리할 수 있습니다. Splunk Enterprise 데이터를 백업할 때 $SPLUNK_HOME 디렉터리와 해당 디렉터리 밖에 있는 모든 인덱스를 고려하십시오. Splunk Enterprise 배포 환경 백업에 대한 자세한 내용은 관리자 매뉴얼의 "설정 정보 백업" 및 인덱서 및 클러스터 관리 매 뉴얼의 "인덱스 데이터 백업" 항목을 참조하십시오. 환경을 기반으로 적절한 업그레이드 절차 선택 단일 Splunk 인스턴스가 있는지 또는 서로 연결된 다중 Splunk 인스턴스가 있는지 여부에 따라 Splunk Enterprise를 업그레 이드하는 방식이 달라집니다. Splunk 인스턴스의 클러스터를 설정한 경우 그 차이가 상당히 큽니다. 분산 환경 업그레이드 하나 이상의 검색 헤드 풀이 있는 환경을 포함하여 분산된 Splunk Enterprise 환경을 업그레이드할 경우 분산 배포 매뉴얼의 "분산 환경 업그레이드"를 참조하십시오. 클러스터된 환경 업그레이드 클러스터된 Splunk Enterprise 환경을 업그레이드할 경우 인덱서 및 클러스터 관리 매뉴얼의 "클러스터된 배포 업그레이 드"를 참조하십시오. 해당 항목에는 이 매뉴얼의 지침을 대체하는 업그레이드 지침이 있습니다. 중요: 클러스터된 Splunk Enterprise 환경의 모든 노드가 동일한 버전의 Splunk Enterprise를 실행해야 합니다. 클러스터된 환경을 업그레이드할 경우 클러스터의 모든 노드(검색 헤드, 마스터 노드 및 피어 노드 포함)를 동시에 업그레이드해야 합니 다. 업그레이드하기 전에 마이그레이션에 대한 중요한 내용 확인 중요: 업그레이드하기 전에 "6.2 업그레이드 정보: 먼저 읽을 내용"에서 마이그레이션에 대한 구체적인 정보를 확인하십시 오. 5.0 이상에서 업그레이드 Splunk Enterprise 5.0 버전 이상을 6.2 버전으로 직접 업그레이드할 수 있습니다. Linux, Solaris, FreeBSD, HP-UX, AIX 및 MacOS에서 6.2로 업그레이드 Windows에서 6.2로 업그레이드 44

45 4.3 이전에서 업그레이드 4.3 이전 버전에서 6.2 버전으로 직접 업그레이드하는 방법은 정식으로 지원되지 않습니다. 4.3 버전을 실행할 경우 6.2로 업그레이드하기 전에 먼저 6.0 버전으로 업그레이드하십시오. 4.2 버전을 실행할 경우 6.2로 업그레이드하기 전에 먼저 5.0 버전으로 업그레이드하십시오. 4.2 이전 버전을 실행할 경우 먼저 4.3 버전으로 업그레이드한 다음, 6.0 버전으로 업그레이드하고 6.2로 업그레이드 하십시오. 4.3 버전으로 업그레이드하는 방법에 대한 내용은 "4.3 업그레이드 정보: 먼저 읽을 내용"을 참조하십시오. 유니버설 포워더 업그레이드 유니버설 포워더의 업그레이드 프로세스는 전체 Splunk Enterprise 업그레이드 프로세스와 다릅니다. 유니버설 포워더를 업 그레이드하기 전에 사용 중인 운영 체제에 해당되는 업그레이드 항목을 읽으십시오. Windows 유니버설 포워더 업그레이드 Unix 유니버설 포워더 업그레이드 인덱서와 유니버설 포워더의 상호운용성과 호환성에 대한 내용은 데이터 포워딩 매뉴얼의 "인덱서와 유니버설 포워더 호환 성"을 참조하십시오. 6.2 업그레이드 정보 - 먼저 읽을 내용 이 항목에는 이전 버전에서 6.2 버전으로의 업그레이드에 대한 중요한 정보와 팁이 수록되어 있습니다. Splunk 환경을 업그 레이드하기 전에 먼저 읽어보십시오. 중요: 모든 Splunk 앱 및 추가 기능이 Splunk Enterprise 6.2와 호환되는 것은 아닙니다. 이 릴리스로 업그레이드를 고려하 고 있는 경우 Splunk 앱에서 앱이 Splunk Enterprise 6.2와 호환되는지 확인하십시오. 클러스터된 환경 업그레이드 Splunk 클러스터를 업그레이드할 경우 인덱서 및 클러스터 관리 매뉴얼의 "클러스터된 배포 업그레이드"를 참조하십시오. 해당 항목의 지침이 이 매뉴얼의 업그레이드 지침을 대체합니다. 중요: 클러스터된 Splunk 환경의 모든 노드가 동일한 버전의 Splunk Enterprise를 실행해야 합니다. 클러스터된 환경을 업 그레이드할 경우 클러스터의 모든 노드(검색 헤드, 마스터 노드 및 피어 노드 포함)를 동시에 업그레이드해야 합니다. 업그레이드 경로 Splunk Enterprise는 다음과 같은 경로를 통해 6.2 버전 소프트웨어로 업그레이드할 수 있습니다. 전체 Splunk Enterprise에서 5.0 이상 버전을 6.2로 업그레이드 Splunk 유니버설 포워더에서 5.0 이상 버전을 6.2로 업그레이드 Splunk Enterprise 4.3 버전을 실행할 경우 6.2로 업그레이드하기 전에 먼저 6.0으로 업그레이드하십시오. 자세한 내용은 "6.0 업그레이드 정보 - 먼저 읽을 내용"을 참조하십시오. Splunk Enterprise 4.3 이전 버전을 실행할 경우 먼저 5.0으로 업그레이드한 다음 6.2로 업그레이드하십시오. 5.0 버전으로 인스턴스를 마이그레이션하는 방법에 대한 내용은 "5.0 업그레이드 정보: 먼저 읽을 내용"을 참조하십시오. 추가 정보 5.0 버전 이상에서 6.2 버전으로 업그레이드하기는 간단하지만, 새 버전을 설치할 때 주의해야 할 사항들이 있습니다. splunkweb 서비스가 splunkd 서비스에 통합됨 모든 Splunk Web 작업을 처리하고 splunkd 서비스에 요청을 보내던 splunkweb 서비스는 비활성화되었습니다. 이제 splunkd 서비스가 일반적인 작업에서 모든 Splunk Enterprise 서비스를 처리합니다. Windows에 splunkweb 서비스가 설치되지만 실 행되지는 않습니다. 이 항목의 "Windows 관련 변경 사항" 절에서 "Splunk Web 서비스가 설치되지만 실행되지 않음"을 참 조하십시오. 필요한 경우 "기존 모드"에서 실행되도록 Splunk Enterprise를 설정할 수 있으며, 이때 splunkweb은 별도의 서비스로 실행됩 니다. "Splunk Enterprise 시작 및 중지"를 참조하십시오. 중요: Splunk Web을 영구적으로 기존 모드에서 실행하지 마십시오. 사용자 인터페이스를 기본 splunkd 서비스와 새로 통 합함에 따라 발생한 문제를 일시적으로 해결하려면 기존 모드를 사용하십시오. 문제가 해결되면 Splunk Web을 최대한 빨리 일반 모드로 전환하십시오. 독립형 검색 헤드 또는 검색 헤드 풀링의 경우 검색 헤드 클러스터링으로 마이그레이션이 지원되지 않음 현재 독립형 검색 헤드를 실행하거나 검색 헤드 풀링을 사용하는 경우 검색 헤드 클러스터링으로 마이그레이션할 수 있는 방 법이 없습니다. 새 기능을 사용하려면 검색 헤드 풀링을 제거한 다음 업그레이드 후 검색 헤드 클러스터링을 설정해야 합니 다. 새로 설치된 서비스로 인해 추가 네트워크 포트가 열림 45

46 Splunk Enterprise는 KV 스토어와 앱 서버의 두 가지 새로운 서비스를 설치하고 실행합니다. 이에 따라 기본적으로 로컬 컴 퓨터에 8191(KV 스토어용) 및 8065(앱 서버용) 등 두 개의 네트워크 포트가 열립니다. 컴퓨터에서 실행하는 방화벽이 이들 포트를 차단하지 않는지 확인하십시오. KV 스토어 서비스는 추가 프로세스인 mongod도 시작합니다. 필요한 경우, server.conf를 편집하고 dbpath 속성을 Splunk Enterprise 인스턴스에서 도달할 수 있는 파일 시스템의 유효한 경로로 변경 하여 KV 스토어를 비활성화할 수 있습니다. 관리자 매뉴얼의 "앱 key value 스토어에 대하여"를 참조하십시오. 새 앱 key value 스토어 서비스로 인해 디스크 공간 사용량이 증가할 수 있음 실행하는 앱의 수에 따라, 애플리케이션 내에서 데이터를 저장하고 검색하여 해당 애플리케이션의 상태를 유지 관리할 수 있 는 앱 key value 스토어(KV 스토어)로 인해 인스턴스의 디스크 사용량이 증가할 수도 있습니다. server.conf를 편집하여 KV 스토어 서비스에서 해당 데이터를 저장하는 위치를 변경하고, splunk clean CLI 명령을 사용하여 KV 스토어에서 사용된 데 이터를 복원할 수 있습니다. 관리자 매뉴얼의 "앱 key value 스토어에 대하여"를 참조하십시오. 데이터 블록 서명이 제거됨 데이터 블록 서명은 Splunk Enterprise 버전 6.2에서 제거되었습니다. 이 기능은 한동안 지원이 중단되었습니다. 인트로스펙션 디렉터리에 올바른 권한이 있는지 확인 Linux에서 루트 사용자가 아닌 사용자로 Splunk Enterprise를 실행하고 RPM을 사용하여 업그레이드하는 경우 RPM이 $SPLUNK_HOME/var/log/introspection 디렉터리를 루트로 기록합니다. 이렇게 하면 나중에 인스턴스를 시작하려고 할 때 오류 가 발생할 수 있습니다. 오류를 방지하려면 Splunk Enterprise를 업그레이드한 후 재시작하기 전에 chown을 통해 $SPLUNK_HOME/var/log/introspection 디렉터리 소유자를 Splunk Enterprise 실행 사용자로 변경하십시오. Splunk DB Connect 앱으로 인해 데이터 입력에 오류가 발생할 수 있음 Splunk DB Connect 앱 버전 1.1.4의 설계상 결함으로 인해, 설치된 앱을 사용하여 Splunk Enterprise 인스턴스를 업그레이 드하는 경우 "데이터 입력" 페이지의 "포워딩된 입력" 절이 사라집니다. 이 문제를 해결하려면 업그레이드를 시작하기 전에 앱을 버전 1.1.5로 업그레이드하십시오. 일부 속성의 새 기본값이 SSL을 통한 Splunk 작업에 영향을 미칠 수 있음 새 기본값이 SSL을 통해 Splunk Enterprise를 실행하는 데 영향을 미칠 수 있습니다. Splunk Enterprise에서 SSL 클라이언트를 처리하는 방식을 제어하는 supportsslv3only 속성의 기본 설정은 이제 true입니다. 즉, SSL v3 프로토콜을 사용하는 클라이언트만 Splunk Enterprise 인스턴스에 연결할 수 있습니다. SSL 연결 시 사용할 수 있는 암호화 프로토콜을 제어하는 ciphersuite 속성의 기본 설정은 이제 즉, 암호화 기능이 '높은' TLS(Transport Layer Security) v1 암호화 패키지를 보유한 클 라이언트만 Splunk Enterprise 인스턴스에 연결할 수 있습니다. 로그인 페이지 사용자 지정 기능을 더 이상 사용할 수 없음 6.2에서는 로그인 페이지 사용자 지정 기능을 더 이상 사용할 수 없습니다. 업그레이드 후에는 로그인 페이지의 머리글과 바 닥글만 수정할 수 있습니다. Windows 관련 변경 사항 새로운 설치 및 업그레이드 절차 Splunk Enterprise의 Windows 버전은 이제 더 간소화된 방법으로 설치하고 업그레이드할 수 있습니다. 이제 기본적으로 새 로운 설치의 경우 특정 기본값으로 가정하고, 업그레이드의 경우 기존 설정을 유지합니다. 설치 시 기본값을 변경하려면 "옵 션 사용자 지정" 단추를 선택해야 합니다. 업그레이드하는 동안 유일한 옵션은 라이선스 계약 동의 옵션입니다. "설치 옵 션"을 참조하십시오. Splunk Web 서비스가 설치되지만 실행되지 않음 Splunk Enterprise v6.2부터는 splunkd 서비스가 모든 Splunk Web 작업을 처리합니다. 하지만 Windows 인스턴스에서는 설치 프로그램이 여전히 splunkweb 서비스를 설치합니다. 단, 일반 모드에서 작동하는 경우 서비스가 실행 즉시 종료됩니다. web.conf에서 설정 매개 변수를 변경하여 서비스가 "기존 모드"에서 실행되도록 설정할 수 있습니다. 관리자 매뉴얼의 "Windows에서 기존 모드로 Splunk Enterprise 시작"을 참조하십시오. 중요: Splunk Web을 영구적으로 기존 모드에서 실행하지 마십시오. 사용자 인터페이스를 기본 splunkd 서비스와 새로 통 합함에 따라 발생한 문제를 일시적으로 해결하려면 기존 모드를 사용하십시오. 문제가 해결되면 Splunk Web을 최대한 빨리 일반 모드로 전환하십시오. Windows에서는 검색 헤드 클러스터링이 지원되지 않음 검색 헤드 클러스터링 기능은 현재 *nix 호스트에서 실행되는 Splunk Enterprise에서만 사용할 수 있습니다. 검색 헤드 클러 스터링을 사용하려면 Splunk Enterprise의 *nix 인스턴스를 설치하고 해당 인스턴스에서 검색 헤드 클러스터링을 설정해야 합니다. 46

47 업그레이드 후 FIPS(Federal Information Processing Standards) 활성화 지원 안 함 SSL(Secure Sockets Layer) 인증서가 활성화된 Splunk Enterprise 시스템에서 FIPS가 활성화된 시스템으로 업그레이드 할 수 없습니다. FIPS를 활성화해야 하는 경우 새로운 설치에서 활성화해야 합니다. 버전 5에서 버전 6으로 업그레이드한 후에 변경되는 Splunk Web 절차 이 항목에는 버전 5.x와 버전 6.2에서 Splunk Web 사용자 인터페이스를 사용하여 작업을 수행하는 방법의 주요한 차이가 일 부 나열되어 있습니다. 변경된 사항 절차/작업 기존 방식 변경된 방식 Splunk Enterprise에 처음 로그인 5.x의 Splunk Enterprise 시작 관리자에는 2 개의 탭, 즉 시작 탭과 Splunk 홈 탭이 있습니 다. 시작 탭에서는 데이터를 추가하고 검색 앱 을 실행할 수 있습니다. 6.2에서 Splunk Enterprise는 홈에서 시작됩니다. 홈에는 Splunk Enterprise 탐색 메뉴, 앱 패널, Splunk Enterprise 탐색 패널, 사용자 지정 기본 대시보드(여기에는 표시되지 않음)가 포함됩니다. 홈으로 돌아가기 5.x에서 홈/시작 탭으로 돌아가기 위해 앱 메 뉴에서 홈 앱을 선택했습니다. 6.2에서는 탐색 메뉴의 왼쪽 상단에 있는 Splunk 로고를 클릭합니다. 이 경우 항상 홈 화면이 나타 납니다. 계정 정보 편집 5.x에서는 관리자 > 사용자 및 인증 > 내 계정 을 통해 계정 정보에 액세스(전체 이름, 이메 일 주소, 기본 앱, 시간대, 암호 변경)했습니다. 6.2에서는 Splunk 탐색 메뉴의 관리자 > 계정 편 집에서 계정 정보에 직접 액세스합니다. Splunk Enterprise에 서 로그아웃 5.x에서는 탐색 메뉴의 "로그아웃" 단추를 클 릭했습니다. 6.2에서는 관리자 > 로그아웃을 선택합니다. (관 리자로 로그인하지 않은 경우 Splunk Enterprise 는 로그인한 사용자의 전체 이름을 표시합니다. "로그아웃" 메뉴 옵션을 표시하려면 이 이름을 클 릭합니다) 관리자/설정 5.x에서는 모든 개체 및 시스템 설정을 관리자 페이지 또는 탐색 메뉴의 "관리자" 링크에서 편집했습니다. 6.2에서는 설정 메뉴에서 해당 설정에 직접 액세 스합니다. 별도의 관리자 페이지는 없습니다. 앱 관리: 설치된 앱에 대한 권한 편집, 새 앱 만들기 또는 Splunk 5.x에서는 관리자 -> 앱을 사용하거나 앱 메뉴 에서 선택했습니다. 6.2에서는 탐색 메뉴의 앱 메뉴나 홈 페이지의 앱 단어 옆에 있는 기어 아이콘을 사용합니다. 47

만들기 또는 Splunk 앱에서 커뮤니티 앱 찾아보기 검색 요약, 검색 검색 & 보고서 대시보드 & 뷰 검색 보고서 대시보드 필드 추출 또는 원본 표시 검색 결과에서 이벤트 타임스탬프 왼쪽의 화 살표를 클릭하고 필드 추출 또는 원본 표시를 선택합니다. 검색 결과에서 이벤트 타임스탬프 왼쪽의 화살표 를 클릭하고 이벤트 작업을 클릭합니다.

48 만들기 또는 Splunk 앱에서 커뮤니티 앱 찾아보기 검색 요약, 검색 검색 & 보고서 대시보드 & 뷰 검색 보고서 대시보드 필드 추출 또는 원본 표시 검색 결과에서 이벤트 타임스탬프 왼쪽의 화 살표를 클릭하고 필드 추출 또는 원본 표시를 선택합니다. 검색 결과에서 이벤트 타임스탬프 왼쪽의 화살표 를 클릭하고 이벤트 작업을 클릭합니다. 필드 추 출 또는 원본 표시를 선택합니다. 경고 리스트 찾기 탐색 메뉴에서 "경고"를 선택했습니다. 탐색 메뉴에서 활동 > 트리거된 경고를 선택합니 다. 시간 표시줄 찾기 5.x에서는 시간 표시줄이 검색 실행 후에 항상 대시보드의 일부로 표시되었습니다. 시간 표 시줄을 숨길 수 있습니다. 6.2에서는 검색을 실행한 후 이벤트 탭을 볼 경우 에만 시간 표시줄을 볼 수 있습니다. Splunk 앱 개발자를 위한 변경 사항 Splunk Enterprise용 앱 개발자는 이 항목을 읽고 6.2 버전에서 Splunk Enterprise가 앱과 함께 작동하는 방법에 대한 변경 사항과 기존 앱을 새 버전과 함께 사용하기 위해 마이그레이션하는 방법에 대해 알아보는 것이 좋습니다. 단순 XML의 일부 요소가 지원 중단됨 다음을 포함하여 단순 XML의 여러 요소가 지원 중단되었습니다. list 요소: 더 이상 panel 개체에서 이 요소를 사용할 수 없습니다. 행 그룹화: 대신 panel 구문을 사용하십시오. 모든 행 그룹화는 이 구문으로 자동 변환됩니다. searchstring, searchtemplate, searchpostprocess, populatingsearch 및 populatingsavedsearch 요소: 대신 새로운 search 요소를 사용하십시오. earliesttime 및 latesttime 요소: 대신 earliest 및 latest를 사용하십시오. 미리 작성된 새 'panels' 개체가 포함됨 이 개체를 사용하면 개발자가 재사용 가능한 대시보드 패널을 패키징할 수 있습니다. 이 개체는 시스템의 새로운 knowledge 객체로 애플리케이션 내에서 패키징할 수 있습니다. Splunk Web용 뷰 및 앱 개발 매뉴얼을 참조하십시오. UNIX에서 6.2로 업그레이드 이 항목에서는 Splunk Enterprise 인스턴스를 5.0 이상 버전에서 6.2로 업그레이드하는 절차에 대해 설명합니다. 업그레이드하기 전에 48

모두 보기

Table of Contents Splunk Enterprise 설치 매뉴얼 소개 매뉴얼 내용 4 4 Splunk Enterprise 설치 계획 4 설치 개요 4 시스템 요구 사항 4 Splunk Enterprise 아키텍처 및 프로세스 8 Splunk Enterpri

Splunk Enterprise 6.3.0 설치 매뉴얼 생성일: 2015-09-25 오후 12시 29분 Copyright (c) 2016 Splunk Inc. All Rights Reserved Table of Contents Splunk Enterprise 설치 매뉴얼 소개 매뉴얼 내용 4 4 Splunk Enterprise 설치 계획 4 설치 개요 4 시스템