Table of Contents Splunk Enterprise 관리 소개 매뉴얼 사용 방법 Splunk 관리: 전체 개요 기타 Splunk 관리자용 매뉴얼 Windows 관리자를 위한 지침 Splunk Free에 대하여 Splunk 작업에서 *nix와 Windows의

Transcription

1 Splunk Enterprise 관리자 매뉴얼 생성일: 오후 4시 53분 Copyright (c) 2015 Splunk Inc. All Rights Reserved

2 Table of Contents Splunk Enterprise 관리 소개 매뉴얼 사용 방법 Splunk 관리: 전체 개요 기타 Splunk 관리자용 매뉴얼 Windows 관리자를 위한 지침 Splunk Free에 대하여 Splunk 작업에서 *nix와 Windows의 차이점 Splunk 설정 방법 Windows에서 Splunk Enterprise 최대한 활용하기 Windows에 Splunk 배포 Splunk를 최고 성능으로 최적화하는 방법 시스템 이미지에 Splunk 배치 유니버설 포워더를 시스템 이미지에 통합 전체 Splunk를 시스템 이미지에 통합 Splunk Web을 사용한 Splunk Enterprise 관리 Splunk Web 실행 Splunk Web 정보 Splunk 기본 대시보드 Splunk Web 배너 메시지 사용자 지정 프록시 서버를 통해 Splunk Web 사용 설정 파일을 사용한 Splunk Enterprise 관리 설정 파일에 대하여 설정 파일 디렉터리 설정 파일 구성 설정 파일 우선 순위 단일 props.conf 파일 내의 속성 우선 순위 설정 파일 복사 및 편집 방법 설정 파일 변경 후에 Splunk를 재시작해야 하는 경우 설정 파일 리스트 설정 매개 변수 및 데이터 파이프라인 설정 정보 백업 명령줄 인터페이스(CLI)를 사용한 Splunk Enterprise 관리 CLI에 대하여 CLI 도움말 보기 관리 CLI 명령 CLI를 사용하여 원격 Splunk 서버 관리 CLI 로그인 배너 사용자 지정 Splunk Enterprise 시작 및 초기 작업 수행 Splunk Enterprise 시작 및 중지 부팅 시 시작하도록 Splunk 설정 라이선스 설치 기본값 변경

3 Splunk를 IP에 바인드 IPv6용 Splunk 설정 설정 보안 Splunk 라이선스 설정 Splunk 라이선싱 방식 Splunk 라이선스 유형 그룹, 스택, 풀 및 기타 용어 라이선스 설치 라이선스 마스터 설정 라이선스 슬레이브 설정 라이선스 풀 만들기 또는 편집 라이선스 풀에 인덱서 추가 CLI를 통해 라이선스 관리 Splunk 라이선스 관리 라이선스 관리 라이선스 위반에 대하여 라이선스 마스터 교체 라이선스 사용량 보고서 뷰 Splunk Enterprise 라이선스 사용량 보고서 뷰에 대하여 라이선스 사용량 보고서 뷰 사용 분산 관리 콘솔로 Splunk Enterprise 모니터링 분산 관리 콘솔 설정 플랫폼 경고 인덱싱 성능: 인스턴스 인덱싱 성능: 배포 검색 작업: 인스턴스 검색 작업: 배포 검색 사용량 통계: 인스턴스 리소스 사용량: 인스턴스 리소스 사용량: 서버 리소스 사용량: 배포 KV 스토어: 인스턴스 KV 스토어: 배포 라이선싱 앱 key value 스토어 관리 앱 key value 스토어에 대하여 Splunk 앱 정보 앱 및 추가 기능 정의 기본 검색 앱 앱에서 열리도록 Splunk Web 설정 더 많은 앱과 추가 기능 찾기 앱 아키텍처 및 개체 소유권 앱 및 추가 기능 개체 관리 앱 및 추가 기능의 설정 및 속성 관리

4 Hunk 정보 Hunk 정보 사용자 관리 사용자 및 역할에 대하여 사용자 언어 및 로케일 설정 사용자 Session timeout 설정 설정 파일 참조 alert_actions.conf app.conf audit.conf authentication.conf authorize.conf collections.conf commands.conf crawl.conf datamodels.conf datatypesbnf.conf default.meta.conf default-mode.conf deployment.conf deploymentclient.conf distsearch.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf indexes.conf inputs.conf instance.cfg.conf limits.conf literals.conf macros.conf multikv.conf outputs.conf pdf_server.conf procmon-filters.conf props.conf pubsub.conf restmap.conf savedsearches.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf setup.xml.conf source-classifier.conf sourcetype_metadata.conf sourcetypes.conf splunk-launch.conf tags.conf

5 tags.conf tenants.conf times.conf transactiontypes.conf transforms.conf ui-prefs.conf user-prefs.conf user-seed.conf viewstates.conf web.conf wmi.conf workflow_actions.conf

6 Splunk Enterprise 관리 소개 매뉴얼 사용 방법 이 매뉴얼에서는 Splunk를 관리할 수 있는 여러 가지 방법에 대해 설명하고, Windows 및 *nix에 대한 초기 관리 작업도 몇 가지 소개합니다. 참고: 달리 지정하지 않는 한 이 매뉴얼에서 설명하는 작업 및 프로세스는 Windows 및 *nix 운영 체제에 모두 해당됩니다. 이 매뉴얼에서 설명되지 않은 작업(사용자 설정 또는 데이터 및 보안 설정 등)을 포함하여 Splunk 관리 프로세스를 더 넓은 관점에서 보려면 이 매뉴얼의 "Splunk 관리: 전체 개요"를 참조하십시오. Splunk 사용자에게 제공되는 기타 매뉴얼 리스트와 간단한 설명은 "기타 Splunk 관리자용 매뉴얼"을 참조하십시오. 관리 매뉴얼을 통해 수행 가능한 작업 작업 Splunk 시작 및 일부 초 기 설정 작업 수행 Splunk Web을 사용한 Splunk 설정 및 관리 설정 파일을 사용한 Splunk 설정 및 관리 Splunk 명령줄 인터페이 스(CLI)를 사용한 Splunk 설정 및 관리 Windows에서 Splunk 최적화 Splunk 라이선스에 대해 알아보기 Splunk 앱 소개 사용자 설정 관리 관련 항목 Splunk에서 시작하기 위해 해야 하는 모든 작업. Splunk를 시작하고 라이선스를 설치한 후 Splunk를 IP에 바인딩하는 등의 작업이 모두 포함됩니다. 자세한 내용 은 "선행 작업"을 참조하십시오. Splunk Web 개요와 Splunk Web을 사용하여 Splunk를 관리할 수 있는 방법. 자 세한 내용은 "Splunk Web 사용"을 참조하십시오. 설정 파일에 대한 설명으로, 설정 파일의 위치, 작성 및 편집 방법, 파일 우선 순위 에 대한 몇 가지 중요한 정보. 시작하려면 "설정 파일에 대하여"를 참조하십시오. 명령줄 인터페이스를 사용하여 Splunk를 설정하는 방법에 대한 개요. 자세한 내용 은 "CLI에 대하여"를 참조하십시오. Windows에서 Splunk를 사용하여 작업할 때 알아야 하는 몇 가지 정보. 최적 배포 를 위한 추가 정보와 시스템 이미지를 사용하는 작업 수행에 대한 내용이 포함됩 니다. 자세한 내용은 "Windows 관리자를 위한 지침"을 참조하십시오. 라이선스를 설치한 후 "Splunk 라이선스 관리"로 이동하여 Splunk 라이선스에 대 해 알아야 하는 모든 내용을 확인하십시오. Splunk 앱에 대한 소개 및 개요, Splunk 앱을 Splunk에 설치하는 방법. 자세한 내 용은 "Splunk 앱 정보"를 참조하십시오. 사용자 관리 장에는 사용자에 대한 설정을 관리하는 방법이 나와 있습니다. 사용자 만들기에 대한 자세한 내용은 Splunk Enterprise 보안 매뉴얼에서 사용자 및 역할 기반 액세스 제어를 참조하십시오. Splunk 관리: 전체 개요 이 관리자 매뉴얼에서는 초기 관리 작업에 대한 정보와 Splunk를 관리하기 위해 사용할 수 있는 다양한 방법에 대한 정보를 제공합니다. (관리자 매뉴얼을 사용하여 수행할 수 있는 작업에 대한 보다 구체적인 개요는 매뉴얼 사용 방법을 참조하십시 오.) Splunk 관리는 이 매뉴얼에 언급된 초기 작업보다 훨씬 다양하고 복잡하므로, Splunk에서 제공되는 여러 설명서를 살펴봐야 합니다. 아래에는 초기 설정 후 수행할 수 있는 관리 작업과 자세한 내용을 확인하기 위해 참고할 수 있는 자료가 나와 있습니다. 백업 수행 경고 정의 검색 작업 관리 작업 설정 정보 백업 인덱스된 데이터 백업 폐기 및 아카이브 정책 설정 경고 정의 작업 페이지에서 작업 감독 관련 항목 관리에 대한 추가 도움말은 아래 매뉴얼을 참조하십시오. Splunk 설치 및 업그레이드 설치 매뉴얼에서는 Splunk 설치 및 업그레이드 방법을 설명합니다. 관련 작업에 대한 내용은 다음을 참조하십시오. 6

7 작업 설치 요구 사항 이해 하드웨어 용량 요구 평가 Splunk 설치 Splunk 업그레이드 설치 계획 하드웨어 요구 사항 평가 관련 항목 Windows에 Splunk 설치 Unix, Linux 또는 MacOS에 Splunk 설치 이전 버전에서 업그레이드 Splunk로 데이터 가져오기 데이터 가져오기에서는 Splunk 데이터 입력에 대한 정보, 즉 외부 source에서 가져온 데이터를 활용하는 방법과 데이터의 가치를 높이는 방법을 확인할 수 있습니다. 작업 외부 데이터 사용 방법에 대한 정보 파일 및 디렉터리 입력 설정 네트워크 입력 설정 Windows 입력 설정 기타 입력 설정 데이터 가치 높이기 인덱싱 후 데이터가 어떻게 표시되는지 알아보기 프로세스 개선 관련 항목 Splunk로 데이터를 가져오는 방법 파일 및 디렉터리에서 데이터 가져오기 네트워크 이벤트 가져오기 Windows 데이터 가져오기 데이터를 가져오는 다른 방법 이벤트 처리 설정 타임스탬프 설정 인덱스 필드 추출 설정 host 값 설정 source type 설정 이벤트 세그먼트화 관리 룩업 및 워크플로 작업 사용 데이터 미리 보기 데이터 입력 프로세스 개선 인덱스 관리 인덱서 및 클러스터 관리에서는 인덱스 설정 방법을 설명합니다. 또한 인덱스를 유지 관리하는 구성 요소인 인덱서와 인덱서 의 클러스터를 관리하는 방법에 대해서도 설명합니다. 작업 인덱싱에 대해 알아보기 인덱스 관리 인덱스 저장소 관리 인덱스 백업 인덱스 아카이브 클러스터 및 인덱스 복제에 대해 알아보기 클러스터 배포 클러스터 설정 클러스터 관리 클러스터 아키텍처에 대해 알아보기 관련 항목 인덱싱 개요 인덱스 관리 인덱스 저장소 관리 인덱스 데이터 백업 폐기 및 아카이브 정책 설정 클러스터 및 인덱스 복제에 대하여 클러스터 배포 클러스터 설정 클러스터 관리 클러스터 작동 방식 Splunk 확장 분산 배포 매뉴얼에서는 포워더, 인덱서, 검색 헤드 등의 여러 구성 요소에 Splunk 기능을 분산하는 방법에 대해 설명합니다. 관련 매뉴얼에서는 분산 구성 요소에 대해 자세히 다룹니다. 데이터 포워딩 매뉴얼에서는 포워더에 대해 설명합니다. 분산 검색 매뉴얼에서는 검색 헤드에 대해 설명합니다. Splunk 구성 요소 업데이트 매뉴얼에서는 배포 서버와 포워더 관리를 사용하여 배포를 관리하는 방법에 대해 설명합 니다. 작업 분산 Splunk에 대해 알아보기 분산 Splunk 개요 7 관련 항목

8 Splunk 배포를 위한 용량 계획 수행 데이터 포워딩 방법에 대해 알아보기 다중 인덱서에 검색 분산 배포 업데이트 하드웨어 요구 사항 평가 데이터 포워딩 다중 인덱서에서 검색 업데이트된 설정의 배포 Splunk 보안 Splunk 보안에서는 Splunk 배포에 대한 보안 방법을 설명합니다. 작업 사용자 및 편집 역할 인증 SSL을 사용하여 Splunk 데이터 보안 Splunk 감사(Audit) Splunk에서 SSO(Single Sign-On) 사용 Splunk에서 LDAP 사용 관련 항목 사용자 및 역할 기반 액세스 제어 보안 인증 및 암호화 Splunk 작업 감사(Audit) SSO(Single Sign-On) 설정 LDAP를 사용하는 사용자 인증에 대한 설정 Splunk 문제 해결 문제 해결 매뉴얼에서는 Splunk 문제 해결에 대한 전체적인 가이드를 제공합니다. 또한 다른 매뉴얼의 항목에서도 특정 문제 에 대한 문제 해결 정보를 제공합니다. 작업 Splunk 문제 해결 도구에 대해 알아보기 Splunk 로그 파일에 대해 알아보기 Splunk Support 작업 수행 일반적인 문제 해결 관련 항목 첫 단계 Splunk 로그 파일 Splunk Support 문의 일반 시나리오 참조 및 기타 정보 Splunk 설명서에는 Splunk 관리자에게 필요할 수 있는 다른 source의 정보뿐만 아니라 여러 유용한 참조가 포함되어 있습니 다. 참조 설정 파일 참조 REST API 조회 CLI 도움말 릴리스 정보 Splunk knowledge 관리에 대한 정보 관련 항목 관리자 매뉴얼의 설정 파일 참조 REST API 조회 매뉴얼 Splunk 인스턴스를 설치할 경우 사용할 수 있습니다. 이 도움말의 실행 방법에 대한 자세한 내용은 관리자 매뉴얼의 CLI 도움말 보기에서 확인하십시오. 릴리스 노트 knowledge 관리자 매뉴얼 기타 Splunk 관리자용 매뉴얼 관리자 매뉴얼은 Splunk 관리자에게 중요한 정보와 절차가 수록되어 있는 여러 문서 중 하나입니다. 그러나 이 매뉴얼에 수 록된 내용은 Splunk로 할 수 있는 일의 시작에 불과합니다. 본인이나 다른 사용자를 위해 Splunk를 서비스로 설정 및 실행하고 유지 관리해야 할 경우에는 이 문서를 먼저 읽어보십시 오. Splunk 관리에 대한 자세한 내용은 다음 매뉴얼을 참조하십시오. 매뉴얼 내용 주요 항목 데이터 가져오기 데이터 입력 지정 및 Splunk에서 데이터를 처리하는 방법 개선 Splunk로 데이터를 가져 오는 방법 이벤트 처리 설정 데이터 미리 보기 인덱서 및 클러스터 관리 Splunk 인덱서 및 인덱서의 클러스터 관리 8 인덱싱 및 인덱서에 대하 여 인덱스 관리 인덱스 백업 및 아카이브 클러스터 및 인덱스 복제

9 에 대하여 클러스터 배포 분산 배포 기업의 필요에 맞게 배포 규모 확장 분산 Splunk 개요 데이터 포워딩 Splunk로 데이터 포워딩 데이터 포워딩 분산 검색 검색 헤드를 사용하여 검색을 여러 인덱서에 걸쳐 분산시키는 방법 다중 인덱서에서 검색 Splunk 구성 요소 업데이트 배포 서버와 포워더 관리를 사용하여 포워더와 인덱서 등의 Splunk 구성 요소를 업데이트하는 방법 사용자 환경에 업데이트 배포 Splunk 보안 데이터 보안 및 사용자 인증 사용자 인증 및 역할 SSL을 사용하여 암호화 및 인증 감사(audit) 문제 해결 문제 해결 첫 단계 Splunk 로그 파일 일반 시나리오 설치 Splunk 설치 및 업그레이드 시스템 요구 사항 단계별 설치 절차 이전 버전에서 업그레이 드 "Splunk 관리 방법" 항목에서는 특정 관리 작업에 대해 설명하는 문서에 대한 보다 상세한 가이드를 제공합니다. Splunk 관리자에게 유용한 기타 참조 문서 Splunk 설치 크기와 사용자가 담당하는 작업에 따라 주요 관리 작업에 대한 매뉴얼 외에도 다른 매뉴얼이 때때로 필요할 수 있습니다. 다음은 Splunk 주요 설명서에 포함되는 다른 매뉴얼입니다. Splunk 튜토리얼! 이 매뉴얼에서는 Splunk를 사용한 검색에 대해 소개합니다. Knowledge 관리자. 이 매뉴얼에서는 event type, 태그, 룩업, 필드 추출, 워크플로 작업, 저장된 검색, 뷰 등의 Splunk knowledge 객체를 관리하는 방법에 대해 설명합니다. 경고. 이 매뉴얼에서는 Splunk 경고 및 모니터링 기능에 대해 설명합니다. 데이터 시각화. 이 매뉴얼에서는 Splunk가 제공하는 시각화 범위를 설명합니다. 검색. 이 매뉴얼에서는 검색 방법과 Splunk 검색 언어 사용 방법에 대해 설명합니다. 검색 참조. 이 매뉴얼에는 Splunk 검색 명령어에 대한 상세 카탈로그가 포함되어 있습니다. Splunk Web용 뷰 및 앱 개발. 이 매뉴얼에서는 고급 XML을 사용하여 뷰 및 앱을 개발하는 방법에 대해 설명합니다. 사용자 지정 스크립트와 Splunk 확장과 같은 기타 개발자 항목도 포함되어 있습니다. REST API 조회. 이 매뉴얼에서는 공개적으로 액세스 가능한 모든 REST API endpoint에 대한 정보를 제공합니다. 릴리스 노트. 새로운 기능, 알려진 문제 및 해결된 문제에 대한 정보를 제공합니다. 전체 Splunk 설명서 위에 나열한 매뉴얼을 포함한 Splunk 주요 설명서 전체에 대한 링크는 Splunk 주요 설명서에서 확인하십시오. 앱 매뉴얼을 포함한 모든 Splunk 설명서에 액세스하려면 Splunk 설명서 소개 페이지를 참조하십시오. PDF 만들기 이 매뉴얼의 PDF 버전이 필요할 경우 이 페이지 왼쪽의 목차 아래에 있는 빨간색 관리자 매뉴얼을 PDF로 다운로드 링크를 클릭하십시오. 해당 매뉴얼의 PDF 버전이 즉시 생성됩니다. 생성된 PDF는 나중에 볼 수 있도록 저장하거나 인쇄할 수 있습 니다. Windows 관리자를 위한 지침 환영합니다! Splunk는 Windows 관리자가 Windows 네트워크에서 발생하는 문제를 해결할 수 있는 효과적이고 강력한 도구입니다. Splunk 설치 후 바로 사용할 수 있는 기능은 Windows 관리자에게 아주 유용합니다. 또한 기능을 확장할 수 있는 앱을 추가 할 수 있으며, 이 앱들은 지속적으로 개발되고 있습니다. Windows 사용자를 위한 매뉴얼 사용 방법 이 매뉴얼은 Splunk를 학습 및 배포하고 Splunk 기능을 최대한 이용하는 데 유용한 항목으로 구성되어 있습니다. 별도로 지정하지 않으면 이 매뉴얼에 수록된 내용은 Windows 및 *nix 사용자에게 모두 유용합니다. Windows 또는 *nix 작업 명령에 익숙하지 않은 사용자는 Splunk 작업에서 *nix와 Windows의 차이점을 확인하는 것이 좋습니다. "Windows에서 Splunk 최대한 활용하기" 장에도 몇 가지 추가 정보가 수록되었습니다. 이 장은 Windows 사용자가 Splunk 를 최대한 활용하는 데 도움이 되도록 작성되었으며, 다음과 같은 내용을 포함합니다. Windows에 Splunk 배포에서는 Windows 사용자에게 해당되는 몇 가지 고려사항과 준비사항에 대해 설명합니다. 배포를 9

10 계획할 때 이 항목을 사용하십시오. Splunk를 최고 성능으로 최적화하는 방법에서는 Windows에 배포한 Splunk가 배포 과정 중이나 배포가 완료된 후 계속 올 바르게 실행되도록 하는 방법을 설명합니다. 시스템 이미지에 Splunk 배치 항목은 Splunk를 모든 Windows 시스템 이미지 또는 설치 프로세스의 일부로 만드는 데 도움 이 됩니다. 여기서 Splunk와 Splunk 포워더를 시스템 이미지에 설치하기 위해 필요한 작업을 확인할 수 있습니다. 참고 항목 다른 Splunk 매뉴얼에 추가된 Windows 관련 항목은 다음과 같습니다. 설치된 모든 Splunk for Windows 서비스에 대한 개요(설치 매뉴얼 참조) Splunk의 모니터 대상(데이터 가져오기 매뉴얼 참조) 원격 Windows 데이터를 모니터링하는 방법을 결정할 때 고려할 사항(데이터 가져오기 매뉴얼 참조). 여러 컴퓨터의 데이터를 원격으로 가져오는 방법에 대한 중요한 정보는 이 항목에서 확인하십시오. 여러 컴퓨터의 데이터 통합(데이터 포워딩 매뉴얼 참조) 기타 유용한 정보: 내 데이터는 어디에 있습니까? (데이터 가져오기 매뉴얼 참조) Splunk 명령줄 인터페이스(CLI) 사용(데이터 가져오기 매뉴얼 참조) source, sourcetype 및 필드(데이터 가져오기 매뉴얼 참조) 필드 및 필드 추출(knowledge 관리자 매뉴얼 참조) 실시간 검색(사용자 매뉴얼 참조) 저장된 검색(사용자 매뉴얼 참조) 대시보드 생성(사용자 매뉴얼 참조) 도움이 필요한 경우 Splunk knowledge에 대해 상세히 알려는 경우 많은 교육 프로그램이 준비되어 있습니다. Splunk를 본격적으로 시작하게 되면 이용할 수 있는 대형 무료 지원 인프라가 제공됩니다. Splunk 응답 페이지 Splunk 커뮤니티 위키 Splunk IRC(Internet Relay Chat) 채널(EFNet splunk) (IRC 클라이언트 필수) 질문에 대한 답변이 여전히 없는 경우에는 Splunk 지원 팀에 연락하십시오. 지원 문의 페이지에 문의 방법이 자세히 나와 있 습니다. 참고: 커뮤니티 수준보다 높은 지원 수준을 이용하려면 Enterprise 라이선스가 필요합니다. 이 라이선스를 받으려면 판매 팀 에 문의해야 합니다. Splunk Free에 대하여 Splunk Free는 Splunk의 무료 버전입니다. 하루에 최대 500MB까지 인덱싱할 수 있고 만료 기한이 없습니다. 500MB 제한은 하루에 추가(인덱싱)할 수 있는 새 데이터의 양이지만, 더 많은 데이터를 매일 계속 추가하고 데이터를 원하 는 만큼 저장할 수 있습니다. 예를 들어, 하루에 500MB의 데이터를 추가할 수 있으며 최종적으로 Splunk에 10TB의 데이터 를 저장할 수 있습니다. 하루에 500MB보다 많은 데이터가 필요한 경우 라이선스를 구입해야 합니다. 라이선싱에 대한 자세한 내용은 Splunk 라이 선싱 방식을 참조하십시오. Splunk는 라이선스 위반을 추적하여 라이선스 사용을 규제합니다. 30일 동안 4번 이상 1일 500MB 제한을 초과할 경우, Splunk는 데이터를 계속 인덱싱하지만 30일 동안 3번 이하로 경고 수를 줄일 때까지 검색 기능을 사용할 수 없게 됩니다. Splunk Free 용도 Splunk Free는 IT 데이터의 개인, 임시 검색 및 시각화에 적합합니다. 하루 500MB 미만의 작은 볼륨의 데이터 인덱스가 계 속 있는 경우에는 Splunk Free를 사용할 수 있습니다. 또한 대용량 데이터 집합의 단기간 대량 로드 및 분석에 사용할 수 있 으며, Splunk Free는 30일 동안 최대 3번까지 대용량 데이터의 활용을 허용합니다. 이 기능은 대용량 데이터의 포렌식 검토 에 사용할 수 있습니다. Splunk Free에 포함된 기능 Splunk Free는 단일 사용자 제품으로, 다음을 제외한 모든 Splunk 기능이 지원됩니다. Splunk Free에서는 클러스터나 분산 검색 설정을 설정할 수 없습니다. TCP/HTTP 형식으로 포워딩하는 기능을 사용할 수 없습니다. 즉, 다른 Splunk 인스턴스로 데이터를 포워딩할 수 있지 만 비 Splunk 인스턴스로는 포워딩할 수 없습니다. 배포 관리 기능을 사용할 수 없습니다. 경고/모니터링 기능을 사용할 수 없습니다. 인덱서 클러스터링을 사용할 수 없습니다. 10

11 보고서 가속화 요약을 사용할 수 없습니다. Splunk Free 인스턴스는 (Splunk Enterprise 인덱서로 포워딩하는) 포워더로 사용할 수 있지만 배포 서버의 클라이언 트는 될 수 없습니다. Splunk Free에서는 인증이나 사용자 및 역할 관리 기능을 사용할 수 없습니다. 그 의미는 다음과 같습니다. 로그인 기능이 없기 때문에 명령줄 또는 브라우저에서 별도의 로그인 없이 Splunk Free의 모든 기능을 액세스 하고 제어할 수 있습니다. 모든 액세스는 관리자와 동일하게 가능하고 admin 역할만 있으며 다른 역할은 설정이 불가능합니다. 또한 더 많 은 역할을 추가하거나 사용자 계정을 만들 수 없습니다. 모든 공용 인덱스에서 검색이 실행됩니다('index=*'). 사용자 할당량, 최대 검색별 시간 범위 및 검색 필터와 같은 검색 제한 기능은 지원되지 않습니다. 기능 시스템이 비활성화되어 있지만 Splunk Free에 액세스하는 모든 사용자에 대한 모든 기능은 활성화되어 있 습니다. Enterprise 평가판 라이선스에서 Free 라이선스로 전환 Splunk를 처음 다운로드하고 설치하면 Enterprise 평가판 라이선스를 자동으로 사용하게 됩니다. 사용자의 요구 사항에 따 라 Enterprise 평가판 라이선스가 만료될 때까지 Enterprise 평가판을 계속 사용하거나 Free 라이선스로 전환할 수 있습니 다. Free 라이선스로 전환할 때 알아야 할 사항 Splunk Enterprise 평가판을 사용하면 Splunk Free에서 사용할 수 없는 많은 기능에 액세스할 수 있습니다. Free 라이선스 로 전환할 경우 다음 내용을 참고하십시오. 평가판에서 만든 사용자 계정이나 역할은 더 이상 사용할 수 없습니다. Free 인스턴스로 연결하는 사용자는 모두 '관리자'로 자동 로그인됩니다. 업데이트 확인은 표시되지만 로그인 화면은 더 이상 나타나지 않습니다. '관리자'가 아닌 사용자가 만든 knowledge 객체(예: event type, transaction, source type 정의) 및 전역 공유되지 않은 개체는 사용할 수 없습니다. Splunk Free로 전환한 후에도 이러한 knowledge 객체를 계속 사용하려면 다음 작업 중 하나를 수행하십시오. 이 항목의 내용에 따라 Splunk Web을 이용하여 해당 knowledge 객체를 전체적으로 사용할 수 있도록 권한을 수정합니다. 해당 knowledge 객체의 권한을 수정하려면 여기에 나온 설명대로 설정 파일을 직접 편집합니다. 대시보드 및 요약 인덱싱을 위해 실행할 검색을 계속 예약할 수는 있지만 정의한 경고는 더 이상 작동하지 않습니다. Splunk로부터 더 이상 경고를 수신하지 않게 됩니다. TCP 또는 HTTP 형식으로 타사 애플리케이션에 포워딩할 수 있는 outputs.conf 설정이 작동하지 않습니다. Enterprise 평가판 라이선스를 사용하는 동안 Splunk Web에서 상기 설정을 수정 적용하려고 하면 Splunk Free에서 해당 제한에 대한 경고가 발생합니다. Splunk Free로 전환하는 방법 현재 Splunk Enterprise(평가판 포함)를 사용 중이면 Enterprise 라이선스가 만료될 때까지 기다리거나 언제든지 Free 라이 선스로 전환할 수 있습니다. Free 라이선스로 전환하려면 다음 작업을 수행하십시오. 1. Splunk Web에 관리 권한을 가진 사용자로 로그인하고 설정 > 라이선싱으로 이동합니다. 2. 페이지 상단에 있는 라이선스 그룹 변경을 클릭합니다. 3. Free 라이선스를 선택하고 저장을 클릭합니다. 4. 재시작하라는 메시지가 나타납니다. Splunk 작업에서 *nix와 Windows의 차이점 이 항목에서는 Splunk 작업 시 *nix와 Windows 운영 체제에서 발생하는 기능적 차이점에 대해 명확히 설명합니다. 두 OS에 대한 기술적 비교나 두 OS 중 한쪽을 옹호하는 것이 아니라 특정 OS 관련 Splunk 매뉴얼의 여러 페이지에 여러 방법으로 참 조되는 이유에 대해 설명합니다. 경로 11

12 *nix 운영 체제에서 파일과 디렉터리를 처리하는 방식의 큰 차이점은 경로 이름의 파일 또는 디렉터리를 구분하기 위해 사용 하는 슬래시 유형입니다. *nix 시스템에서는 슬래시("/")를 사용하고, Windows에서는 백슬래시("\")를 사용합니다. *nix 경로의 예: /opt/splunk/bin/splunkd Windows 경로의 예: C:\Program Files\Splunk\bin\splunkd.exe 환경 변수 운영 체제에 따라 환경 변수의 표시 방법이 다릅니다. 두 시스템은 모두 하나 이상의 환경 변수에 데이터를 일시적으로 저장 하는 방식을 사용합니다. *nix 시스템에서는 다음과 같이 환경 변수 이름 앞에 달러 기호("$")를 사용합니다. SPLUNK_HOME=/opt/splunk; export $SPLUNK_HOME Windows에서 환경 변수를 지정하는 방식은 약간 다릅니다. 퍼센트 기호("%")를 사용해야 합니다. 사용할 환경 변수 유형에 따라 환경 변수 이름 앞에, 또는 이름 앞이나 뒤에 한 두 개의 퍼센트 기호를 입력합니다. > set SPLUNK_HOME="C:\Program Files\Splunk" > echo %SPLUNK_HOME% C:\Program Files\Splunk > Windows 환경에서 %SPLUNK_HOME% 변수를 설정하려면 다음 두 가지 방법 중 하나를 사용하십시오. %SPLUNK_HOME%\etc에서 splunk-launch.conf를 편집합니다. "환경 변수" 창에 액세스하여 변수를 설정합니다. 탐색기 창을 열고 왼쪽 창에서 마우스 오른쪽 단추로 "내 컴퓨터"를 클릭한 후 나타나는 창에서 "속성"을 선택합니다. 시스템 속성 창이 나타나면 "고급" 탭을 선택한 후 탭의 창 하단에 나 타나는 "환경 변수" 단추를 클릭합니다. Splunk 설정 방법 Splunk는 여러 설정 파일을 이용하여 설정 정보를 유지 관리합니다. 다음과 같은 방법으로 Splunk를 설정할 수 있습니다. Splunk Web 사용 Splunk 명령줄 인터페이스(CLI) 명령어 사용 Splunk 설정 파일 직접 편집 Splunk REST API를 이용하여 설정을 업데이트하는 앱 설정 방법 기본적으로 설정 파일의 내용을 수정하여 변경합니다. 각 방법은 상황에 따라 다를 수 있습니다. Splunk Web 사용 Splunk Web에서는 일반적인 설정 작업을 대부분 수행할 수 있습니다. Splunk Web은 기본적으로 Splunk가 설치되어 있는 호스트의 포트 8000에서 실행됩니다. 로컬 컴퓨터에서 Splunk를 실행하는 경우, Splunk Web에 액세스하는 URL은 원격 컴퓨터에서 Splunk를 실행하는 경우, Splunk Web에 액세스하는 URL은 여기서 <hostname>은 Splunk가 실행되고 있는 컴퓨터의 이름입니다. 관리 메뉴는 Splunk Web 메뉴 모음의 설정에 있습니다. Splunk 설명서 집합에서는 Splunk Web을 기준으로 대부분의 작업 을 설명합니다. Splunk Web에 대한 자세한 내용은 Splunk Web 정보를 참조하십시오. 설정 파일 편집 Splunk의 설정 정보는 대부분.conf 파일에 저장됩니다. 이러한 파일은 Splunk 설치 디렉터리(설명서에서는 주로 언급되는 $SPLUNK_HOME) 아래 /etc/system에 위치합니다. 대부분의 경우에는 각 파일을 로컬 디렉터리에 복사하고 원하는 텍스트 편집 기를 사용하여 파일을 수정할 수 있습니다. 설정 파일 편집을 시작하기 전에 "설정 파일에 대하여"를 읽어보십시오. Splunk CLI 사용 많은 설정 옵션은 CLI를 통해 사용할 수 있습니다. 각 옵션에 대한 설명은 이 매뉴얼의 CLI 관련 장을 참조하십시오. Splunk 가 실행되는 중에 help 명령어를 사용하여 CLI 도움말을 참조할 수도 있습니다../splunk help 12

13 CLI에 대한 자세한 내용은 이 매뉴얼의 "CLI에 대하여"를 참조하십시오. CLI 명령에 대해 잘 모르거나 Windows 환경에서 작 업을 수행할 경우에는 Splunk 작업에서 *nix와 Windows의 차이점도 참조하십시오. 앱의 설정 화면 개발자는 사용자가 설정 파일을 직접 편집하지 않고도 앱 구성을 설정하는 화면을 구성할 수 있습니다. 설정 화면을 통해 앱 을 다른 환경으로 배포하거나 특별한 용도로 사용하기 위해 앱의 사용자를 등록할 수 있습니다. 설정 화면에서 Splunk REST API를 사용하여 앱 설정 파일을 관리합니다. 설정 화면에 대한 자세한 내용은 Splunk Web용 뷰 및 앱 개발 매뉴얼의 "앱 설정 화면 설정"을 참조하십시오. 분산 환경 관리 Splunk 배포 서버는 분산 환경을 위한 중앙 관리 방법 및 설정을 제공합니다. 이 배포 서버를 사용하여 설정 파일이나 다른 콘 텐츠를 시스템 전체의 Splunk 인스턴스 그룹으로 배포할 수 있습니다. 배포 관리에 대한 내용은 "Splunk 구성 요소 업데이트" 매뉴얼을 참조하십시오. Windows에서 Splunk Enterprise 최대한 활용하기 Windows에 Splunk 배포 여러 가지 방법으로 Windows 환경에 Splunk를 통합할 수 있습니다. 이 항목에서는 몇 가지 시나리오를 설명하고, 엔터프라 이즈에 Splunk for Windows 배포를 최적으로 적용하는 방법에 대한 지침을 제공합니다. 이 항목은 Windows 환경에 Splunk를 배포하는 데 초점을 맞추고 있습니다. 또한 Splunk 자체가 Windows 엔터프라이즈에 Splunk를 통합할 때 배포 기능을 분산합니다. 분산 배포 매뉴얼은 수많은 컴퓨터에 Splunk 서비스를 배포하는 것에 대한 많 은 정보를 제공합니다. 대규모 환경에서 Windows에 Splunk를 배포할 때 자체 배포 유틸리티(예: System Center Configuration Manager 또는 Tivoli/BigFix)를 사용하여 Splunk 및 Splunk 설정을 모두 엔터프라이즈의 컴퓨터에 배포할 수 있습니다. 또는 Splunk를 시스 템 이미지에 통합한 후 Splunk의 배포 서버를 사용하여 Splunk 설정과 앱을 배포할 수 있습니다. 개념 Splunk를 Windows 네트워크에 배포할 경우 Splunk는 컴퓨터에서 데이터를 수집한 후 중앙에 저장합니다. 데이터가 중앙에 저장되어 있으면 인덱스된 데이터를 기반으로 보고서와 대시보드를 검색하고 만들 수 있습니다. 시스템 관리자 입장에서 더 중요한 것은 데이터가 도착할 때 어떤 일이 발생하는지 알 수 있게 Splunk가 경고를 보낼 수 있다는 점입니다. 일반적인 배포에서는 인덱싱 용도로 사용할 전용 하드웨어를 Splunk에 지정한 다음 유니버설 포워더와 WMI(Windows Management Instrumentation)를 함께 사용하여 엔터프라이즈의 다른 컴퓨터에서 데이터를 수집합니다. 고려 사항 Windows 엔터프라이즈에 Splunk를 배포하려면 수많은 계획 단계가 필요합니다. 먼저, 물리적 네트워크에서 시작하여 해당 네트워크의 컴퓨터를 개별적으로 설정하는 방법에 이르기까지 엔터프라이즈를 인 벤토리해야 합니다. 다음과 같은 작업을 수행해야 합니다. 환경에 있는 컴퓨터 개수를 세고 Splunk를 설치해야 하는 컴퓨터의 서브셋을 정의합니다. 이렇게 하면 Splunk 토폴로 지의 초기 프레임워크가 정의됩니다. 기본 사이트 및 원격 또는 외부 사이트에서 모두 네트워크 대역폭을 계산합니다. 이 작업을 수행하면 기본 Splunk 인스 턴스를 설치할 위치와 Splunk 포워더 설치 위치 및 사용 방식이 결정됩니다. 특히, 네트워크가 구분되는 영역에서 네트워크의 현재 상태를 평가합니다. 에지 라우터 및 스위치가 올바르게 작동해 야 배포 중과 배포 후에 네트워크 성능 기준을 설정할 수 있습니다. 다음으로, 배포를 시작하기 전에 다음과 같은 질문에 대한 답을 생각해야 합니다. 컴퓨터의 어떤 데이터를 인덱싱해야 하는가? 검색, 보고, 경고하려는 것이 이 데이터의 어떤 부분인가? 이것은 배포를 고려할 때 가장 중요한 고려 사항일 것입니다. 이러한 질문에 대한 답은 다른 고려 사항을 어떻게 처리할지 결정합니 다. Splunk를 설치할 위치와 이 설치에 사용할 Splunk 유형을 결정하고, Splunk에서 잠재적으로 사용하게 되는 컴퓨팅 및 네트워크 대역폭도 결정합니다. 네트워크가 어떻게 배치되었나? 외부 사이트 링크가 어떻게 설정되었나? 이러한 링크에 어떤 보안이 제공되는가? 네 트워크 토폴로지에 대한 완벽한 이해는 Splunk를 어떤 컴퓨터에 설치하고, 네트워크 관점에서 해당 컴퓨터에 어떤 유 형의 Splunk(인덱서 또는 포워더)를 설치할지 쉽게 결정할 수 있습니다. 씬 타입 LAN 또는 WAN으로 구성되어 있는 사이트의 경우에는 사이트 간에 전송되는 데이터 양을 고려해야 합니다. 예를 들 어, 중앙 사이트가 지사 사이트에 연결된 hub-and-spoke 유형의 네트워크인 경우에는 지사 사이트의 컴퓨터에 포워더를 배 포하는 것이 더 좋을 수도 있습니다. 이렇게 하면 각 지사의 중간 포워더로 데이터가 전송됩니다. 그런 다음, 중간 포워더가 데이터를 중앙 사이트로 다시 보냅니다. 이 방법은 지사 사이트의 모든 컴퓨터에서 중앙 사이트의 인덱서로 데이터를 직접 포워딩하는 것보다 설정이 용이합니다. 13

14 파일, 인쇄 또는 데이터베이스 서비스를 사용하는 외부 사이트인 경우에는 트래픽도 고려해야 합니다. AD(Active Directory)가 어떻게 설정되었나? 도메인 컨트롤러(DC)에서 작업 마스터 역할이 어떻게 정의되었나? 모 든 도메인 컨트롤러가 중앙에 있는가? 또는 위성 사이트에 위치한 컨트롤러를 가지고 있는가? AD가 분산되어 있는 경우 브리지헤드 서버가 올바르게 설정되었는가? ISTG(Inter-site Topology Generator) 역할 서버가 제대로 작동하는 가? Windows Server 2008 R2를 실행 중인 경우 지사 사이트에 RODC(읽기 전용 도메인 컨트롤러)가 있는가? 해당 될 경우 Splunk 및 기타 네트워크 트래픽뿐만 아니라 AD 복제 트래픽의 영향도 고려해야 합니다. 네트워크의 서버들은 어떤 다른 역할을 하는가? Splunk 인덱서는 최고 성능으로 실행하기 위해 리소스가 필요합니다. 다른 리소스 집약 애플리케이션이나 서비스(예: Microsoft Exchange, SQL Server, Active Directory 자체)와 서버를 공유할 경우 해당 컴퓨터에 설치된 Splunk에 잠재적으로 문제가 발생할 수 있습니다. Splunk 인덱서와의 서버 리소스 공유에 대한 자세한 내용은 용량 계획 매뉴얼의 "Splunk Enterprise를 위한 용량 계획 소개"를 참조하십시오. 사용자들과 배포에 대해 어떻게 커뮤니케이션할 것인가? Splunk가 어떻게 설치되어 있는지에 따라서 장비에 설치된 소프트웨어의 환경이 바뀌게 됩니다. 사용자들은 Splunk의 설치 때문에 장비에 문제가 발생했거나 속도가 느려졌다고 생각할 수 있습니다. 이러한 지원 문의를 최소화하기 위해서는 사용자들이 변경 사항에 대해 항상 알 수 있어야 합니 다. Windows 배포에서 Splunk 준비 Splunk를 기존 환경에 어떻게 배치하는지는 Splunk에 대한 요구에 따라 다릅니다. 사용 가능한 컴퓨팅 리소스, 물리적 레이 아웃 및 네트워크 레이아웃 그리고 회사 인프라와의 균형을 맞춰야 합니다. Splunk를 배포하는 방법이 하나만 있는 것이 아 니므로 따라야 할 단계별 지침은 없지만 준수해야 할 일반적인 지침은 있습니다. 성공적인 Splunk 배포를 위한 지침: 네트워크를 준비합니다. Splunk를 환경에 통합하기 전: 네트워크가 올바르게 작동해야 하고 모든 스위치, 라우터 및 배선이 올바르게 설정되어 있어야 합니다. 고장났거나 결함이 있는 장비는 교체합니다. 모든 VLAN(가상 LAN)이 올바르게 설정되어야 합니다. 특히, 씬 네트워크 링크가 있는 사이트 간의 네트워크 처리량을 테스트합니다. Active Directory를 준비합니다. AD가 Splunk를 실행하는 데 필수적인 사항은 아니지만 배포 전에 AD가 올바르게 작동하는지 확인하는 것이 좋습니다. 다음과 같은 작업을 수행해야 합니다. 모든 도메인 컨트롤러 및 작업 마스터 역할 식별. 지사 사이트에 RODC가 있는 경우, 작업 마스터 도메인 컨트롤 러에 최대한 가장 빠른 연결을 제공해야 합니다. AD 복제가 올바르게 작동하고 모든 사이트 링크에는 전역 카탈로그의 복사본이 있는 도메인 컨트롤러가 있어 야 합니다. 포리스트(forest)가 다수일 경우 사이트에 브리지헤드 서버(하나는 기본, 하나는 백업용)를 두 개 이상 할당해야 ISTG 역할 서버가 올바르게 작동합니다. DNS 인프라가 올바르게 작동해야 합니다. 필요한 경우 배포 중에 최고 AD 작업 및 복제 성능을 위해 네트워크의 다른 서브넷에 도메인 컨트롤러를 배치하고 유연한 단 일 마스터 작업(FSMO 또는 작업 마스터) 역할을 수행해야 할 수도 있습니다. Splunk 배포를 정의합니다. Windows 네트워크가 올바르게 준비되었으면 이제 Splunk를 네트워크의 어디에 배치할 지 결정해야 합니다. 다음 사항을 고려하십시오. 각 컴퓨터에서 Splunk가 인덱싱할 데이터 집합을 결정하고, 수집한 데이터에 대한 경고를 Splunk에서 보내야 할지 여부를 결정합니다. 가능하면 Splunk 인덱싱을 처리할 각 네트워크 세그먼트에 하나 이상의 전용 컴퓨터를 지정합니다. 분산 Splunk 배포를 위한 용량 계획에 대한 자세한 내용은 용량 계획 매뉴얼의 "Splunk Enterprise를 위한 용량 계획 소개"를 참조하십시오. AD(특히, FSMO 역할을 보유한 도메인 컨트롤러), Exchange(모든 버전), SQL Server 또는 컴퓨터 가상화 제 품(예: Hyper-V 또는 VMWare)과 같이 리소스 집중 서비스를 실행하는 컴퓨터에는 Splunk의 전체 버전을 설치 하지 마십시오. 대신 유니버설 포워더를 사용하거나 WMI를 통해 이러한 컴퓨터에 연결하십시오. Windows Server 2008/2008 R2 Core를 실행 중인 경우, 컴퓨터에 Splunk를 설치할 때 Splunk Web을 사용하 여 변경할 수 있는 GUI가 없습니다. 특히, 씬 WAN 링크에서 최소한의 네트워크 리소스를 사용하도록 Splunk 레이아웃을 정리합니다. 유니버설 포 워더는 유선을 통한 Splunk 관련 트래픽 양을 크게 줄입니다. 사용자에게 배포 계획을 제대로 알립니다. 배포 과정 중에 배포 상태에 대해 사용자가 알 수 있도록 하는 것이 중요합 니다. 이렇게 하면 나중에 지원 관련 문의를 많이 줄일 수 있습니다. Splunk를 최고 성능으로 최적화하는 방법 다른 많은 서비스와 마찬가지로 Windows에 설치된 Splunk 또한 최고 성능으로 실행하려면 적절한 유지 관리가 필요합니 다. 이 항목에서는 배포 과정에서 또는 배포 완료 후 Windows에 설치된 Splunk 배포를 올바르게 실행하기 위해 적용할 수 있 는 방법에 대해 설명합니다. Splunk의 최고 성능을 유지하려면: 하나 이상의 컴퓨터를 Splunk 작업 전용으로 준비하십시오. Splunk는 수평적으로 확장됩니다. 즉, 단일 컴퓨터에 더 많은 리소스를 지정하는 것이 아니라 Splunk 전용 물리적 컴퓨터를 더 많이 지정하기 때문에 더 나은 성능을 발휘할 수 있습니다. 가능하다면 인덱싱 및 검색 작업을 여러 컴퓨터로 분할하고, 해당 컴퓨터에서는 기본 Splunk 서비스만 실행 하십시오. 다른 서비스를 공유하는 서버에서 Splunk를 실행할 경우 유니버설 포워더를 제외한 다른 성능이 저하됩니 다. 14

15 Splunk 인덱스 전용으로 가장 빠른 디스크를 지정하십시오. 시스템에서 Splunk 인덱싱에 사용 가능한 디스크가 빠를 수록 Splunk도 더 빠르게 실행됩니다. 가능하면 스핀들 속도가 10,000RPM 이상인 디스크를 사용하십시오. Splunk 전용 중복 저장소를 지정할 경우 하드웨어 기반 RAID 1+0(RAID 10으로도 알려짐)을 사용하십시오. 이것은 속도와 중 복에 대한 최적의 균형을 제공합니다. Windows 디스크 관리 유틸리티를 통한 소프트웨어 기반 RAID 설정은 권장하지 않습니다. 바이러스 백신 프로그램이 Splunk 작업에 사용되는 디스크를 스캔하지 않도록 하십시오. Splunk에 대해 바이러스 백 신 프로그램이 바이러스 스캔을 할 경우 성능이 현저히 저하됩니다. 특히 Splunk에서 최근에 인덱스된 데이터를 내부 적으로 에이징할 경우에는 더욱 성능이 저하됩니다. Splunk가 실행되는 서버에서 바이러스 백신 프로그램을 사용해야 할 경우 모든 Splunk 디렉터리와 프로그램을 파일 스캔에서 제외하십시오. 가능하면 여러 인덱스를 사용하십시오. Splunk에서 인덱스된 데이터를 서로 다른 인덱스에 분산하십시오. 모든 데이 터를 기본 인덱스로 보내면 시스템에서 I/O 병목 현상이 발생할 수 있습니다. 해당될 경우 가능하면 시스템의 서로 다 른 물리적 볼륨을 가리키도록 인덱스를 설정하십시오. 인덱스 설정 방법에 대한 내용은 이 매뉴얼의 "인덱스 설정"에 서 확인하십시오. 운영 체제와 동일한 물리적 디스크 또는 파티션에 인덱스를 저장하지 마십시오. Windows OS 디렉터리(%WINDIR%) 또 는 해당 스왑 파일이 있는 디스크는 Splunk 데이터 저장소로 권장되지 않습니다. Splunk 인덱스를 시스템의 다른 디스 크에 저장하십시오. 데이터베이스 버킷 유형, Splunk에서 데이터를 저장하고 에이징하는 방법 등을 포함하여 인덱스가 어떻게 저장되는지 자세 히 알아보려면 이 매뉴얼의 "Splunk에서 인덱스를 저장하는 방법"을 참조하십시오. Splunk 인덱스의 hot/warm 데이터베이스 버킷을 네트워크 볼륨에 저장하지 마십시오. 네트워크 지연으로 인해 성능 이 현저히 저하됩니다. Splunk 인덱스의 hot/warm 버킷용 로컬 고속 디스크를 예약하십시오. 인덱스의 cold/frozen 버 킷을 위해 DFS(Distributed File System) 볼륨 또는 NFS(Network File System) 마운트와 같은 네트워크 공유를 지정 할 수 있습니다. 그러나 cold 데이터베이스 버킷에 저장된 데이터를 포함하는 검색은 더 느려집니다. Splunk 인덱서에 대한 디스크 가용성, 대역폭 및 공간을 유지 관리하십시오. Splunk 인덱스가 저장된 디스크 볼륨의 사용 가능한 공간이 항상 20% 이상을 유지해야 합니다. 디스크 검색 시간이 늘어나므로 사용 가능한 공간과 비례하여 디스크 성능이 저하됩니다. 이는 Splunk가 데이터를 인덱싱하는 속도에 영향을 미치고, 검색 결과, 보고서 및 경고를 얼마나 빨리 반환하는지도 결정합니다. 기본 Splunk 설치에서 인덱스를 포함하는 드라이브의 사용 가능한 공간은 최 소 2048MB(2GB) 이상이어야 합니다. 그렇지 않으면 인덱싱이 일시 중지됩니다. 시스템 이미지에 Splunk 배치 이 항목에서는 Splunk를 모든 Windows 시스템 이미지 또는 설치 프로세스의 일부로 만드는 개념에 대해 설명합니다. 그리 고 사용하는 이미징 유틸리티와 관계 없이 일반적인 통합 프로세스를 안내합니다. Windows 데이터를 Splunk로 가져오는 것과 관련된 내용은 데이터 가져오기 매뉴얼의 "Windows 데이터 및 Splunk 에 대하여"에서 확인하십시오. 분산 Splunk 배포에 대한 내용은 분산 배포 매뉴얼의 "분산 개요"에서 확인하십시오. 이 개요는 사용하는 운영 체제와 관계 없이 Splunk 배포 설정 방법을 이해하는 데 꼭 필요한 내용입니다. Splunk 분산 배포 기능에 대해서도 알 수 있습 니다. 대규모 Splunk 배포 계획에 대한 내용은 용량 계획 매뉴얼의 "Splunk Enterprise를 위한 용량 계획 소개"와 이 매뉴얼 의 "Windows에 Splunk 배포"에서 확인하십시오. Windows에서의 시스템 통합 개념 Splunk를 Windows 시스템 이미지에 통합하는 주요 이유는 엔터프라이즈에서 사용할 컴퓨터를 활성화했을 때 Splunk를 즉 시 사용할 수 있도록 하기 위해서입니다. 이렇게 하면 활성화 후 Splunk를 설치 및 설정해야 할 필요가 없어집니다. 이 시나리오에서는 Windows 시스템을 활성화하고 부팅하면 Splunk가 즉시 실행됩니다. 그런 다음 설치된 Splunk 인스턴스 유형과 지정된 설정에 따라 Splunk가 컴퓨터에서 데이터를 수집하고 수집한 데이터를 인덱서로 포워딩하거나(대부분의 경 우) 또는 다른 Windows 컴퓨터에서 포워딩된 데이터의 인덱싱을 시작합니다. 또한 시스템 관리자는 Splunk 인스턴스를 배포 서버에 접속할 수 있도록 설정하여 추가 설정 및 업데이트 관리를 할 수 있습 니다. 대부분의 일반적인 환경에서 Windows 컴퓨터의 유니버설 포워더는 중앙 인덱서 또는 인덱서 그룹으로 데이터를 전송합니 다. 그러면 특정 요구에 따라 데이터의 검색, 보고 및 경고가 허용됩니다. 시스템 통합 시 고려 사항 Splunk를 Windows 시스템 이미지에 통합하려면 계획이 필요합니다. 대부분의 경우 유니버설 포워더는 Windows 시스템 이미지와의 통합 시 선호되는 Splunk 구성 요소입니다. 유니버설 포워더 는 다른 역할을 수행하는 컴퓨터의 리소스를 공유하며, 훨씬 적은 비용으로 인덱서가 수행할 수 있는 많은 작업을 수행합니 다. 또한 변경하기 위해 Splunk Web을 사용할 필요 없이 Splunk의 배포 서버 또는 엔터프라이즈 범위의 설정 관리자를 사용 하여 유니버설 포워더를 수정할 수 있습니다. 상황에 따라 Splunk의 전체 인스턴스를 시스템 이미지에 통합할 수도 있습니다. 적합한 시기와 위치는 특정 요구와 리소스 가용성에 따라 다릅니다. Splunk는 포워더에 대한 인덱서의 특정 용량 요구가 없는 경우 다른 유형의 역할을 수행하는 서버의 이미지에 Splunk의 전 15

16 체 버전을 포함하는 것을 권장하지 않습니다. 엔터프라이즈에 여러 인덱서를 설치하더라도 인덱싱 성능이나 속도가 추가로 제공되지 않으며 바람직하지 않은 결과로 이어질 수 있습니다. Splunk를 시스템 이미지에 통합하기 전에 다음을 고려하십시오. Splunk에서 인덱싱할 데이터 양, 그리고 해당 데이터를 보낼 위치(있는 경우). 이러한 정보는 디스크 공간 계산에 직 접 사용되며 최우선으로 고려해야 할 사항입니다. 이미지 또는 컴퓨터에 설치할 Splunk 인스턴스의 유형. 유니버설 포워더는 다른 작업을 수행하는 워크스테이션이나 서버에 설치할 경우 상당한 장점이 있지만, 그렇지 않은 경우도 있습니다. 이미징된 컴퓨터의 사용 가능한 시스템 리소스. 이미징된 각 시스템에서 사용할 수 있는 디스크 공간, RAM 및 CPU 리 소스는 얼마나 됩니까? Splunk 설치를 지원합니까? 네트워크의 리소스 요구 사항. WMI를 사용하여 데이터를 수집하기 위해 원격 컴퓨터에 연결하는 데 Splunk를 사용하 든, 각 컴퓨터에 포워더를 설치하고 데이터를 인덱서로 보내기 위해 Splunk를 사용하든 Splunk에는 네트워크 리소스 가 필요합니다. 이미지에 설치된 다른 프로그램의 시스템 요구 사항. Splunk가 다른 서버와 리소스를 공유할 경우 다른 프로그램의 사 용 가능한 리소스가 사용될 수 있습니다. Splunk의 전체 인스턴스를 실행 중인 워크스테이션 또는 서버에 다른 프로그 램을 설치할지 여부를 고려하십시오. 유니버설 포워더는 경량으로 설계되어 있으므로 이러한 경우에 보다 효율적으로 작동합니다. 이미징된 컴퓨터가 현재 환경에서 수행하는 역할. Office와 같은 생산성 애플리케이션을 실행하는 워크스테이션의 역 할만 합니까? 아니면 Active Directory 포리스트를 위한 작업 마스터 도메인 컨트롤러의 역할을 합니까? Splunk를 시스템 이미지에 통합 앞에서 말한 체크리스트의 질문에 대한 답변을 결정했으면 그 다음 단계는 Splunk를 시스템 이미지에 통합하는 것입니다. 나 열된 단계는 선호하는 시스템 이미징 또는 설정 도구를 사용하여 작업을 완료하는 일반적인 단계입니다. 시스템 통합에 대한 다음 옵션 중 하나를 선택하십시오. 유니버설 포워더를 시스템 이미지에 통합 Splunk의 전체 버전을 시스템 이미지에 통합 유니버설 포워더를 시스템 이미지에 통합 이 항목에서는 Splunk 유니버설 포워더를 Windows 시스템 이미지에 통합하는 절차에 대해 설명합니다. Splunk와 이미지 통합에 대한 자세한 내용은 "Splunk를 시스템 이미지에 통합"을 참조하십시오. 유니버설 포워더를 시스템 이미지에 통합하려면: 1. 참조 컴퓨터를 사용하여 필요한 Windows 기능, 패치 및 기타 구성 요소 등과 함께 원하는 위치에 Windows를 설치 및 설 정합니다. 2. Splunk의 시스템 및 하드웨어 용량 요구 사항을 고려하여 필요한 애플리케이션을 설치 및 설정합니다. 3. 명령줄에서 유니버설 포워더를 설치 및 설정하고 최소 LAUNCHSPLUNK=0 명령줄 플래그를 제공합니다. 중요: 설치를 완료한 후 Splunk가 실행되지 않도록 하려면 LAUNCHSPLUNK=0 명령줄 플래그를 지정해야 합니다. 4. 설치에서 그래픽 부분을 수행합니다. 여기서 필요한 입력 정보, 배포 서버 또는 포워더 대상을 선택합니다. 5. 설치가 완료되면 명령 프롬프트를 엽니다. 6. 설치 관리자에서 설정할 수 없는 추가 설정 파일을 이 프롬프트에서 편집합니다. 7. 명령 프롬프트 창을 닫습니다. 8. 서비스 제어판에서 시작 유형을 '자동'으로 설정하여 splunkd 서비스가 자동으로 시작되도록 설정했는지 확인합니다. 9. SYSPREP(Windows XP 및 Windows Server 2003/2003 R2인 경우) 또는 WSIM(Windows 시스템 이미지 관리 자)(Windows Vista, Windows 7 및 Windows Server 2008/2008 R2인 경우)과 같은 유틸리티를 사용하여 도메인 참여를 위한 시스템 이미지를 준비합니다. 참고: Microsoft는 복제하기 전에 컴퓨터 SID(보안 식별자)를 변경하는 방법으로 타사 도구(Ghost Walker 또는 NTSID 등) 를 사용하는 것보다 SYSPREP 및 WSIM을 사용할 것을 권장합니다. 10. 이미지를 위한 시스템 설정을 완료했으면 컴퓨터를 재부팅하고 선호하는 이미징 유틸리티를 사용하여 복제합니다. 이제 배포할 이미지가 준비되었습니다. 전체 Splunk를 시스템 이미지에 통합 이 항목에서는 Splunk의 전체 버전을 Windows 시스템 이미지에 통합하는 절차에 대해 설명합니다. Splunk의 이미지 통합 에 대한 자세한 내용은 이 매뉴얼에서 "시스템 이미지에 Splunk 배치"를 참조하십시오. Splunk의 전체 버전을 시스템 이미지에 통합하려면: 16

17 1. 참조 컴퓨터를 사용하여 필요한 Windows 기능, 패치 및 기타 구성 요소 등과 함께 원하는 위치에 Windows를 설치 및 설 정합니다. 2. Splunk의 시스템 및 하드웨어 용량 요구 사항을 고려하여 필요한 애플리케이션을 설치 및 설정합니다. 3. Splunk를 설치 및 설정합니다. 중요: GUI 설치 관리자를 사용하여 설치할 수도 있지만 명령줄을 통해 패키지를 설치할 경우 더 많은 옵션이 있습니다. 4. Splunk 입력을 설정했으면 명령 프롬프트를 엽니다. 5. 이 프롬프트에서 %SPLUNK_HOME%\bin 디렉터리로 변경하고 다음을 실행하여 Splunk를 중지합니다..\splunk stop 6..\splunk clean eventdata를 실행하여 모든 이벤트 데이터를 정리합니다. 7. 명령 프롬프트 창을 닫습니다. 8. 서비스 제어판에서 시작 유형을 '자동'으로 설정하여 splunkd 및 splunkweb 서비스가 자동으로 시작되도록 설정했는지 확 인합니다. 9. SYSPREP(Windows XP 및 Windows Server 2003/2003 R2인 경우) 또는 WSIM(Windows 시스템 이미지 관리 자)(Windows Vista, Windows 7 및 Windows Server 2008/2008 R2인 경우)과 같은 유틸리티를 사용하여 도메인 참여를 위한 시스템 이미지를 준비합니다. 참고: Microsoft는 복제하기 전에 컴퓨터 SID(보안 식별자)를 변경하는 방법으로 타사 도구(Ghost Walker 또는 NTSID 등) 를 사용하는 것보다 SYSPREP 및 WSIM을 사용할 것을 권장합니다. 10. 이미지를 위한 시스템 설정을 완료했으면 컴퓨터를 재부팅하고 선호하는 이미징 유틸리티를 사용하여 복제합니다. 이제 배포할 이미지가 준비되었습니다. Splunk Web을 사용한 Splunk Enterprise 관리 Splunk Web 실행 Splunk가 실행되면 웹 인터페이스를 실행할 수 있습니다. Splunk Web을 사용하여 수행할 수 있는 작업에 대해 자세히 알아 보려면 "Splunk Web 정보"를 참조하십시오. Splunk Web을 실행하려면 다음으로 이동하십시오. 이 때 설치 시에 선택한 호스트와 포트를 사용하십시오. Enterprise 라이선스를 사용하여 Splunk에 처음 로그인할 때 기본 로그인 정보는 다음과 같습니다. 사용자 이름 - admin 암호 - changeme 참고: 무료 라이선스를 사용하여 Splunk를 실행할 경우 액세스를 제어할 수 없으므로, 로그인 정보를 묻는 창이 나타나지 않 습니다. 참고: Splunk 버전 4.1.4부터 $SPLUNK_HOME/etc/local/server.conf를 편집하고 allowremotelogin을 Always로 설정하기 전에는 원격 브라우저를 통해 Splunk Free에 액세스할 수 없습니다. Splunk Enterprise를 실행할 경우 기본 암호를 변경하기 전까 지 관리자의 원격 로그인을 기본적으로 사용할 수 없습니다(requireSetPassword로 설정되어 있음). Splunk Web 정보 Splunk Web은 Splunk의 브라우저 기반 인터페이스입니다. Splunk Web에서 수행할 수 있는 작업은 다음과 같습니다. 데이터 입력 설정 데이터 검색, 결과 보고 및 시각화 문제 조사 기본 기능 또는 LDAP 전략을 통한 사용자 관리 Splunk 배포 문제 해결 클러스터 및 피어 관리 지원되는 운영 체제 및 브라우저 리스트는 해당 시스템 요구 사항을 참조하십시오. Splunk 홈 Splunk에 처음 로그인하면 Splunk 홈으로 이동합니다. 앱의 모든 항목이 이 페이지에 나타납니다. Splunk 홈에는 Splunk Enterprise 탐색 메뉴, 앱 패널, Splunk Enterprise 패널 탐색 및 사용자 지정 기본 대시보드(여기에는 표시되지 않음)가 포함 됩니다. 17

18 사용자 계정별로 검색 및 보고 앱의 검색 또는 피벗 등 다른 뷰에서 시작하도록 설정되었을 수도 있습니다. 다른 뷰에서 Splunk Web 왼쪽 상단의 Splunk 로고를 클릭하면 Splunk 홈으로 돌아갈 수 있습니다. 앱 앱 패널에는 보기 권한을 가진 Splunk 인스턴스에 설치된 앱이 나열됩니다. 리스트에서 앱을 선택하면 앱이 열립니다. 기본적으로 제공되는 Splunk Enterprise 설치의 경우 작업영역에 하나의 앱 (검색 및 보고)만 표시됩니다. 앱이 두 개 이상인 경우 작업영역 내로 앱을 끌어 놓고 다시 정렬할 수 있습니다. 이 패널에서 다음의 두 가지 작업을 수행할 수 있습니다. 기어 아이콘을 클릭하여 Splunk 인스턴스에 설치된 앱을 보고 관리합니다. 더하기 아이콘을 클릭하여 설치할 더 많은 앱을 찾아봅니다. Splunk Enterprise 탐색 패널 Splunk Enterprise 탐색 패널은 Splunk Enterprise를 사용하여 시작하는 데 도움이 됩니다. 아이콘을 클릭하면 다음을 수행 할 수 있습니다. 데이터 추가 새 앱 찾아보기 Splunk Enterprise 설명서 읽기 Splunk 응답 페이지 탐색 홈 대시보드 드롭다운 메뉴를 사용하여 대시보드를 선택합니다. Splunk 설정 메뉴 정보 Splunk Web은 Splunk 작업의 대부분을 관리할 수 있는 편리한 인터페이스를 제공합니다. 대부분의 기능은 메뉴에서 설정을 클릭하여 액세스할 수 있습니다. 여기서 다음 작업을 수행할 수 있습니다. 데이터 관리 설정 > 데이터에서 다음 작업을 수행할 수 있습니다. 데이터 입력을 통해 데이터 유형 리스트를 보고 설정할 수 있습니다. 입력을 추가하려면 데이터 입력 페이지에서 데이 터 추가 단추를 클릭하십시오. 데이터를 추가하는 방법에 대한 자세한 내용은 데이터 가져오기 매뉴얼을 참조하십시 오. 포워딩 및 수신을 통해 포워더와 수신기를 설정할 수 있습니다. 포워딩 및 수신 설정에 대한 자세한 내용은 데이터 포 워딩 매뉴얼을 참조하십시오. 인덱스를 통해 인덱스를 추가하고 비활성화 및 활성화할 수 있습니다. 보고서 가속화 요약에서는 검색 및 보고 앱으로 이동하여 기존 보고서 요약을 검토할 수 있습니다. 보고서 요약 만들기 에 대한 자세한 내용은 knowledge 관리자 매뉴얼을 참조하십시오. 사용자 및 사용자 인증 관리 설정 > 사용자 및 인증 > 액세스 제어로 이동하여 다음 작업을 수행할 수 있습니다. 사용자 만들기 및 관리 역할 정의 및 할당 LDAP 인증 전략 설정 사용자 및 인증 작업에 대한 자세한 내용은 Splunk 보안 매뉴얼을 참조하십시오. 앱 작업 설치된 앱을 보려면 메뉴 모음에서 앱을 선택하십시오. 18

19 이 페이지에서는 이미 설치되어 현재 사용할 수 있는 앱 리스트에서 앱을 선택할 수 있습니다. 다음 메뉴 옵션에도 액세스할 수 있습니다. 추가 앱 찾기를 통해 추가 앱을 검색하고 설치할 수 있습니다. 앱 관리를 통해 기존 앱을 관리할 수 있습니다. 홈 페이지에서 모든 앱에 액세스할 수도 있습니다. 앱에 대한 자세한 내용은 Splunk Web용 뷰 및 앱 개발을 참조하십시오. 시스템 영역 관리 설정 > 시스템에 있는 옵션을 사용하여 다음 작업을 수행할 수 있습니다. 서버 설정을 통해 포트, 호스트 이름, 인덱스 경로, 이메일 서버, 시스템 로그 및 배포 클라이언트 정보와 같은 Splunk 설정을 관리할 수 있습니다. Splunk Web을 사용한 분산 환경의 설정 및 관리에 대한 자세한 내용은 Splunk 구성 요소 업데이트 매뉴얼을 참조하십시오. 서버 컨트롤을 통해 Splunk를 재시작할 수 있습니다. 라이선싱을 통해 Splunk 라이선스를 관리 및 갱신할 수 있습니다. Splunk 기본 대시보드 Splunk는 일련의 유용한 대시보드와 함께 제공됩니다. 대시보드는 시스템 및 검색 문제를 해결하는 데 유용하며, 대시보드와 뷰를 직접 설계할 방법에 대한 몇 가지 아이디어를 생각해내는 데도 도움이 될 수 있습니다. 작업 대시보드 페이지 상단의 사용자 메뉴 모음에서 작업 > 시스템 작업을 클릭하여 다음 대시보드를 찾을 수 있습니다. 참고: 이러한 대시보드는 관리자 역할 권한을 가진 사용자만 볼 수 있습니다. 사용자 및 역할에 대해 자세한 내용은 Splunk 보안의 "사용자 추가 및 관리" 절을 참조하십시오. 대시보드에 대한 권한 설정에 대한 자세한 내용은 knowledge 관리자 매뉴 얼을 참조하십시오. 검색 작업 - 이 대시보드 컬렉션은 Splunk 인스턴스의 검색 작업에 대한 전체적인 정보를 제공합니다. 검색이 실행되는 시기, 시스템의 로드 양, 가장 일반적인 검색, 가장 자주 사용되는 검색 뷰 및 대시보드 등을 알 수 있습니다. 다음과 같 은 대시보드가 제공됩니다. 검색 작업 개요 검색 세부 정보 사용자 작업 검색 서버 작업 - 이 대시보드 컬렉션은 splunkd 및 Splunk Web 성능과 관련된 메트릭을 제공하며, 문제 해결에 유용합니 다. 보고된 오류 수, 최근 오류 리스트, 타임스탬프 문제 및 처리되지 않은 예외 리스트, 최근 브라우저 사용량을 보여주 는 차트 등이 표시됩니다. 다음과 같은 대시보드가 제공됩니다. 내부 메시지 및 오류 라이선스 사용량 스케줄러 작업 - 이 대시보드 컬렉션은 검색 스케줄러의 작업을 전체적으로 파악할 수 있게 하여 임시 및 예약된 검색 이 시기적절하게 실행되도록 보장합니다. 스케줄러 작업 개요 사용자 또는 앱에 의한 스케줄러 작업 저장된 검색에 의한 스케줄러 작업 스케줄러 오류 요약 대시보드 요약 대시보드는 검색 및 보고 앱에 들어갈 때 처음 표시되는 항목입니다. 요약 대시보드는 초기 검색을 입력하고 실행하기 위해 사용할 수 있는 검색란 및 시간 범위 선택기를 제공합니다. Splunk에 입력 데이터를 추가할 경우 해당 입력은 현재 앱에 상대적으로 추가됩니다. *nix 및 Windows 앱과 같은 일부 앱은 입력 데이터를 특정 인덱스(*nix 및 Windows의 경우 os 인덱스)에 기록합니다. 요약 대시보드를 검토할 때 Splunk에 있는 것이 확실한 데이터가 표시되지 않으면 올바른 인덱스를 보고 있는지 확인하십시오. 앱에서 사용하는 인덱스를 현재 사용 중인 역할에 대한 기본 인덱스 리스트에 추가할 수도 있습니다. 역할에 대한 자세한 내 용은 Splunk 보안 매뉴얼의 역할 관련 항목을 참조하십시오. 요약 대시보드에 대한 자세한 내용은 검색 튜토리얼을 참조하십 시오. 19

20 Splunk Web 배너 메시지 사용자 지정 이 페이지는 현재 작업 중이며, 가까운 시일 내 자주 업데이트될 예정입니다. 사용자가 로그인할 때 사용자 페이지의 상단에 표시되는 알림을 추가 및 편집할 수 있습니다. 알림은 Splunk Web의 메시 지 메뉴에도 표시됩니다. 알림을 추가 또는 편집하려면 관리자 또는 시스템 사용자 권한 수준이 필요합니다. 알림을 변경 또는 추가하는 방법: 1. 설정 > 사용자 인터페이스를 선택합니다. 2. 새로 만들기를 클릭하여 새 메시지를 만들거나, 공지 메시지를 클릭하고 편집할 메시지를 선택합니다. 3. 기존 메시지 텍스트를 편집하거나, 새 메시지에 이름과 메시지 텍스트를 지정합니다. 4. 저장을 클릭합니다. 메시지가 페이지 상단에 노란색 배너로 표시됩니다. 메시지 메뉴에 노트로 표시되기도 합니다. 프록시 서버를 통해 Splunk Web 사용 Splunk Web이 프록시 서버 뒤에 있을 경우 Splunk 웹 사이트에 액세스하는 Splunk Web 링크를 사용할 때 문제가 발생할 수 있습니다. 예를 들어 일부 Splunk Web 페이지는 Splunk 앱 다운로드 사이트에 직접 연결되고 여러 "자세히 알아보기" 링 크는 온라인 문서로 연결됩니다. 이 문제를 해결하려면 간단히 HTTP_PROXY 환경 변수를 설정하십시오. 영구적인 결과를 얻기 위해 *nix 시스템의 경우 $SPLUNK_HOME/etc/, Windows의 경우 %SPLUNK_HOME%\etc\에 있는 splunk-launch.conf 설정 파일에서 해당 설정을 지정할 수 있 습니다. splunk-launch.conf에서 다음 속성/값 쌍을 추가하십시오. HTTP_PROXY = <IP address or host name>:<port number> 예: HTTP_PROXY = :8787 중요: 프록시 서버가 HTTPS 요청만 처리할 경우 다음 속성/값 쌍을 사용해야 합니다. HTTPS_PROXY = <IP address or host name>:<port number> 예: HTTPS_PROXY = :8888 설정 파일을 사용한 Splunk Enterprise 관리 설정 파일에 대하여 Splunk의 설정 정보는 설정 파일에 저장됩니다. 설정 파일은.conf 확장자로 식별되며, 다음과 같은 Splunk 설정의 다양한 측 면에 대한 정보를 포함합니다. 시스템 설정 인증 및 허가 정보 인덱스 매핑 및 설정 배포 및 클러스터 설정 Knowledge 객체와 저장된 검색 설정 파일의 전체 리스트와 각 파일의 기능에 대한 개요는 이 매뉴얼의 설정 파일 리스트를 참조하십시오. 대부분의 설정 파일은 Splunk 설치와 함께 제공되며, $SPLUNK_HOME/etc/default에서 확인할 수 있습니다. Splunk Web을 사용한 설정 파일 관리 Splunk Web에서 설정을 변경하면 해당 설정에 대한 설정 파일의 복사본에 변경 사항이 기록됩니다. Splunk는 이 설정 파일 의 복사본을 (아직 없는 경우) 만들고 변경 사항을 해당 복사본에 기록하며$SPLUNK_HOME/etc/...의 하위 디렉터리에 추가합 니다. 새 파일이 실제로 추가되는 디렉터리는 설정 파일 디렉터리에서 설명하는 몇 가지 요인에 의해 결정됩니다. 가장 일반 적인 디렉터리는 아래 예제와 같이 사용되는 $SPLUNK_HOME/etc/local입니다. 20

21 Splunk Web에서 새 인덱스를 추가할 경우 일반적으로 다음 작업이 수행됩니다. 1. 파일의 복사본이 있는지 확인합니다. 2. 복사본이 없으면 indexes.conf의 복사본을 새로 만들고 $SPLUNK_HOME/etc/local과 같은 디렉터리에 추가합니다. 3. Splunk에서 변경 사항을 inputs.conf의 복사본에 기록합니다. 4. 기본 파일은 변경되지 않고 $SPLUNK_HOME/etc/system/default에 그대로 남아 있습니다. 설정 파일 직접 편집 Splunk Web에서 많은 설정 작업을 수행할 수 있지만, 모든 설정에 대한 설정 파일을 직접 편집할 수도 있습니다. Splunk Web에서 지원되지 않는 일부 고급 사용자 설정의 속성은 Splunk Web에서 액세스할 수 없으며, 해당 설정의 설정 파일을 직 접 편집해야 합니다. 참고: 설정 파일을 편집하면 Splunk Web에서 변경할 때보다 Splunk를 더 자주 재시작해야 합니다. 설정 파일을 편집한 후 Splunk를 재시작하는 방법에 대한 자세한 내용은 "설정 파일 변경 후에 Splunk를 재시작해야 하는 경우"를 참조하십시오..conf 파일은 직접 편집할 때 주의해야 합니다. 기본 설정 파일을 직접 편집하지 마십시오. 대신, Splunk Web과 동일한 방법 으로 복사본을 만들고 다른 디렉터리에 저장하십시오. 기본 파일을 원래 위치에 계속 보관하는 것이 중요합니다. 자세한 내용은 "설정 파일 편집 방법"에서 더 자세히 설명합니다. 설정 파일을 변경하기 전에: 기본 설정 파일 작업과 편집된 복사본을 저장할 위치에 대해 자세히 알아보십시오. "설정 파일 디렉터리"를 참조하십 시오. 설정 파일에 포함된 스탠자의 구조와 편집할 속성이 설정되는 방법에 대해 알아보십시오. "설정 파일 구성"을 참조하 십시오. (복사본을 저장할 가장 좋은 위치를 알기 위해) 서로 다른 디렉터리에 있는 동일한 설정 파일의 다양한 복사본의 계층 구조와 결합 방법에 대해 알아보십시오. "설정 파일 우선 순위"를 참조하십시오. 설정 파일의 내용과 디렉터리 구조에 대해 숙지하고 Splunk의 설정 파일 우선 순위를 활용하는 방법을 이해한 후 "설정 파일 편집 방법"을 읽고 파일을 안전하게 수정하는 방법에 대해 알아보십시오. 설정 파일 디렉터리 단일 Splunk 인스턴스에는 일반적으로 여러 디렉터리에 걸쳐 여러 버전의 설정 파일이 있습니다. 기본, 로컬 및 앱 디렉터리 에 이름이 동일한 설정 파일이 있을 수 있습니다. 이것은 Splunk가 현재 사용자 및 현재 앱과 같은 요인을 기준으로 설정 우 선 순위를 결정하기 위해 사용할 수 있는 계층화 효과를 만들어냅니다. Splunk에서 설정의 우선 순위를 정하는 방법에 대한 자세한 내용은 "설정 파일 우선 순위"를 참조하십시오. 참고: 지정된 설정 파일에서 사용할 수 있는 가장 정확한 설정 리스트는 해당 설정 파일의.spec 파일에 있습니다. "설정 파일 참조" 또는 $SPLUNK_HOME/etc/system/README에서.spec 및.example 파일의 최신 버전을 찾을 수 있습니다. 기본 파일에 대하여 "모든 환경은 /default를 제외하고 사용자의 환경에 따라 다릅니다." -- duckfez, 2010 다음은 $SPLUNK_HOME/etc의 설정 디렉터리 구조입니다. $SPLUNK_HOME/etc/system/default 미리 설정된 설정 파일이 포함됩니다. 이 디렉터리에 있는 파일을 수정하면 안 됩니다. 로컬 또는 앱 디렉터리에 있는 파일의 사본을 대신 편집해야 합니다. 기본 파일은 파일의 변경 사항을 롤백해야 할 경우에도 유용합니다. Splunk는 업그레이드될 때마다 기본 파일을 덮어씁니다. Splunk는 항상 기본 디렉터리를 마지막으로 살펴보므로, 다른 설정 디렉터리 중 하나에서 변경한 속성이나 스탠자가 기본 버전보다 우선합니다. 수정한 설정 파일을 저장하거나 찾을 수 있는 위치 Splunk가 "설정 파일 우선 순위"에 설명되어 있는 계층 구조에 따라 사용하는 다른 속성 값을 통해 설정 파일의 여러 버전을 계층화할 수 있습니다. 기본 디렉터리에 있는 파일을 편집하지 마십시오. 대신, $SPLUNK_HOME/etc/system/local과 같은 설정 디렉터리에서 파일을 만 들거나 편집하십시오. 해당 디렉터리는 업그레이드 도중에 덮어쓰지 않습니다. 대부분의 배포에서는 $SPLUNK_HOME/etc/system/local 디렉터리를 사용하여 설정을 변경할 수 있습니다. 그러나 경우에 따라 다른 디렉터리에 있는 파일을 사용하여 작업을 수행할 수도 있습니다. 다음은 $SPLUNK_HOME/etc의 설정 디렉터리 구조입니다. 21

22 $SPLUNK_HOME/etc/system/local 모든 앱에서 사용 가능한 설정과 같은 사이트 범위의 로컬 변경 사항이 여기에 적용됩니다. 원하는 설정 파일이 아직 이 디렉터리에 없으면 파일을 만들고 쓰기 권한을 부여하십시오. $SPLUNK_HOME/etc/slave-apps/[_cluster <app_name>]/[local default] 클러스터 피어 노드만 해당됨 $SPLUNK_HOME/etc/slave-apps의 하위 디렉터리에는 모든 피어 노드의 공통 설정 파일이 포함됩니다. 클러스터 피어에서 하위 디렉터리의 내용을 변경하지 마십시오. 대신 클러스터 마스터를 사용하여 하위 디렉터 리에 새 파일 또는 수정된 파일을 배포하십시오. _cluster 디렉터리는 실제 앱에 포함되어 있지 않지만 모든 피어에서 동일해야 하는 설정 파일을 포함합니다. 일 반적으로 indexes.conf 파일이 여기에 해당됩니다. 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "공통 피어 설정 업데이트"를 참조하십시오. $SPLUNK_HOME/etc/apps/<app_name>/[local default] 설정을 변경할 때 사용자가 현재 앱에 있을 경우 앱의 /local 디렉터리에 있는 설정 파일에 해당 설정이 적용됩 니다. 예를 들어, 기본 Splunk 검색 앱의 검색 시간 설정에 대한 편집 내용은 다음 위치에 적용됩니다. $SPLUNK_HOME/etc/apps/search/local/. 특정 앱에만 변경 사항이 적용되도록 설정 파일을 편집하려면 설정 파일을 (쓰기 권한이 있는) 앱의 /local 디렉 터리에 복사한 후 변경하십시오. $SPLUNK_HOME/etc/users 사용자별 설정 변경 사항이 여기에 적용됩니다. $SPLUNK_HOME/etc/system/README 이 디렉터리에는 지원 참조 설명서가 포함됩니다. 대부분의 설정 파일에는.spec 및.example의 두 개의 참조 파 일이 있습니다(예: inputs.conf.spec 및 inputs.conf.example)..spec 파일은 사용 가능한 속성 및 변수 리스트를 비롯한 구문을 지정합니다..example 파일에는 실제 환경에서의 사용 예가 포함되어 있습니다. 설정 파일 구성 설정 파일을 편집하기 전에 파일 구조를 알아야 합니다. 스탠자 설정 파일은 하나 이상의 스탠자 또는 섹션으로 구성됩니다. 각 스탠자는 대괄호로 묶은 스탠자 헤더로 시작됩니다. 이 헤더 는 해당 스탠자 내에 저장된 설정을 식별합니다. 각 설정은 특정 구성 설정을 지정하는 속성 값의 쌍입니다. 예를 들어 inputs.conf는 서버 인증서 및 암호 등에 대한 설정이 포함된 [SSL]을 제공합니다. [SSL] servercert = <pathname> password = <password> 스탠자 유형에 따라 속성이 필수적이거나 선택적일 수 있습니다. 새 스탠자 설정 설정 파일을 편집할 때는 위와 같이 기본 스탠자를 변경하거나 완전히 새로운 스탠자를 추가할 수 있습니다. 다음은 기본 패턴입니다. [stanza1_header] <attribute1> = <val1> comment <attribute2> = <val2>... [stanza2_header] <attribute1> = <val1> <attribute2> = <val2>... 중요: 속성은 대소문자를 구분합니다. 예를 들어, sourcetype = my_app은 SOURCETYPE = my_app과 동일하지 않습니다. 하나는 작동하고, 다른 하나는 작동하지 않습니다. 스탠자 범위 설정 파일은 우선 순위를 가진 더 많은 특정 스탠자와 함께 다양한 영역의 스탠자를 가진 경우가 많습니다. 예를 들어, 포워 더를 설정하는 데 사용하는 outputs.conf 설정 파일의 아래 예제를 보십시오. [tcpout] indexandforward=true compressed=true 22

23 [tcpout:my_indexersa] autolb=true compressed=false server=mysplunk_indexer1:9997, mysplunk_indexer2:9997 [tcpout:my_indexersb] autolb=true server=mysplunk_indexer3:9997, mysplunk_indexer4:9997 이 예제 파일에는 다음과 같은 두 가지 수준의 스탠자가 있습니다. 모든 TCP 포워딩에 영향을 미치는 설정이 포함된 전역[tcpout] 설정이 각 대상 그룹에 정의된 인덱서에만 영향을 미치는 두 가지 [tcpout:<target_list>] 스탠자 my_indexersa 대상 그룹의 인덱서인 경우에만 [tcpout:my_indexersa]의 compressed 설정은 [tcpout]의 해당 속성 설정보다 우선합니다. 포워더 및 outputs.conf에 대한 자세한 내용은 "outputs.conf에서 포워더 설정"을 참조하십시오. 설정 파일 우선 순위 설정 파일에 대한 자세한 내용은 "설정 파일에 대하여"를 참조하십시오. Splunk는 설정 파일을 사용하여 동작의 모든 측면을 결정합니다. 단일 Splunk 인스턴스에는 동일한 설정 파일의 여러 복사 본이 있을 수 있습니다. 각 파일 복사본은 일반적으로 사용자 또는 앱이나 전체 시스템에 영향을 미치는 여러 디렉터리에 계 층 구조로 저장됩니다. 설정 파일을 편집할 때는 Splunk가 어떻게 각 파일을 평가하고 어떤 파일이 우선하는지 이해하는 것이 중요합니다. Splunk는 변경 사항을 적용할 때 설정 파일에 대해 다음과 같은 작업을 수행합니다. Splunk는 위치 기반 우선 순위 지정 구조를 사용하여 모든 파일 복사본의 설정을 병합합니다. 서로 다른 복사본에서 속성 값이 충돌할 경우(즉, 동일한 속성에 다른 값이 설정된 경우) Splunk는 가장 높은 우선 순위 파일의 값을 사용합니다. Splunk는 디렉터리 구조에서 파일이 있는 위치를 기준으로 설정 파일의 우선 순위를 시스템, 앱 또는 사용자 디렉터리 순으로 결정합니다. 앱 디렉터리 컬렉션에서 우선 순위를 결정하기 위해 Splunk는 ASCII 정렬 순서를 사용합니다. 앱 디렉터리 이름의 "A" 파일은 앱 디렉터리 이름의 "B" 등의 파일보다 더 높은 우선 순위를 가집니다. 참고: 파일의 여러 복사본의 구성 설정을 해결하는 것 외에도, Splunk가 단일 파일 내의 설정을 해결해야 할 경우가 있습니 다. 단일 props.conf 파일 내에서 우선 순위를 결정하는 방식은 "단일 props.conf 파일 내의 속성 우선 순위"를 참조하십시오. 설정 파일 컨텍스트에 대하여 우선 순위가 결정되는 방법은 파일의 컨텍스트에 따라 다릅니다. 앱 또는 사용자 컨텍스트와 전역 컨텍스트 설정 파일 복사본의 우선 순위를 결정하기 위해 Splunk는 먼저 디렉터리 구조를 파악합니다. Splunk에서 사용하는 디렉터리 우선 순위 결정 방법은 크게 두 가지로 나뉩니다. 앱 또는 사용자: 검색과 같은 일부 작업은 앱/사용자 컨텍스트에서 수행됩니다. 앱/사용자 컨텍스트는 특정 knowledge 객체 또는 작업이 특정 앱의 특정 사용자에게만 유효할 수 있는 검색 시간 처리에 매우 중요합니다. 전역: 인덱싱과 같은 작업은 전역 컨텍스트에서 수행됩니다. 이런 작업은 앱 또는 사용자에 관계 없이 수행됩니다. 예 를 들어 모니터링 동작을 결정하는 설정 파일은 앱/사용자 이외의 컨텍스트에서 발생하며 전체적으로 적용됩니다. 클러스터 피어 설정 컨텍스트 클러스터 피어 노드 전역 설정에 대한 확장된 우선 순위도 있습니다. 그 이유는 indexes.conf와 같은 일부 설정 파일이 전체 피어 노드에서 동일해야 하기 때문입니다. 파일의 일관성을 유지하기 위해 파일은 모든 피어 노드에 파일의 동일한 버전이 포함되도록 하기 위해 파일을 피어 노드에 배포하는 클러스터 마스터에서 관리됩니다. 해당 파일은 다음 절에 설명되어 있는 클러스터 피어 설정에서 우선 순위가 가장 높습니다. 설정이 피어 노드 간에 분산되는 방법에 대한 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "공통 피어 설정 업데이트"를 참조하십시오. Splunk에서 우선 순위를 결정하는 방법 이 하위 절에서는 컨텍스트에 따른 우선 순위 지정 방식에 대해 설명합니다. 디렉터리 이름에 따른 우선 순위 지정 방식에 대 23

24 해서는 이 항목의 뒷부분에 있는 "디렉터리 우선 순위 요약"을 참조하십시오. 전역 컨텍스트 내 우선 순위: 컨텍스트가 전역인 경우(즉, 앱/사용자 컨텍스트가 없는 경우), 디렉터리 우선 순위는 다음과 같은 순서로 내려갑니다. 1. 시스템 로컬 디렉터리 - 가장 높은 우선 순위 2. 앱 로컬 디렉터리 3. 앱 기본 디렉터리 4. 시스템 기본 디렉터리 -- 가장 낮은 우선 순위 inputs.conf 등의 전역 설정을 사용할 때 Splunk는system/local에 있는 해당 파일의 복사본에서 속성을 먼저 사용합니다. 그 런 다음 앱 디렉터리에 있는 파일의 복사본을 찾습니다. 앱 디렉터리에 있는 속성을 추가하지만 시스템/로컬에서 이미 발견 된 속성은 무시합니다. 마지막으로, 시스템 또는 앱 수준에 명시적으로 할당되지 않은 속성에는 system/default 디렉터리에 있는 파일의 기본값이 할당됩니다. 참고: 다음 절에서 설명하는 대로 클러스터 피어 노드에는 확장된 우선 순위가 있습니다. 클러스터 피어 노드의 우선 순위 클러스터 피어 노드의 전역 컨텍스트에는 몇 가지 추가 피어별("slave-app") 디렉터리가 사용됩니다. 이러한 디렉터리에는 모든 피어 노드에서 동일한 앱 및 설정이 포함됩니다. 클러스터 피어의 확장된 우선 순위는 다음과 같습니다. 1. Slave-app 로컬 디렉터리(클러스터 피어만 해당) -- 가장 높은 우선 순위 2. 시스템 로컬 디렉터리 3. 앱 로컬 디렉터리 4. Slave-app 기본 디렉터리(클러스터 피어만 해당) 5. 앱 기본 디렉터리 6. 시스템 기본 디렉터리 -- 가장 낮은 우선 순위 클러스터 피어에서는 모든 피어에 공통인 사용자 지정 설정(slave-app 로컬 디렉터리에 포함)이 가장 높은 우선 순위를 가집 니다. 앱 또는 사용자 컨텍스트 내 우선 순위 앱/사용자 컨텍스트인 경우 디렉터리 우선 순위는 사용자에서 앱, 시스템 순으로 내려갑니다. 1. 현재 사용자의 사용자 디렉터리 - 가장 높은 우선 순위 2. 현재 실행 중인 앱의 앱 디렉터리(로컬, 기본 순서) 3. 다른 모든 앱의 앱 디렉터리(로컬, 기본 순서) - 내보낸 설정만 해당 4. 시스템 디렉터리(로컬, 기본 순서) - 가장 낮은 우선 순위 예를 들어 savedsearches.conf의 속성은 세 가지 수준, 즉 사용자, 앱 및 시스템 수준에서 모두 설정할 수 있습니다. Splunk는 앱 또는 시스템 수준에서 설정된 동일한 속성보다 우선적으로 항상 사용자 수준 속성 값을 사용합니다. 앱 디렉터리 이름이 우선 순위에 미치는 영향 참고: 이 하위 절에 나오는 내용은 중요하다고 볼 수는 없지만, 특정 순서로 평가 또는 문제 해결을 수행해야 할 경우에는 유 용할 수 있습니다. 앱 디렉터리 컬렉션에서 우선 순위를 결정하기 위해 Splunk는 ASCII 정렬 순서를 사용합니다. 앱 디렉터리 이름의 "A" 파일 은 앱 디렉터리 이름의 "B" 등의 파일보다 더 높은 우선 순위를 가집니다. 또한 ASCII 정렬 순서에 따라 대문자로 시작하는 모든 앱이 소문자로 시작하는 앱보다 높은 우선 순위를 가집니다. (즉, "A"는 "Z"보다 우선하고 "Z"는 "a"보다 우선합니다.) 또한 숫자 디렉터리는 알파벳 디렉터리보다 더 높은 우선 순위를 가지며, 숫자가 아닌 사전 순서로 평가됩니다. 예를 들어, 다음은 내림차순으로 평가됩니다. $SPLUNK_HOME/etc/apps/myapp1 $SPLUNK_HOME/etc/apps/myapp10 $SPLUNK_HOME/etc/apps/myapp2 $SPLUNK_HOME/etc/apps/myapp20... $SPLUNK_HOME/etc/apps/myappApple $SPLUNK_HOME/etc/apps/myappBanana $SPLUNK_HOME/etc/apps/myappZabaglione... $SPLUNK_HOME/etc/apps/myappapple $SPLUNK_HOME/etc/apps/myappbanana $SPLUNK_HOME/etc/apps/myappzabaglione... 참고: 앱/사용자 컨텍스트에서 우선 순위를 결정할 때 디렉터리 명명 방식에 상관없이 현재 실행 중인 앱의 디렉터리가 다른 모든 앱의 디렉터리보다 우선합니다. 또한 다른 앱은 내보낸 설정만 검사됩니다. 24

25 디렉터리 우선 순위 요약 디렉터리 우선 순위 순서는 다음과 같습니다. 전역 컨텍스트: $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/apps/A/local/*... $SPLUNK_HOME/etc/apps/z/local/* $SPLUNK_HOME/etc/apps/A/default/*... $SPLUNK_HOME/etc/apps/z/default/* $SPLUNK_HOME/etc/system/default/* 전역 컨텍스트 - 클러스터 피어 노드만 해당: $SPLUNK_HOME/etc/slave-apps/A/local/*... $SPLUNK_HOME/etc/slave-apps/z/local/* $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/apps/A/local/*... $SPLUNK_HOME/etc/apps/z/local/* $SPLUNK_HOME/etc/slave-apps/A/default/*... $SPLUNK_HOME/etc/slave-apps/z/default/* $SPLUNK_HOME/etc/apps/A/default/*... $SPLUNK_HOME/etc/apps/z/default/* $SPLUNK_HOME/etc/system/default/* 중요: slave-apps/[local default] 디렉터리에서는 특수 _cluster 하위 디렉터리가 소문자(예: anapp)로 시작하는 앱 하위 디 렉터리보다 높은 우선 순위를 가집니다. 그러나 이 디렉터리는 대문자(예:AnApp)로 시작하는 앱 디렉터리보다 낮은 우선 순위 를 가집니다. 그 이유는 ASCII 정렬 순서에서 밑줄("_") 문자의 위치 때문입니다. 앱/사용자 컨텍스트: $SPLUNK_HOME/etc/users/* $SPLUNK_HOME/etc/apps/Current_running_app/local/* $SPLUNK_HOME/etc/apps/Current_running_app/default/* $SPLUNK_HOME/etc/apps/A/local/*, $SPLUNK_HOME/etc/apps/A/default/*,... $SPLUNK_HOME/etc/apps/z/local/*, $SPLUNK_HOME/etc/apps/z/default/* (but see note below) $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/system/default/* 중요: 앱/사용자 컨텍스트에서 현재 실행 중인 앱의 모든 설정 파일은 다른 모든 앱의 파일보다 우선합니다. 이러한 우선 순위 는 앱의 로컬 및 기본 디렉터리에 해당됩니다. 따라서 현재 컨텍스트가 앱 C인 경우 Splunk는 다른 앱의 로컬 또는 기본 디렉 터리를 평가하기 전에 $SPLUNK_HOME/etc/apps/C/local/* 및 $SPLUNK_HOME/etc/apps/C/default/*를 모두 평가합니다. 또한 Splunk는 앱 권한 설정에 대해 이 항목에서 설명한 것처럼, 앱의 default.meta 파일을 통해 데이터를 전역으로 내보낸 경우에 는 다른 앱의 설정 데이터만 살펴봅니다. 또한 /etc/users/는 특정 사용자가 로그인하거나 검색을 수행할 때만 평가됩니다. 속성 우선 순위 방식을 보여주는 예 속성 우선 순위를 보여주는 이 예에서는 props.conf를 사용합니다. 이 파일의 컨텍스트는 Splunk의 파일 평가 시기에 따라 전 역 또는 앱/사용자가 되기 때문에 props.conf 파일은 흔하게 볼 수 없습니다. Splunk는 인덱스 시간(전역)과 검색 시간(앱/사 용자)에 모두 props.conf를 평가합니다. $SPLUNK_HOME/etc/system/local/props.conf에 다음 스탠자가 포함된 것으로 가정하고, [source::/opt/locke/logs/error*] sourcetype = fatal-error 25

26 $SPLUNK_HOME/etc/apps/t2rss/local/props.conf에는 이와 동일한 스탠자의 다른 버전이 포함되어 있는 것으로 가정합니다. [source::/opt/locke/logs/error*] sourcetype = t2rss-error SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE_DATE = True t2rss에서 라인 병합 속성 할당은 파일의 해당 버전에서만 발생하므로 항상 적용됩니다. 그러나 sourcetype 속성과 충돌합니 다. /system/local 버전에서 sourcetype은 "fatal-error" 값을 가지고, /apps/t2rss/local 버전에서는 "t2rss-error" 값을 가집니 다. 이것은 인덱스 시간에 적용되는 sourcetype 할당이므로 Splunk는 디렉터리 우선 순위를 결정하는 데 전역 컨텍스트를 사용 합니다. 전역 컨텍스트에서 Splunk는 system/local의 속성 할당에 가장 높은 우선 순위를 제공합니다. 따라서 sourcetype 속 성에는 "fatal-error" 값이 할당됩니다. 내부적으로 병합된 파일의 최종 버전은 다음과 같습니다. [source::/opt/locke/logs/error*] sourcetype = fatal-error SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE_DATE = True 설정 파일 및 컨텍스트 리스트 Splunk는 파일이 전역 또는 앱/사용자 내에서 작동하는 컨텍스트를 기반으로 설정 파일을 어떻게 평가할지 결정합니다. 일반 적으로 데이터 입력, 인덱싱 또는 배포 작업에 영향을 미치는 파일은 전역이고, 검색 작업에 영향을 미치는 파일은 보통 앱/사 용자 컨텍스트를 가집니다. props.conf 및 transforms.conf 파일은 Splunk가 이러한 파일을 인덱스 시간 또는 검색 시간에 사용하는 지에 따라 앱/사용자 또는 전역 컨텍스트로 평가됩니다. 전역 설정 파일 admon.conf authentication.conf authorize.conf crawl.conf deploymentclient.conf distsearch.conf indexes.conf inputs.conf outputs.conf pdf_server.conf procmonfilters.conf props.conf -- global and app/user context pubsub.conf regmonfilters.conf report_server.conf restmap.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf source-classifier.conf sourcetypes.conf sysmon.conf tenants.conf transforms.conf -- global and app/user context user-seed.conf -- special case: Must be located in /system/default web.conf wmi.conf 앱/사용자 설정 파일 alert_actions.conf app.conf audit.conf commands.conf 26

27 eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf limits.conf literals.conf macros.conf multikv.conf props.conf -- global and app/user context savedsearches.conf tags.conf times.conf transactiontypes.conf transforms.conf -- global and app/user context user-prefs.conf workflow_actions.conf 설정 우선 순위 및 기타 문제 해결 Splunk의 설정 파일 시스템은 다른 많은 위치에서 많은 설정 파일이 중복되는 것을 지원합니다. 이러한 유연성이 주는 장점 은 Splunk 설치에서 어떤 설정 옵션의 어떤 값이 가끔씩 복잡해지는지 알아낼 수 있다는 것입니다. 지정된 상황에서 어떤 구 성 설정이 사용되는지 쉽게 알 수 있으려면 문제 해결 매뉴얼의 "btool을 사용하여 설정 문제 해결"을 읽어보십시오. 단일 props.conf 파일 내의 속성 우선 순위 파일 간 속성 우선 순위에 대해 잘 알고 있는 동시에 단일 props.conf 파일 내의 속성 우선 순위도 고려해야 할 경우가 있습니 다. 동일한 대상에 영향을 미치는 스탠자 집합 내의 우선 순위 둘 이상의 스탠자가 동일한 항목에 영향을 미치는 동작을 지정할 경우 스탠자의 ASCII 순서에 따라 항목이 평가됩니다. 예를 들어 props.conf에서 다음 스탠자를 지정한다고 가정해 보십시오. [source::.../bar/baz] attr = val1 [source::.../bar/*] attr = val2 attr의 두 번째 스탠자 값이 사용됩니다. 그 이유는 해당 경로가 ASCII 순서에서 더 높은 우선 순위를 가지기 때문입니다. props.conf의 기본 속성 우선 순위 재정의 props.conf의 기본 ASCII 우선 순위를 재정의하는 방법이 있습니다. priority 키를 사용하여 지정된 스탠자에 더 높거나 더 낮은 우선 순위를 지정할 수 있습니다. 예를 들어, 원본이 다음과 같고 source::az 패턴은 다음과 같다고 가정하십시오. [source::...a...] sourcetype = a [source::...z...] sourcetype = z 이 경우 "source::...a..." 패턴에 의해 제공된 설정이 "source::...z..."에 의해 제공된 설정보다 우선되는 것이 기본 동작입니다. 따라서 sourcetype의 값은 "a"가 됩니다. 기본 ASCII 순서를 재정의하려면 priority 키를 사용하십시오. [source::...a...] sourcetype = a priority = 5 [source::...z...] sourcetype = z 27

28 priority = 10 두 번째 스탠자에 더 높은 우선 순위를 할당하면 sourcetype의 값이 "z"가 됩니다. 고려해야 할 또 다른 속성 우선 순위 문제가 있습니다. 기본적으로 문자열이 문자 그대로 일치하는 스탠자("리터럴 일치 스탠 자")는 regex 패턴 일치 스탠자보다 우선합니다. 이것은 priority 키의 기본값 때문입니다. 0은 패턴 일치 스탠자의 기본값입니다. 100은 리터럴 일치 스탠자의 기본값입니다. 따라서 priority 키를 명시적으로 설정하여 이 동작을 변경하지 않을 경우 리터럴 일치 스탠자는 항상 패턴 일치 스탠자보다 우선합니다. priority키를 사용하여 sourcetype 패턴 또는 host 패턴과 같은 동일한 유형의 패턴 간에 발생하는 충돌을 해결할 수 있습니 다. 그러나 priority 키는 spec 유형 전체에서 우선 순위에 영향을 미치지 않습니다. 예를 들어, 우선 순위 키 값에 상관없이 source 패턴은 host 및 sourcetype 패턴보다 우선합니다. 여러 속성 할당에서 이벤트의 우선 순위 props.conf 파일은 host, source 또는 sourcetype(그리고 때로는 event type)에 의해 개별 이벤트를 처리하는 속성을 설정합 니다. 따라서 하나의 이벤트에 기본 필드(source, host 또는 sourcetype)에 따라 다르게 설정된 동일한 속성이 있을 수 있습 니다. 우선 순위는 다음과 같습니다. source host sourcetype 기본 props.conf 설정을 재정의할 수도 있습니다. 예를 들어, mylogfile.xml(기본적으로 sourcetype = xml_file로 레이블이 지 정됨)를 사용자 지정한다고 가정합니다. 이 설정은 source에 의해 속성이 설정되었기 때문에 다른 sourcetype을 수동으로 지정하더라도 설정이 변경될 때마다 전체 파일을 다시 인덱스합니다. 이 작업을 재정의하려면 source별 명시적 설정을 추가 하십시오. [source::/var/log/mylogfile.xml] CHECK_METHOD = endpoint_md5 설정 파일 복사 및 편집 방법 설정 파일을 편집하기 전에 다음 사항에 대해 알아야 합니다. 기본 설정 파일과 해당 파일의 위치, 그리고 편집한 파일을 저장할 위치에 대해 알아보려면 "설정 파일 디렉터리"를 참 조하십시오. 파일 구조와 편집할 속성이 설정되는 방법에 대해 알아보려면 "설정 파일 구성"을 참조하십시오. 설정 파일이 여러 디렉터리에서 계층화되고 결합되는 방법에 대해 알아보려면 "설정 파일 우선 순위"를 참조하십시오. 기본 파일 복사 파일의 속성을 사용자 지정하려는 경우 파일의 복사본을 원하는 디렉터리($SPLUNK_HOME/etc/system/local 등)에 만드십시오. 기본 설정 파일의 전체 콘텐츠를 복사하지 말고 사용자 지정할 속성만 복사하십시오. 이렇게 하는 이유는 기본값에 대한 모 든 Splunk 업데이트를 올바르게 배포하기 위해서입니다. 참고: 파일을 로컬 디렉터리에 복사할 때는 "쓰기" 권한을 부여해야 합니다. 예를 들어, 자체 서명 SSL 인증서를 사용하고 server.conf에서 새 인증서로 연결되는 경로를 재지정해야 하는 경우를 가정 해 보십시오. 이 경우 <SSL> 스탠자를 다른 스탠자와 함께 server.conf의 새로운 복사본에 복사한 후 SSL 스탠자만 편집하 고 나머지 스탠자는 기본값을 사용하십시오. 이후 릴리스에서 Splunk는 복사했지만 편집하지 않은 스탠자 중 하나인 server.conf의 기본 포트 설정 중 하나를 변경합니다. 다음에 Splunk를 업그레이드할 때는 속성 값이 있는 server.conf의 새 버전이 기본 디렉터리에 있는 server.conf 버전을 덮어 씁니다. 그러나 Splunk는 로컬 디렉터리에 있는 버전의 구성 설정에 우선 순위를 부여하기 때문에 기본 디렉터리에 기록된 새 포트는 적용되지 않습니다. 참고: 일부 설정 파일에는 기본 버전이 없습니다. 해당 설정 파일에는 여전히 복사본을 만드는 데 사용되는.spec 및.example 파일이 있습니다. 속성 지우기 속성을 null로 설정하여 속성을 지울 수 있습니다. 예: forwardedindex.0.whitelist = 이렇게 하면 기본 파일에 설정된 값을 포함하여 속성에 저장된 이전 값이 재정의되어 시스템에서 모든 값이 완전히 설정 해 제된 것으로 간주합니다. 28

29 주석 사용 설정 파일에 주석을 삽입할 수 있습니다. 주석을 삽입하려면 기호를 사용하십시오. This stanza forwards some log files. [monitor:///var/log] 중요: 주석은 왼쪽 여백에서 시작합니다. 스탠자 또는 속성과 같은 줄에 주석을 작성하지 마십시오. [monitor:///var/log] This is a really bad place to put your comment. 속성의 경우 예는 다음과 같습니다. a_setting = 5 5 is the best number 이 경우 a_setting 속성에 값 "5 5 is the best number"가 설정되므로 예기치 않은 결과가 발생할 수 있습니다. 비 UTF-8 운영 체제에서 설정 파일 만들기 및 편집 Splunk의 설정 파일은 ASCII/UTF-8 형식입니다. 비 UTF-8인 운영 체제에서 설정 파일을 편집하거나 만들 경우에는 파일을 ASCII/UTF-8로 저장하도록 사용할 편집기를 설정해야 합니다. 설정 파일 변경 후에 Splunk를 재시작해야 하는 경우 이 페이지는 현재 작업 중이며, 가까운 시일 내 자주 업데이트될 예정입니다. 설정 파일을 통해 Splunk에 변경 사항을 적용할 때는 Splunk를 재시작하여 해당 변경 사항이 시스템에 적용되었는지 확인해 야 합니다. 참고: Splunk Web에서 변경을 수행하면 재시작해야 하는 경우가 더 적습니다. 그 이유는 Splunk Web에서 자동으로 기본 설정 파일을 업데이트하고 실행 중인 Splunk 인스턴스(splunkd)에 변경 사항을 알리기 때문입니다. 이 항목에서는 변경 후 재시작할지 여부를 판단하는 데 도움이 되는 지침을 제공합니다. 변경 후 재시작할지 여부는 여러 가 지 요인에 의해 좌우되며, 이 항목에는 모든 요인이 모두 나와 있지 않습니다. 어떤 항목을 변경한 후 재시작 여부를 알려면 항상 설정 파일 또는 해당 참조 항목을 확인하십시오. 설정 파일의 전체 리스트와 각 파일의 기능에 대한 개요는 이 매뉴얼의 설정 파일 리스트를 참조하십시오. 포워더를 재시작해야 하는 상황 설정 파일 변경 사항을 헤비 포워더에 적용할 경우에는 포워더를 재시작해야 하지만 수신 인덱서는 재시작할 필요가 없습니 다. 변경 사항이 변경한 후 재시작하도록 이미 설정되어 있는 배포된 앱의 일부일 경우 포워더가 자동으로 재시작됩니다. Splunk Web을 재시작해야 하는 경우 Splunk Web 액세스를 위해 SSL을 활성화하거나 비활성화하려면 Splunk Web을 재시작해야 합니다. Splunkd를 재시작해야 하는 상황 일반적으로 다음을 수정하는 모든 작업이 해당됩니다. 인덱스 변경 인덱서와 인덱싱 동작에 영향을 미치는 설정 및 속성 사용자와 역할에 영향을 미치는 설정 및 속성 Splunk의 핵심 설정에 영향을 미치는 설정 및 속성 참고: 인덱싱에 영향을 미치는 설정을 UI와 CLI를 통해 변경하면 재시작 없이 즉시 적용됩니다. 인덱스 시간 필드 추출 타임스탬프 속성 사용자 및 역할 변경 설정 파일에서 사용자 및 역할과 관련된 다음과 같은 정보를 변경하면 재시작이 필요합니다. LDAP 설정(Splunk Web에서 이 정보를 변경하면 재시작 없이 변경 사항을 다시 로드할 수 있습니다.) 암호 변경 역할 기능 변경 사용자-역할 매핑과 같은 Splunk 기본 인증 변경 29

30 시스템 변경 시스템 설정이나 서버 상태에 영향을 미치는 정보를 변경하면 재시작이 필요합니다. 라이선싱 변경 웹 서버 설정 업데이트 일반 인덱서 설정 변경(사용 가능한 최소 디스크 공간, 기본 서버 이름 등) 일반 설정(예: 포트 설정) 변경 포워더의 출력 설정 변경 Splunk 서버 OS의 시간대 변경(Splunk는 시작 시 기본 OS에서 현지 표준 시간대를 가져옵니다.) 검색 헤드 풀 만들기 일부 앱을 설치할 경우 재시작해야 합니다. 설치하는 각 앱 문서를 참조하십시오. 재시작이 필요없는 Splunk 변경 사항 검색 시 프로세싱에 적용되는 설정은 즉시 적용되므로 재시작할 필요가 없습니다. 그 이유는 검색이 설정을 다시 로드하는 별도의 프로세스에서 실행되기 때문입니다. 예를 들어 룩업 테이블 및 태그와 event type을 각 검색 시 다시 읽습니다. 다음에 대한 변경 사항이 (제한 없이) 여기에 포함됩니다. 룩업 테이블 필드 추출 knowledge 객체 태그 Event type 검색 시 작업을 포함하는 파일은 다음과 같습니다. macros.conf props.conf. 검색 시 필드 추출에 대한 변경 사항을 검색 시 다시 읽습니다. transforms.conf savedsearches.conf.(변경 사항으로 인해 endpoint가 생성되면 재시작해야 합니다.) 자세히 알아보기 클러스터를 재시작해야 하는 경우와 방법에 대해 자세히 알아보십시오. 설정 파일 리스트 다음은 각 conf 파일에 해당하는 spec 파일과 example 파일의 리스트입니다. spec 또는 example 파일이 함께 제공되지 않 는 conf 파일도 있습니다. 이런 conf 파일을 편집하려면 지원 부서에 문의하십시오. 중요: $SPLUNK_HOME/etc/system/default/에 있는 conf 파일의 기본 복사본은 편집하지 마십시오. $SPLUNK_HOME/etc/system/local/ 또는 $SPLUNK_HOME/etc/apps/<app_name>/local에 있는 파일을 복사한 후 해당 복사본을 편집 하십시오. 파일 alert_actions.conf app.conf audit.conf authentication.conf authorize.conf commands.conf crawl.conf default.meta.conf deploymentclient.conf distsearch.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf 용도 경고를 만듭니다. 사용자 지정 앱을 설정합니다. 감사(audit) 및 이벤트 해시를 설정합니다. Splunk 기본 제공 인증 또는 LDAP로 전환하고 LDAP를 설정합니다. 세분화된 액세스 제어를 포함하여 역할을 설정합니다. 검색 명령어를 사용자 지정 검색 스크립트에 연결합니다. 크롤링을 설정하여 새 데이터 원본을 찾습니다. 앱별 default.meta 파일을 만들 때 사용하는 템플릿 파일입니다. 배포 서버의 클라이언트 동작을 지정합니다. 분산 검색 동작을 지정합니다. typelearner(이벤트 검색)에서 무시하도록 조건을 설정합니다. 이벤트 렌더링 속성을 설정합니다. event type 정의를 만듭니다. 30

31 fields.conf indexes.conf inputs.conf instance.cfg.conf limits.conf literals.conf macros.conf multikv.conf outputs.conf pdf_server.conf procmon-filters.conf props.conf pubsub.conf restmap.conf savedsearches.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf source-classifier.conf sourcetypes.conf tags.conf tenants.conf times.conf transactiontypes.conf transforms.conf user-seed.conf viewstates.conf web.conf wmi.conf workflow_actions.conf 다중값 필드를 만들고 인덱스 필드에 검색 기능을 추가합니다. 인덱스 설정을 관리 및 설정합니다. 데이터 입력을 설정합니다. 특정 Splunk 인스턴스의 설정을 지정 및 관리합니다. 이 파일은 내부 검색용 포워더 등을 식 별할 때 유용합니다. 검색 명령어에 대한 여러 제한(예: 최대 결과 크기 또는 실시간 동시 검색 수)을 설정합니다. Splunk Web에 표시되는 검색 오류 문자열과 같은 텍스트를 사용자 지정합니다. 검색 매크로를 만들고 사용합니다. 테이블 유형의 이벤트(ps, netstat, ls)에 대한 추출 규칙을 설정합니다. 포워딩 동작을 설정합니다. Splunk PDF 서버를 설정합니다. PDF 서버 앱은 Splunk Enterprise 6.0에서 더 이상 지원되 지 않습니다. 이 기능은 Splunk Enterprise 6.2에서 제거되었습니다. Windows 프로세스 데이터를 모니터링합니다. 시간대 오프셋, 사용자 지정 source type 규칙 및 패턴 충돌 우선 순위 등의 인덱싱 속성 구성 을 설정합니다. 또한 이벤트 속성에 대한 변형을 매핑합니다. 배포 서버의 사용자 지정 클라이언트를 정의합니다. 사용자 지정 REST endpoint를 만듭니다. 일반 보고서, 예약 보고서 및 경고를 정의합니다. 검색 길잡이를 설정합니다. 세그먼트화를 설정합니다. Splunk 백엔드(Splunkd와 Splunk Web 간 통신)에 SSL을 사용하도록 설정하고 인증 위치를 지정합니다. 배포 서버에서 사용할 배포 서버 클래스를 정의합니다. 시작 시 앱에서 배포 클라이언트를 시드하는 방법을 설정합니다. source type을 만들 때 무시할 조건(예: 중요한 데이터)입니다. source type 학습 규칙을 저장하는 컴퓨터 생성 파일입니다. 필드 태그를 설정합니다. 멀티테넌트 환경에서 배포를 설정합니다(지원되지 않음). 검색 앱에서 사용할 사용자 지정 시간 범위를 정의합니다. 트랜잭션 검색을 위해 트랜잭션 유형을 추가합니다. 데이터 입력에서 수행할 regex 변형을 설정합니다. props.conf와 함께 사용합니다. 기본 사용자 및 암호를 설정합니다. 이 파일은 Splunk에서 UI 뷰(차트 등)를 설정하기 위해 사용됩니다. Splunk Web을 설정하고 HTTPS를 활성화합니다. WMI(Windows Management Instrumentation) 입력을 설정합니다. 워크플로 작업을 설정합니다. 설정 매개 변수 및 데이터 파이프라인 데이터는 원시 입력 상태에서 검색 가능한 이벤트로 변환되기까지 여러 단계를 거칩니다. 이러한 프로세스를 데이터 파이프 라인이라고 하며, 데이터 파이프라인은 네 단계로 구성됩니다. 입력 파싱 인덱싱 검색 데이터 파이프라인의 각 단계에서는 서로 다른 설정 파일 매개 변수에 의존합니다. 어느 단계에서 특정 매개 변수가 사용되 는지 알면 Splunk 배포 토폴로지에서 매개 변수를 설정해야 할 위치를 파악할 수 있습니다. 31

32 데이터 파이프라인 그림 아래 도표는 데이터 파이프라인을 나타내는 그림입니다. 분산 배포 매뉴얼의 "Splunk를 통해 데이터가 이동되는 방식: 데이터 파이프라인"에는 데이터 파이프라인에 대한 자세한 설 명이 나와 있습니다. Splunk Enterprise 구성 요소와 각 파이프라인 단계의 상관 관계 하나 이상의 Splunk Enterprise 구성 요소가 각 파이프라인 단계를 수행할 수 있습니다. 예를 들어 유니버설 포워더, 헤비 포 워더 또는 인덱서가 입력 단계를 수행할 수 있습니다. 데이터는 각 단계를 한 번만 거치므로, 각 설정은 하나의 구성 요소, 즉 배포에서 해당 단계를 처리하는 첫 구성 요소에만 속 합니다. 예를 들어, 여러 유니버설 포워더를 통해 시스템에 들어오는 데이터가 있고, 이 포워더는 데이터를 중간 헤비 포워더 에 포워딩하고, 이 포워더는 다시 데이터를 인덱서에 포워딩하는 경우가 있을 수 있습니다. 이런 경우에는 해당 데이터의 입 력 단계가 유니버설 포워더에서 수행되고 파싱 단계는 헤비 포워더에서 수행됩니다. 입력 파싱 인덱싱 검색 데이터 파이프라인 단계 인덱서 유니버설 포워더 헤비 포워더 인덱서 헤비 포워더 인덱서 인덱서 검색 헤드 32 이 역할을 수행할 수 있는 구성 요소

33 설정 매개 변수를 설정하는 위치는 특정 배포의 구성 요소에 따라 다릅니다. 예를 들어 파싱 매개 변수는 대부분의 경우 인덱 서에서 설정합니다. 그러나 인덱서에 데이터를 전달하는 헤비 포워더가 있을 경우에는 파싱 매개 변수를 헤비 포워더에서 설 정합니다. 마찬가지로, 검색 매개 변수는 검색 헤드에서 설정합니다(있을 경우). 그러나 전용 검색 헤드를 배포하지 않을 경 우에는 인덱서에서 검색 매개 변수를 설정합니다. 자세한 내용은 분산 배포 매뉴얼의 "구성 요소 및 역할"을 참조하십시오. 설정 매개 변수와 파이프라인 단계의 상관 관계 이것은 설정 매개 변수가 어떤 단계에 사용되는지 보여주는 non-exhaustive 리스트입니다. 이 정보와 함께 특정 배포에서 어 느 Splunk 구성 요소가 각 단계에서 사용되는지 알고 있으면 어느 위치에 각 설정을 구성해야 하는지 판단할 수 있습니다. 예를 들어, 입력을 처리하는 데 유니버설 포워더를 사용할 경우 해당 포워더에서 inputs.conf 매개 변수를 설정해야 합니다. 그러나 인덱서가 직접 네트워크 입력을 처리할 경우에는 인덱서에서 네트워크와 관련된 inputs.conf 매개 변수를 설정해야 합니다. 입력 단계 파싱 단계 inputs.conf props.conf CHARSET NO_BINARY_CHECK CHECK_METHOD sourcetype wmi.conf regmon-filters.conf props.conf LINE_BREAKER, SHOULD_LINEMERGE, BREAK_ONLY_BEFORE_DATE 및 다른 모든 라인 병합 설정 TZ, DATETIME_CONFIG, TIME_FORMAT, TIME_PREFIX 및 다른 모든 시간 추출 설정과 규칙 TRANSFORMS*에는 이벤트당 대기열 필터링, 이벤트당 인덱스 할당, 이벤트당 경로 설정이 포함되고, 정의된 순서대로 적용됩니다. SEDCMD* MORE_THAN*, LESS_THAN* transforms.conf props.conf의 TRANSFORMS* 절에서 참조되는 스탠자 LOOKAHEAD, DEST_KEY, WRITE_META, DEFAULT_VALUE, REPEAT_MATCH datetime.xml 인덱싱 단계 검색 단계 props.conf SEGMENTATION* indexes.conf segmenters.conf props.conf EXTRACT* REPORT* LOOKUP* KV_MODE FIELDALIAS* rename transforms.conf props.conf의 REPORT* 절에서 참조되는 스탠자 filename, external_cmd 및 기타 모든 룩업 관련 설정 FIELDS, DELIMS MV_ADD 룩업 폴더의 룩업 파일 bin 폴더의 검색 및 룩업 스크립트 검색 명령어 및 룩업 스크립트 savedsearches.conf eventtypes.conf tags.conf commands.conf alert_actions.conf macros.conf fields.conf transactiontypes.conf multikv.conf 33

34 기타 구성 설정 분산된 Splunk 환경에서는 제대로 작동하지 않는 설정이 있습니다. 이는 예외적인 경향이 있으며 해당 설정은 다음과 같습니 다. props.conf CHECK_FOR_HEADER, LEARN_MODEL, maxdist. 파싱 단계에서 생성되지만, 생성된 설정을 검색 단계 설정 위치로 이동시켜야 합니다. 설정 정보 백업 Splunk의 모든 설정 정보는 설정 파일에 포함됩니다. 설정 파일 집합을 백업하려면 $SPLUNK_HOME/etc/의 아카이브를 만들거 나 사본을 만드십시오. 이 디렉터리에는 하위 디렉터리와 함께 저장된 검색, 사용자 계정, 태그, 사용자 지정 source type 이 름 및 기타 설정 정보를 비롯하여 Splunk 설치와 기타 모든 앱에 대한 모든 기본 설정과 사용자 지정 설정이 포함됩니다. 복원할 새 Splunk 인스턴스에 이 디렉터리를 복사합니다. 이 작업을 위해 Splunk를 중지하지 않아도 됩니다. 설정 파일에 대한 자세한 내용은 "설정 파일에 대하여"를 참조하십시오. 클러스터 마스터 노드 백업 인덱스 복제를 사용하여 마스터 노드의 정적 설정을 백업할 수 있습니다. 이 기능은 주 마스터의 작동이 중단된 경우 주 마스 터의 역할을 대신할 수 있는 대기 마스터를 설정하는 경우에 특별하게 사용됩니다. 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "마스터 설정"을 참조하십시오. 명령줄 인터페이스(CLI)를 사용한 Splunk Enterprise 관 리 CLI에 대하여 Splunk 명령줄 인터페이스(CLI)를 사용하여 Splunk 서버에서 검색을 모니터링, 설정 및 실행할 수 있습니다. CLI 도움말은 제품에 있으며 터미널이나 셸 인터페이스를 통해 액세스할 수 있습니다. 이 항목에서는 이 정보에 액세스하는 방법과 사용 가능한 명령에 대해 설명합니다. CLI에 액세스하는 방법 Splunk CLI는 $SPLUNK_HOME/bin/splunk에 있습니다. Splunk CLI에 액세스하려면 다음 중 하나가 필요합니다. Splunk 서버에 대한 셸 액세스 원격 Splunk 서버에서 올바른 포트에 액세스할 수 있는 권한 관리자 또는 루트 권한이 있는 경우 Splunk 설치의 최상위 디렉터리를 셸 경로에 추가하여 CLI 액세스를 단순화할 수 있습니 다. $SPLUNK_HOME 변수는 최상위 디렉터리를 나타냅니다. SPLUNK_HOME환경 변수를 설정하고 $SPLUNK_HOME/bin을 셸의 경로에 추가하십시오. 이 예제는 기본 위치에 Splunk를 설치한 Linux/BSD/Solaris 사용자에 해당됩니다. export SPLUNK_HOME=/opt/splunk export PATH=$SPLUNK_HOME/bin:$PATH 이 예제는 기본 위치에 Splunk를 설치한 Mac 사용자에 해당됩니다. export SPLUNK_HOME=/Applications/Splunk export PATH=$SPLUNK_HOME/bin:$PATH 이제 다음을 사용하여 CLI 명령을 호출할 수 있습니다../splunk <command> CLI 도움말 문서 관리자 권한이 있을 경우 CLI를 사용하여 Splunk 서버를 검색할 뿐만 아니라 설정 및 모니터링도 수행할 수 있습니다. Splunk 설정 및 모니터링에 사용되는 CLI 명령은 검색 명령어가 아닙니다. 검색 명령어는 search 및 dispatch CLI 명령에 대 한 인수입니다. 일부 명령을 사용하려면 사용자 이름 및 암호로 인증해야 하거나 대상 Splunk 서버를 지정해야 합니다. CLI에 대한 도움말 정보를 조회하려면 다음 명령어를 입력하십시오. 34

35 ./splunk help 특정 CLI 명령 또는 작업에 대한 도움말에 액세스하는 방법은 이 매뉴얼의 "CLI 도움말 보기" 및 "관리 CLI 명령"을 참조하십 시오. Mac 사용자 참고 사항 Mac OS X에서는 시스템 파일 또는 디렉터리에 액세스하는 명령을 실행하려면 수퍼사용자 수준 액세스가 필요합니다. 새로 운 셸에 대해 루트로 sudo 또는 "su -"를 사용하여 CLI 명령을 실행하십시오. sudo를 사용하는 방법이 권장됩니다. (기본적 으로 사용자 "루트"는 활성화되지 않았지만 관리자는 sudo를 사용할 수 있습니다.) Windows에서 CLI 작업 Windows에서 CLI 명령에 액세스하고 사용하려면 관리자로서 cmd.exe를 먼저 실행하십시오. 또한 Windows를 사용할 경우 Splunk는 CLI 명령을 실행하기 위해 "./"가 필요하지 않습니다. 답변 질문이 있으십니까? Splunk 응답 페이지에 가면 CLI 사용과 관련하여 Splunk 커뮤니티에서 올린 질문과 답변을 볼 수 있습 니다. CLI 도움말 보기 이 항목에서는 CLI 명령과 명령을 사용하는 방법에 대한 정보가 포함되어 있는 Splunk 기본 제공 CLI 도움말 참조에 액세스 하는 방법을 설명합니다. 또한 CLI 명령과 함께 사용할 수 있는 매개 변수인 범용 매개 변수에 대해서도 간략하게 설명합니 다. CLI 도움말 참조 액세스 CLI 명령 또는 CLI 명령 구문을 찾아야 할 경우 Splunk 기본 제공 CLI 도움말 참조를 사용하십시오. help 명령어를 사용하여 기본 도움말 정보에 액세스하면 시작할 수 있습니다../splunk help 이렇게 하면 관리 명령, 클러스터링, 포워딩, 라이선싱, 검색 등 보다 구체적인 CLI 도움말 항목에 쉽게 액세스할 수 있도록 다 양한 개체 리스트가 반환됩니다. 범용 매개 변수 일부 명령을 사용하려면 사용자 이름 및 암호로 인증해야 하거나 대상 호스트 또는 앱을 지정해야 합니다. 이러한 명령에는 범용 매개 변수 auth, app 또는 uri 중 하나를 포함할 수 있습니다../splunk [command] [object] [-parameter <value> <value>]... [-app] [-owner] [-uri] [-auth] 매개 변 수 app auth owner uri 설명 명령을 실행할 앱 또는 네임스페이스를 지정합니다. 검색의 경우 기본값은 검색 앱입니다. 로그인하기 위해 명령을 실행하는 데 필요한 로그인 자격 증명을 지정합니다. 개체와 연관된 소유자/사용자 컨텍스트를 지정합니다. 지정되지 않은 경우 기본값은 현재 로그인되어 있는 사용 자입니다. 지정된(원격) Splunk 서버에서 명령을 실행합니다. app CLI에서 app은 create app 또는 enable app과 같은 많은 명령에서 개체로 사용됩니다. 그러나 특정 앱에서 이 명령을 실행할 경우에는 CLI 명령에 추가할 수 있는 매개 변수로도 사용됩니다. 구문:./splunk command object [-parameter value]... -app appname 예를 들어 CLI에서 검색을 실행하는 경우 기본값은 검색 앱입니다. 다른 앱에서 검색을 실행하려면 다음과 같이 입력하십시 오../splunk search "eventype=error stats count by source" -deatach f -preview t -app unix auth 35

36 CLI 명령에 인증이 필요할 경우, Splunk에서 사용자 이름과 암호를 입력할 것을 요청합니다. 또한 -auth 플래그를 사용하면 이 명령으로 해당 정보를 인라인으로 전달할 수 있습니다. 또한 auth 매개 변수는 현재 로그인한 사용자의 권한이 아닌 다른 권한을 요구하는 명령을 실행해야 할 경우에도 유용합니다. 참고: auth 는 CLI 명령 인수에 지정되는 마지막 매개 변수여야 합니다. 구문:./splunk command object [-parameter value]... -auth username:password uri 원격 Splunk 서버에서 명령을 실행하려면 -uri 플래그를 사용하여 대상 호스트를 지정하십시오. 구문:./splunk command object [-parameter value]... -uri specified-server 다음 형식으로 대상 Splunk 서버를 지정하십시오. [http https]://name_of_server:management_port name_of_server에 대한 IP 주소를 지정할 수 있습니다. IPv4 형식과 IPv6 형식이 모두 지원됩니다. 예를 들어 specifiedserver의 경우 :80 또는 "[2001:db8::1]:80"입니다. 기본적으로 splunkd는 IPv4만 수신 대기합니다. IPv6 지원을 사 용하려면 "IPv6용 Splunk 설정"의 설명을 참조하십시오. 예: 다음 예제는 포트 8089의 원격 "splunkserver"에서 검색 결과를 반환합니다../splunk search "host=fflanda error 404 *.gif" -auth admin -uri 원격 서버에서 실행할 수 있는 CLI 명령에 대한 자세한 내용은 이 장의 다음 항목을 참조하십시오. 유용한 도움말 항목 기본 Splunk CLI 도움말을 실행하면 다음과 같은 개체가 나열됩니다. 관리 CLI 명령 입력 추가 또는 편집, 구성 설정 업데이트, 검색과 같은 관리 기능에 대한 CLI를 사용할 수 있습니다. 관리 CLI 명령 리스트를 보려면 다음 명령을 입력하십시오../splunk help commands 이 명령에 대한 자세한 내용은 이 매뉴얼의 "관리 CLI 명령" 항목을 참조하십시오. 클러스터링에 대한 CLI 도움말 클러스터링이라고도 하는 인덱스 복제는 데이터 가용성, 데이터 충실도 및 재해 허용 범위를 보장하고 검색 성능을 개선하기 위한 목적으로 데이터를 복제하도록 설정된 인덱서 클러스터로 이루어진 Splunk 기능입니다. CLI를 사용하여 클러스터 마스터 또는 클러스터 피어에서 클러스터링 설정을 보고 편집할 수 있습니다. 클러스터링과 관련 된 명령 및 매개 변수 리스트를 보려면 다음 명령을 입력하십시오../splunk help clustering 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "클러스터 및 인덱스 복제에 대하여" 및 "CLI를 사용하여 클러스터 설정"을 참조하십시오. Splunk 컨트롤에 대한 CLI 도움말 CLI를 사용하여 Splunk 서버(splunkd) 및 웹(splunkweb) 프로세스를 시작, 중지 및 재시작할 수 있고 프로세스가 실행되고 있 는지 확인할 수 있습니다. 컨트롤 리스트를 보려면 다음 명령을 입력하십시오../splunk help controls 자세한 내용은 관리자 매뉴얼의 "Splunk 시작 및 중지"에서 확인하십시오. 데이터 관리에 대한 CLI 도움말 Splunk에 데이터를 추가할 때 Splunk는 데이터를 처리하고 인덱스에 저장합니다. 기본적으로 Splunk에 입력하는 데이터는 main 인덱스에 저장되지만, CLI를 사용하여 다른 데이터 입력에 대해 다른 인덱스를 사용하도록 다른 인덱스를 만들고 지정 36

37 할 수 있습니다. 인덱스 및 데이터 저장소를 관리하기 위한 개체 및 명령어 리스트를 보려면 다음 명령을 입력하십시오../splunk help datastore./splunk help index 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "인덱스 관리에 대하여", "다중 인덱스 설정" 및 "Splunk에서 인덱스 및 데 이터 제거"에서 확인하십시오. 분산 검색 배포에 대한 CLI 도움말 CLI를 사용하여 분산 검색 설정을 보고 관리할 수 있습니다. 개체 및 명령어 리스트를 보려면 다음 명령을 입력하십시오../splunk help distributed 분산 Splunk의 작동 방식 및 분산 검색 설정 방법에 대해 자세히 알아보려면 분산 배포 매뉴얼의 "분산 Splunk 개요", "(분산 환경의) 구성 요소 및 역할", "분산 검색에 대하여" 및 "분산 검색 설정"을 참조하십시오. 포워딩 및 수신에 대한 CLI 도움말 Splunk 배포 작업에는 하나 이상의 수신기에 데이터를 포워딩하는 포워더가 수십 대에서 수백 대까지 포함될 수 있습니다. 이 경우 CLI를 사용하여 데이터 포워딩 설정을 보고 관리할 수 있습니다. 포워딩 개체 및 명령어 리스트를 보려면 다음 명령 을 입력하십시오../splunk help forwarding 자세한 내용은 분산 배포 매뉴얼의 "(분산 환경의) 구성 요소 및 역할"과 "포워딩 및 수신에 대하여"를 참조하십시오. 검색 및 실시간 검색에 대한 CLI 도움말 Historical 검색 및 실시간 검색을 실행하는 경우에도 CLI를 사용할 수 있습니다. Splunk 검색 및 실시간 검색에 대한 도움말 페이지에 액세스하려면 다음 명령을 입력하십시오../splunk help search./splunk help rtsearch 또한 search-commands, search-fields 및 search-modifiers 개체를 사용하면 각 도움말에 대한 설명과 구문을 확인할 수 있습 니다../splunk help search-commands./splunk help search-fields./splunk help search-modifiers 참고: Splunk CLI에서는 공백이 구분 기호로 해석됩니다. 둘 이상의 단어로 구성된 항목 이름에서 단어 사이에 대시를 사용 하십시오. CLI를 사용하여 데이터를 검색하는 방법에 대한 자세한 내용은 검색 참조 매뉴얼의 "CLI 검색에 대하여", "CLI 검색 구문" 및 검색 매뉴얼의 "CLI의 실시간 검색 및 보고서"를 참조하십시오. 관리 CLI 명령 이 항목에서는 Splunk 서버와 분산 배포를 관리하거나 설정하는 데 사용되는 명령인 관리 CLI 명령에 대해 설명합니다. CLI에 액세스하는 방법과 CLI 도움말 정보에 대한 내용은 위의 "CLI 도움말 보기" 항목을 참조하십시오. CLI를 통해 검색을 실행하는 방법에 대해 더 자세히 알아보려면 검색 참조 매뉴얼의 "CLI 검색에 대하여"를 참조하십시오. Splunk 역할 설정에는 실행할 수 있는 작업(명령)이 나와 있습니다. 대부분의 작업에는 Splunk 관리자 권한이 필요합니다. Splunk 사용자 및 역할 설정과 관리에 대한 내용은 관리자 매뉴얼의 "사용자 및 역할에 대하여" 항목을 참조하십시오. Splunk CLI 명령 구문 다음은 CLI 명령에 대한 일반 구문입니다../splunk <command> [<object>] [[-<parameter>] <value>]... 다음 사항을 고려하십시오. 일부 명령의 경우 개체 또는 매개 변수가 필요하지 않습니다. 일부 명령의 경우 값 단독으로 지정할 수 있는 기본 매개 변수가 있습니다. 명령 및 개체 명령은 수행하는 작업입니다. 개체는 수행하는 작업의 대상입니다. 명령어 37 개체

38 add apply anonymize clean diag disable display edit enable export import install find help list login, logout package reload remove rolling-restart rtsearch search set show spool start, stop, restart status validate version exec, forward-server, index, licenser-pools, licenses, monitor, oneshot, saved-search, search-server, tcp, udp, user cluster-bundle source all, eventdata, globaldata, userdata, inputdata 없음 app, boot-start, deploy-client, deploy-server, dist-search, index, listen, local-index, perfmon, webserver, web-ssl, wmi app, boot-start, deploy-client, deploy-server, dist-search, index, jobs, listen, local-index app, cluster-config, exec, index, licenser-localslave, licenser-groups, monitor, saved-search, search-server, tcp, udp, user app, boot-start, deploy-client, deploy-server, dist-search, index, listen, local-index, perfmon, webserver, web-ssl, wmi eventdata, userdata userdata app logs 없음 cluster-config, cluster-generation, cluster-peers, cluster-buckets, deploy-clients, exec, forward-server, index, licenser-groups, licenser-localslave, licenser-messages, licenserpools, licenser-slaves, licenser-stacks, licenses, jobs, master-info, monitor, peer-info, peerbuckets, perfmon, saved-search, search-server, tcp, udp, user, wmi 없음 app ad, auth, deploy-server, index, monitor, registry, script, tcp, udp, perfmon, wmi app, exec, forward-server, index, jobs, licenser-pools, licenses, monitor, saved-search, search-server, tcp, udp, user cluster-peers app, batch, detach, earliest_time, header, index_earliest, index_latest, max_time, maxout, output, preview, rt_id, timeout, wrap app, batch, detach, earliest_time, header, id, index_earliest, index_latest, latest_time, max_time, maxout, output, preview, timeout, wrap datastore-dir, deploy-poll, default-hostname, default-index, minfreemb, servername, servertype, splunkd-port, web-port config, cluster-bundle-status, datastore-dir, deploy-poll, default-hostname, default-index, jobs, minfreemb, servername, splunkd-port, web-port 없음 splunkd, splunkweb splunkd, splunkweb index 없음 CLI를 사용하여 문제 해결 Splunk의 CLI에는 Splunk 문제를 해결하는 데 도움이 되는 다양한 도구도 포함되어 있습니다. 이러한 도구는 다음과 같이 Splunk CLI 명령 cmd를 사용하여 호출합니다../splunk cmd <tool> CLI 유틸리티 리스트는 문제 해결 매뉴얼의 "지원에서 사용할 수 있는 명령줄 도구"를 참조하십시오. CLI를 사용하여 원격 Splunk 서버 관리 CLI 명령에서 uri 매개 변수를 사용하여 다른 Splunk 서버로 명령을 전송하고 로컬 서버에서 그 결과를 볼 수 있습니다. 38

39 이 항목에서는 다음에 대해 설명합니다. uri 매개 변수 사용 구문 원격으로 사용할 수 없는 CLI 명령 참고: 4.1.4부터는 기본 암호를 변경하기 전까지 관리자의 원격 CLI 액세스를 기본적으로 사용할 수 없습니다. 원격 액세스 활성화 Splunk Free를 실행할 경우(로그인 자격 증명 필요 없음) $SPLUNK_HOME/etc/system/local/server.conf를 편집하고 값을 설정 할 때까지 기본적으로 원격 액세스를 사용할 수 없습니다. allowremotelogin=always 설정 파일 편집에 대한 자세한 내용은 이 매뉴얼의 설정 파일에 대하여를 참조하십시오. CLI 명령을 원격 서버로 전송 CLI 명령에서 uri 매개 변수를 사용하는 일반 구문은 다음과 같습니다../splunk command object [-parameter <value>]... -uri <specified-server> uri 값인 specified-server 형식은 다음과 같이 지정됩니다. [http https]://name_of_server:management_port 또한 name_of_server는 원격 Splunk 서버의 완전한 도메인 이름이거나 IP 주소입니다. 중요: 이 uri 값은 원격 Splunk 서버의 web.conf에 정의된 mgmthostport 값입니다. 자세한 내용은 이 매뉴얼의 "web.conf 참 조"를 참조하십시오. CLI에 대한 일반적인 내용은 이 매뉴얼의 "CLI에 대하여" 및 "CLI 도움말 보기"를 참조하십시오. 원격 서버 검색 다음 예제는 원격 "splunkserver"의 검색 결과를 반환합니다../splunk search "host=fflanda error 404 *.gif" -uri CLI를 사용한 검색 구문에 대한 자세한 내용은 검색 참조 매뉴얼의 "CLI 검색에 대하여"를 참조하십시오. 원격 서버에 설치된 앱 보기 다음 예제는 원격 "splunkserver"에 설치된 앱 리스트를 반환합니다../splunk display app -uri 기본 URI 값 변경 SPLUNK_URI 환경 변수를 사용하여 기본 URI 값을 설정할 수 있습니다. 이 값이 원격 서버의 URI 값이 되도록 변경할 경우 해당 원격 서버에 액세스할 때마다 uri 매개 변수를 포함할 필요가 없습니다. SPLUNK_URI의 값을 변경하려면 다음과 같이 입력하십시오. $ export SPLUNK_URI=[http https]://name_of_server:management_port For Unix shells C:\> set SPLUNK_URI=[http https]://name_of_server:management_port For Windows shell 위의 예제에서는 다음과 같이 입력하여 SPLUNK_URI 값을 변경할 수 있습니다. $ export SPLUNK_URI= 원격으로 실행할 수 없는 CLI 명령 서버를 제어하는 명령을 제외한 모든 CLI 명령을 원격으로 실행할 수 있습니다. 이러한 서버 제어 명령에는 다음이 포함됩니 다. 시작, 중지, 재시작 상태, 버전 39

40 CLI 도움말 참조에서 모든 CLI 명령을 볼 수 있습니다. 자세한 내용은 이 매뉴얼의 "CLI 도움말 보기"를 참조하십시오. CLI 로그인 배너 사용자 지정 CLI를 통해 데이터 액세스를 제공할 경우에는 사용자에게 모니터링, 사용자의 법적 의무, 그리고 오용에 대한 처벌에 대해 알 리기 위해 로그인 배너를 사용자 지정해야 할 수 있습니다. CLI 로그인을 위한 다른 보안도 (기본 인증 형태로) 추가할 수 있 습니다. 사용자 지정 로그인 배너를 만들고 기본 인증을 추가하려면 다음 스탠자를 로컬 server.conf 파일에 추가하십시오. [httpserver] cliloginbanner = <string> allowbasicauth = true false basicauthrealm = <string> 다음과 같은 경우: cliloginbanner = <string> 사용자에게 인증 자격 증명을 요청하기 전에 Splunk CLI에 표시할 메시지(액세스 정책 정보 등)를 작성합니다. 기본값은 메 시지 없음입니다. 여러 줄로 된 배너를 만들려면 각 줄을 큰따옴표로 묶고 쉼표로 구분된 리스트에 배치하십시오. 예: cliloginbanner="line 1","Line 2","Line 3" 큰따옴표를 배너 텍스트에 포함하려면 따옴표 2개를 연속으로 사용합니다. 예: cliloginbanner="this is a line that ""contains quote characters""!" allowbasicauth = true false의 경우: 클라이언트가 Splunk 서버에 인증된 요청을 할 때 Splunk의 기존(authtoken) 인증 외에 "HTTP Basic" 인증도 사용하도록 하 려면 이 값을 true로 설정합니다. 이 설정은 프로그램을 통해 REST endpoint에 액세스하고 웹 브라우저에서 REST API에 액세스할 수 있도록 허용할 때 유용하며, UI 또는 CLI에서는 필요하지 않습니다. 기본값은 true입니다. basicauthrealm = <string>의 경우: allowbasicauth를 활성화한 경우에는 이 속성을 사용하여 자격 증명이 요청될 때 웹 브라우저에서 제공할 수 있는 텍스트 문 자열을 추가할 수 있습니다. 서버 또는 액세스 정책을 설명하는 짧은 메시지를 표시할 수 있습니다. 기본적으로 표시되는 텍 스트는 "/splunk"입니다. Splunk Enterprise 시작 및 초기 작업 수행 Splunk Enterprise 시작 및 중지 이 항목에서는 Splunk Enterprise를 시작하고 중지하는 방법에 대해 간략히 설명합니다. Windows에서 Splunk Enterprise 시작 Windows에서 Splunk Enterprise는 기본적으로 C:\Program Files\Splunk에 설치됩니다. Splunk 설명서에 나오는 많은 예에 서는 $SPLUNK_HOME을 사용하여 Splunk 설치 디렉터리를 나타냅니다. Splunk Enterprise를 기본 디렉터리에 설치한 경우 이 $SPLUNK_HOME(또는 Windows 계열 %SPLUNK_HOME%) 문자열을 C:\Program Files\Splunk로 바꿀 수 있습니다. Splunk Enterprise가 splunkd 및 splunkweb이라는 두 가지 서비스를 설치합니다. 일반적인 작업에서는 Splunk Web 인터페 이스를 포함한 모든 Splunk Enterprise 작업을 처리하는 splunkd만 실행됩니다. 이를 변경하려면 Splunk Enterprise를 기존 모드로 설정해야 합니다. "기존 모드로 Windows에서 Splunk Enterprise 시작"을 참조하십시오. 다음 방법 중 하나를 사용하여 Windows에서 Splunk를 시작 및 중지할 수 있습니다. 1. Windows 서비스 제어판(Start -> Control Panel -> Administrative Tools -> Services에서 액세스)을 통해 Splunk Enterprise 프로세스를 시작 및 중지합니다. 서버 데몬 및 웹 인터페이스: splunkd 웹 인터페이스(기존 모드에서만): splunkweb. 일반적인 작업에서는 시작 요청을 수신하면 이 서비스가 시작된 후 즉시 중단됩니다. 2. NET START <service> 또는 NET STOP <service> 명령어를 사용하여 명령 프롬프트에서 Splunk Enterprise 서비스를 시작 및 중지합니다. 서버 데몬 및 웹 인터페이스: splunkd 웹 인터페이스(기존 모드에서만): splunkweb. 일반적인 작업에서는 시작 요청을 수신하면 이 서비스가 시작된 후 즉시 중단됩니다. 40

41 3. %SPLUNK_HOME%\bin으로 이동하고 다음 명령어를 입력하여 두 프로세스를 동시에 시작, 중지 또는 재시작합니다. > splunk [start stop restart] 기존 모드로 Windows에서 Splunk Enterprise 시작 splunkd 및 splunkweb이 모두 실행되는 기존 모드로 Splunk Enterprise를 실행하려는 경우 설정 매개 변수를 변경해야 합니 다. 중요: 기존 모드에서 영구적으로 Splunk Web을 실행하지 마십시오. 기존 모드를 사용하면 사용자 인터페이스와 주요 splunkd 서비스가 새롭게 통합되어 발생한 문제를 일시적으로 해결할 수 있습니다. 문제가 해결되면 Splunk Web을 최대한 빨리 일반 모드로 전환하십시오. Splunk Enterprise를 기존 모드로 설정하려면 다음을 수행하십시오. 1. 명령 프롬프트에서 %SPLUNK_HOME%\etc\system\default로 이동합니다. 2. web.conf의 복사본을 만들고 %SPLUNK_HOME%\etc\system\local에 넣습니다. 3. %SPLUNK_HOME%\etc\system\local에서 web.conf를 편집하십시오. 4. web.conf에서 appserverports 및 httpport 속성을 다음과 같이 설정합니다. [settings] appserverports = 0 httpport = 파일을 저장하고 닫습니다. 6. Splunk Enterprise를 재시작합니다. splunkd 및 splunkweb 서비스가 실행을 시작하고 유지합니다 name>:<httpport>로 이동하고 자격 증명을 입력하여 Splunk Enterprise에 로그인합니다. 일반적인 Splunk Enterprise 작업을 복원하려면 %SPLUNK_HOME%\etc\system\local\web.conf를 편집하고 appserverports 및 httpport 속성을 제거합니다. UNIX에서 Splunk Enterprise 시작 Splunk Enterprise는 *nix splunkd에서 하나의 프로세스로 설치합니다. 일반적인 작업에서는 Splunk Web 인터페이스를 포 함한 모든 Splunk Enterprise 작업을 처리하는 splunkd만 실행됩니다. 이를 변경하려면 Splunk Enterprise를 기존 모드로 설 정해야 합니다. "기존 모드로 Unix에서 Splunk Enterprise 시작"을 참조하십시오. Splunk Enterprise 시작 Splunk Enterprise 서버 호스트의 셸 프롬프트에서 다음 명령어를 실행하십시오. splunk start 참고: 부팅 시 Splunk Enterprise를 시작하도록 설정한 경우 서비스 명령어를 사용하여 Splunk Enterprise를 시작해야 합니 다. 이렇게 하면 init.d 스크립트에서 설정된 사용자가 소프트웨어를 시작하게 됩니다. service splunk start 이렇게 하면 splunkd(인덱서 및 Splunk Web 인터페이스)가 시작됩니다. 두 가지 프로세스를 각각 시작하려면 다음 명령어를 입력하십시오. splunk start splunkd 또는 (기존 모드에서만) splunk start splunkweb 참고: startwebserver 속성이 비활성화되었거나 appserverports 속성이 web.conf에서 0 외의 다른 값으로 설정된 경우 수동으 로 splunkweb을 시작하면 아무 작업도 수행되지 않습니다. 두 가지 경우 모두 splunkweb 프로세스가 시작되지 않습니다. 기존 모드로 Unix에서 Splunk Enterprise 시작"을 참조하십시오. Splunk Enterprise(splunkd 또는 splunkweb)를 재시작하려면 다음 명령어를 입력하십시오. splunk restart splunk restart splunkd (기존 모드에서만) splunk restart splunkweb 41

42 기존 모드로 Unix에서 Splunk Enterprise 시작 splunkd 및 splunkweb이 모두 실행되는 방법으로 Splunk Enterprise를 실행하려는 경우 Splunk Enterprise를 기존 모드로 설 정해야 합니다. Splunk Enterprise를 기존 모드로 설정하려면 다음을 수행하십시오. 1. 셸 프롬프트에서 $SPLUNK_HOME/etc/system/default로 이동합니다. 2. web.conf의 복사본을 만들고 $SPLUNK_HOME/etc/system/local에 넣습니다. 3. $SPLUNK_HOME/etc/system/local에서 web.conf를 편집하십시오. 4. web.conf에서 appserverports 및 httpport 속성을 다음과 같이 설정합니다. [settings] appserverports = 0 httpport = 파일을 저장하고 닫습니다. 6. Splunk Enterprise를 재시작합니다("Unix에서 Splunk Enterprise 시작" 참조). splunkd 및 splunkweb 서비스가 실행을 시작 하고 유지합니다 name>:<httpport>로 이동하고 자격 증명을 입력하여 Splunk Enterprise에 로그인합니다. 일반적인 Splunk Enterprise 작업을 복원하려면 %SPLUNK_HOME%\etc\system\local\web.conf를 편집하고 appserverports 및 httpport 속성을 제거합니다. Splunk Enterprise 중지 Splunk Enterprise를 종료하려면 다음 명령을 실행하십시오. splunk stop splunkd 및 Splunk Web을 각각 중지하려면 다음 명령어를 입력하십시오. splunk stop splunkd 또는 (기존 모드에서만) splunk stop splunkweb Splunk가 실행 중인지 확인 Splunk Enterprise가 실행 중인지 확인하려면 서버 호스트의 셸 프롬프트에서 다음 명령어를 입력하십시오. splunk status 다음과 같이 출력됩니다. splunkd is running (PID: 3162). splunk helpers are running (PIDs: 3164). Splunk Enterprise가 기존 모드로 실행되는 경우 출력에 다음과 같은 줄이 추가로 표시됩니다. splunkweb is running (PID: 3216). 참고: Unix 시스템에서는 Splunk Enterprise를 실행하는 사용자로 로그인해야만 splunk status 명령어를 실행할 수 있습니 다. 다른 사용자는 상태 정보를 올바르게 보고하는 필요한 파일을 읽을 수 없습니다. 또한 ps를 사용하여 Splunk Enterprise 프로세스가 실행 중인지 확인할 수 있습니다. ps aux grep splunk grep -v grep Solaris 사용자는 aux 대신 -ef 인수를 ps에 사용해야 합니다. ps -ef grep splunk grep -v grep Splunk Web에서 Splunk Enterprise 재시작 Splunk Web에서 Splunk를 재시작할 수도 있습니다. 42

43 1. 시스템 > 서버 컨트롤로 이동합니다. 2. Splunk 재시작을 클릭합니다. 이렇게 하면 splunkd 및 (기존 모드에서만) splunkweb 프로세스가 재시작됩니다. 부팅 시 시작하도록 Splunk 설정 Windows에서 Splunk는 기본적으로 컴퓨터를 시작할 때 시작됩니다. 이렇게 하지 않으려면 이 항목의 끝 부분에 나오는 "Windows 부팅 시 시작 안 함"을 참조하십시오. *nix 플랫폼에서는 부팅 시 시작하도록 Splunk를 설정해야 합니다. *nix 플랫폼에서 부팅 시 시작 Splunk는 시스템 부팅 시 Splunk가 시작되도록 시스템 부팅 설정을 업데이트하는 유틸리티를 제공합니다. 이 유틸리티는 적 합한 init 스크립트를 생성하거나 OS에 따라 비슷한 설정 변경을 수행합니다. 루트로 다음 명령을 실행하십시오. $SPLUNK_HOME/bin/splunk enable boot-start Splunk를 루트로 시작하지 않으면 어떤 사용자가 Splunk를 시작하는지 지정하는 -user 매개 변수를 통과할 수 있습니다. 예 를 들어, Splunk를 사용자 bob으로 실행할 경우 다음을 루트로 실행하게 됩니다. $SPLUNK_HOME/bin/splunk enable boot-start -user bob 시스템을 시작할 때 Splunk를 실행하지 않으려면 다음 명령을 실행하십시오. $SPLUNK_HOME/bin/splunk disable boot-start 자세한 내용은 $SPLUNK_HOME/etc/init.d/README에서 확인할 수 있으며, 명령줄에서 help boot-start를 입력하여 도움말을 볼 수도 있습니다. Mac 사용자 참고 사항 Splunk는 자동으로 스크립트 및 설정 파일을 /System/Library/StartupItems/System/Library/StartupItems 디렉터리에 생성합 니다. 이 스크립트는 시스템 시작 시 실행되고, 시스템 종료 시 Splunk를 자동으로 중지합니다. 참고: Mac OS를 사용하는 경우 루트 수준 권한이 있거나 sudo를 사용해야 합니다. sudo를 사용하려면 관리자 권한이 필요 합니다. 예: Mac OS에서 시스템 시작 시 Splunk를 시작하도록 다음과 같이 설정하십시오. CLI만 사용:./splunk enable boot-start sudo를 사용하는 CLI 사용: sudo./splunk enable boot-start Windows에서 부팅 시 시작 안 함 기본적으로 Splunk는 Windows 컴퓨터를 시작할 때 자동으로 시작됩니다. Splunk 프로세스(splunkd 및 splunkweb)를 수동으 로 시작하도록 Windows 서비스 제어판에서 설정할 수 있습니다. 라이선스 설치 Splunk를 처음 다운로드하면 등록하라는 메시지가 나타납니다. 등록하면 60일 동안 임시로 사용할 수 있는 Enterprise 평가판 라이선스가 제공되며, 이 라이선스로 사용할 수 있는 1일 최 대 인덱싱 볼륨은 500MB입니다. 이 라이선스는 다운로드에 포함되어 있습니다. Enterprise 라이선스는 다음 기능을 제공합니다. 다중 사용자 계정 및 액세스 제어 분산 검색 및 데이터 경로 설정 43

44 배포 관리 Splunk 라이선싱에 대한 자세한 내용은 이 매뉴얼의 Splunk 라이선싱 방식에서 확인하십시오. 새 라이선스는 어디에 있습니까? 새 라이선스를 요청하면 Splunk에서 보낸 이메일을 통해 라이선스를 받습니다. splunk.com 내 주문 페이지에서 새 라이선스 에 액세스할 수도 있습니다. Splunk Web을 통해 라이선스를 설치하고 업데이트하려면 설정 > 라이선싱으로 이동한 후 관련 지침을 따르십시오. 기본값 변경 현재 환경에 대한 Splunk 설정을 시작하기 전에 다음 기본값 설정을 자세히 확인하고 변경하려는 항목이 있는지 확인하십시 오. 관리자의 기본 암호 변경 Splunk Enterprise 라이선스의 기본 관리 계정 및 암호는 admin/changeme입니다. 이 기본값은 변경하는 것이 좋습니다. Splunk CLI 또는 Splunk Web을 통해 이 작업을 수행할 수 있습니다. Splunk Web 사용 관리자의 기본 암호를 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에서 관리자를 클릭합니다. 3. 화면의 사용자 및 인증 섹션에서 액세스 제어를 클릭합니다. 4. 사용자를 클릭합니다. 5. 관리자 사용자를 클릭합니다. 6. 암호를 업데이트하고 저장을 클릭합니다. Splunk CLI 사용 Splunk CLI 명령은 다음과 같습니다. splunk edit user 중요: 암호를 변경하려면 먼저 기존 암호를 인증해야 합니다. CLI를 통해 또는 -auth 매개 변수를 사용하여 Splunk에 로그인 하십시오. 예를 들어, 이 명령은 관리자 암호 changeme를 foo로 변경합니다. splunk edit user admin -password foo -role admin -auth admin:changeme 참고: *nix 운영 체제의 경우 셸에서 일부 특수 문자가 명령 지시문으로 해석됩니다. 이러한 특수 문자를 이스케이프하려면 각 특수 문자 앞에 \를 넣거나 암호를 작은따옴표(')로 묶어야 합니다. 예: splunk edit user admin -password 'fflanda$' -role admin -auth admin:changeme 또는 splunk edit user admin -password fflanda\$ -role admin -auth admin:changeme Windows에서는 캐럿(^)을 사용하여 예약된 셸 문자를 이스케이프하거나 암호를 큰따옴표(")로 묶으십시오. 예: splunk edit user admin -password "fflanda>" -role admin -auth admin:changeme 또는 splunk edit user admin -password fflanda^> -role admin -auth admin:changeme 참고: 여러 서버의 암호를 모두 동시에 재설정할 수도 있습니다. 관련 절차는 "여러 서버에 보안 암호 배포"를 참조하십시오. 네트워크 포트 변경 44

45 Splunk는 설치 시 다음 두 가지 포트를 설정합니다. HTTP/HTTPS 포트. 이 포트는 Splunk Web용 소켓을 제공합니다. 기본값은 8000입니다. 관리 포트: 이 포트는 splunkd 데몬과 통신하는 데 사용됩니다. Splunk Web은 명령줄 인터페이스 및 다른 서버에서 분 산된 연결과 마찬가지로 이 포트를 통해 splunkd와 통신합니다. 이 포트의 기본값은 8089입니다. 중요: 설치할 때 이러한 포트 값을 기본값과 다르게 설정했을 수도 있습니다. 참고: 포워더에서 데이터를 수신하는 Splunk 인스턴스는 추가 포트인 수신기 포트로 설정되어야 합니다. Splunk 인스턴스는 이 포트를 사용하여 포워더에서 들어오는 데이터를 수신합니다. 이 설정은 설치 과정에서 나오지 않습니다. 기본 수신기 포 트는 9997입니다. 자세한 내용은 데이터 포워딩 매뉴얼의 "수신기 활성화"를 참조하십시오. Splunk Web 사용 설치 설정에서 포트를 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에서 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. 관리 포트 또는 웹 포트 값을 변경하고 저장을 클릭합니다. Splunk CLI 사용 Splunk CLI를 통해 포트 설정을 변경하려면 CLI 명령 set를 사용하십시오. 예를 들어, 이 명령은 Splunk Web 포트를 9000 으로 설정합니다. splunk set web-port 9000 이 명령은 splunkd 포트를 9089로 설정합니다. splunk set splunkd-port 9089 기본 Splunk 서버 이름 변경 Splunk 서버 이름 설정은 Splunk Web 내에서 표시되는 이름과 분산 설정으로 다른 Splunk 서버에 전송된 이름을 모두 제어 합니다. 기본 이름은 Splunk 서버 호스트의 DNS 또는 IP 주소에서 가져옵니다. Splunk Web 사용 Splunk 서버 이름을 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에서 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. Splunk 서버 이름 값을 변경하고 저장을 클릭합니다. Splunk CLI 사용 CLI를 통해 서버 이름을 변경하려면 set servername 명령을 사용하십시오. 예를 들어, 이 명령은 서버 이름을 foo로 설정합니 다. splunk set servername foo 데이터 저장소 위치 변경 데이터 저장소는 Splunk 서버가 인덱스된 모든 데이터를 저장하는 최상위 수준 디렉터리입니다. 참고: 이 디렉터리를 변경할 경우 Splunk 서버가 이전 데이터 저장소 파일을 마이그레이션하지 못합니다. 대신 새로운 위치 에서 재시작됩니다. 데이터를 다른 디렉터리로 마이그레이션하려면 "인덱스 이동"의 지침을 따르십시오. 45

46 Splunk Web 사용 데이터 저장소 위치를 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에서 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. 인덱스 경로에서 경로를 변경하고 저장을 클릭합니다. 6. CLI를 사용하여 Splunk를 재시작합니다. $SPLUNK_HOME/bin/(*nix) 또는 %SPLUNK_HOME%\bin(Windows)으로 이동한 후 다음 명령을 실행합니다. splunk restart 중요: 관리자 내에서 재시작 기능을 사용하지 마십시오. 이렇게 하면 인덱스 디렉터리로 인해 수행되는 작업이 변경되지 않 습니다. CLI를 통해 재시작해야 합니다. Splunk CLI 사용 CLI를 통해 데이터 저장소 디렉터리를 변경하려면 set datastore-dir 명령을 사용하십시오. 예를 들어, 이 명령은 데이터 저 장소 디렉터리를 /var/splunk/로 설정합니다. splunk set datastore-dir /var/splunk/ 사용 가능한 최소 디스크 공간 설정 사용 가능한 최소 디스크 공간 설정은 Splunk가 인덱싱을 중지하기 전 데이터 저장소 위치의 사용 가능한 최소 디스크 공간 을 제어합니다. 사용 가능한 공간이 확보되면 인덱싱이 재시작됩니다. Splunk Web 사용 사용 가능한 최소 디스크 공간을 설정하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에서 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. 사용 가능한 디스크 공간이 부족할 경우 인덱스 중지 값을 변경하고 저장을 클릭합니다. Splunk CLI 사용 CLI를 통해 사용 가능한 최소 공간 값을 변경하려면 set minfreemb 명령을 사용하십시오. 예를 들어, 이 명령은 사용 가능한 최소 공간을 2000MB로 설정합니다. splunk set minfreemb 2000 기타 기본 설정 Splunk Web 관리자의 일반 설정 화면에는 변경할 수 있는 기타 기본 설정이 있습니다. 해당 기본 설정의 옵션 범위를 살펴 보십시오. Splunk를 IP에 바인드 지정된 IP 주소 포트에 Splunk를 강제로 바인드할 수 있습니다. 기본적으로 Splunk는 사용 가능한 모든 IP 주소를 의미하는 IP 주소 에 바인드합니다. Splunk의 바인드 IP 변경은 Splunk 데몬(splunkd)에만 적용되며 다음을 수신합니다. TCP 포트 8089(기본값) 다음에 대해 설정된 포트: 46

47 SplunkTCP 입력 TCP 또는 UDP 입력 Splunk Web 프로세스(splunkweb)를 특정 IP에 바인드하려면 web.conf의 server.socket_host 설정을 사용하십시오. 임시 변경 이 값을 임시로 변경하려면 Splunk를 시작하기 전에 환경 변수 SPLUNK_BINDIP=<ipaddress>를 설정하십시오. 영구 변경 이 값을 현재 작동 환경에서 영구적으로 변경하려면 SPLUNK_BINDIP 속성과 <ipaddress> 값을 포함하도록 $SPLUNK_HOME/etc/splunk-launch.conf를 수정하십시오. 예를 들어 Splunk 포트를 (로컬 루프백에만 해당)에 바인드 하려면 splunk-launch.conf가 다음과 같아야 합니다. Modify the following line to suit the location of your Splunk install. If unset, Splunk will use the parent of the directory this configuration file was found in SPLUNK_HOME=/opt/splunk SPLUNK_BINDIP= 중요: web.conf에서 mgmthostport 속성의 기본값은 :8089입니다. SPLUNK_BINDIP를 과 다른 값으로 변경하려 면 동일한 IP 주소를 사용하도록 mgmthostport도 변경해야 합니다. 예를 들어, splunk-launch.conf에서 이렇게 변경하려면: SPLUNK_BINDIP= web.conf에서도 다음과 같이 변경해야 합니다(관리 포트를 8089로 가정한 경우). mgmthostport= :8089 mgmthostport 속성에 대한 자세한 내용은 web.conf를 참조하십시오. IPv6 고려사항 버전 4.3부터는 대괄호로 묶은 경우 IPv6 주소를 사용할 수 있도록 web.conf mgmthostport 설정이 확장되었습니다. 따라서 (이 매뉴얼의 "IPv6용 Splunk 설정"에서 설명한 server.conf 설정을 통해) splunkd가 IPv6만 수신하도록 설정하려면 이 값을 :8089에서 [::1]:8089로 변경해야 합니다. IPv6용 Splunk 설정 이 항목에서는 Splunk의 IPv6 지원과 IPv6을 위한 설정 방법에 대해 설명합니다. 이 항목의 절차를 수행하기 전에 다음 매뉴 얼을 읽어 보시면 도움이 됩니다. Splunk의 설정 파일 작동에 대해 알아보려면 이 매뉴얼의 "설정 파일에 대하여"를 읽어 보십시오. 데이터 가져오기 매뉴얼의 "TCP 및 UDP 포트에서 데이터 가져오기"를 읽어 보십시오. server.conf 설정 파일에서 사용 가능한 옵션 참조를 보려면 이 매뉴얼의 "server.conf"를 읽어 보십시오. inputs.conf 설정 파일에서 사용 가능한 옵션 참조를 보려면 이 매뉴얼의 "inputs.conf"를 읽어 보십시오. Splunk 버전 4.3부터 IPv6이 지원됩니다. IPv6 네트워크를 통해 Splunk Web에 연결하고 CLI를 사용하며 데이터를 포워딩 할 수 있습니다. IPv6 플랫폼 지원 모든 Splunk 지원 OS 플랫폼(설치 매뉴얼의 "지원되는 OS" 참조)은 다음을 제외하고 IPv6 설정을 사용할 수 있도록 지원됩 니다. HPUX PA-RISC Solaris 8 및 9 AIX IPv6 네트워크를 수신하도록 Splunk 설정 IPv6을 수신하도록 Splunk를 설정할 때 몇 가지 옵션이 있습니다. 다음과 같이 Splunk를 설정할 수 있습니다. IPv6 주소에만 연결하고 DNS의 모든 IPv4 결과는 무시 IPv4 및 IPv6 주소에 모두 연결 IPv6 주소 우선 연결 IPv4 주소 우선 연결 IPv4 주소에만 연결하고 DNS의 모든 IPv6 결과는 무시 47

48 Splunk가 IPv6을 수신하는 방법을 설정하려면 다음을 추가하도록 $SPLUNK_HOME/etc/system/local의 server.conf 복사본을 편집하십시오. listenonipv6=[yes no only] yes 는 splunkd가 IPv6 및 IPv4 둘 다로부터 연결을 수신함을 의미합니다. no 는 splunkd가 IPv4만 수신함을 의미합니다. 이 값은 기본 설정입니다. only 는 Splunk가 IPv6에서 들어오는 연결만 수신함을 의미합니다. connectusingipversion=[4-first 6-first 4-only 6-only auto] 4-first 는 IPv4 주소에 우선 연결을 시도하고, 실패할 경우 IPv6을 시도함을 의미합니다. 6-first 는 4-first와 반대입니다. 이것은 웹 브라우저와 같은 대부분의 IPv6 지원 클라이언트 앱에서 사용하는 정책입 니다. 그러나 IPv6 배포의 초기 단계에서는 그 성능이 떨어질 수 있습니다. 4-only 는 splunkd가 DNS의 모든 IPv6 결과를 무시함을 의미합니다. 6-only 는 splunkd가 DNS의 모든 IPv4 결과를 무시함을 의미합니다. auto 는 splunkd가 listenonipv6의 설정에 기반한 합리적인 정책을 선택함을 의미합니다. 이 값은 기본값입니다. splunkd가 IPv4만 수신할 경우 이것은 4-only를 지정한 것처럼 작동합니다. splunkd가 IPv6만 수신할 경우 이것은 6-only를 지정한 것처럼 작동합니다. splunkd가 둘 다 수신할 경우 이것은 6-first를 지정한 것처럼 작동합니다. 중요: 이 설정은 DNS 룩업에만 영향을 미칩니다. 예를 들어, connectusingipversion = 6-first를 설정하면 명시적 IPv4 주소 (예: "server= :9001")가 포함된 스탠자가 작동합니다. 입력이 몇 개 있지만 전체 배포에서 IPv6을 사용하지 않으려는 경우 IPv6을 통해 수신되는 몇 가지 데이터 원본이 있지만 전체 Splunk 배포에서 IPv6을 사용하지 않으려면 위에서 설명한 listenonipv6 설정을 inputs.conf의 모든 [udp], [tcp], [tcp-ssl], [splunktcp] 또는 [splunktcp-ssl] 스탠자에 추가하십시 오. 이 경우 특정 입력에 대한 server.conf의 동일한 이름 설정이 무시됩니다. IPv6을 통해 데이터 포워딩 Splunk 포워더는 IPv6을 통해 포워딩할 수 있습니다. outputs.conf에서 다음과 같이 지원됩니다. [tcpout] 스탠자의 server 설정에는 표준 [host]:port 형식의 IPv6 주소가 포함될 수 있습니다. [tcpout-server] 스탠자는 표준 [host]:port 형식의 IPv6 주소를 사용할 수 있습니다. [syslog] 스탠자의 server 설정에는 표준 [host]:port 형식의 IPv6 주소가 포함될 수 있습니다. IPv6용 분산 검색 설정 Splunk 분산 검색 배포는 IPv6을 사용할 수 있습니다. distsearch.conf에서 다음과 같이 지원됩니다. servers 설정에는 표준 [host]:port 형식의 IPv6 주소가 포함될 수 있습니다. 그러나 heartbeatmcastaddr가 IPv6 주소를 지원하도록 업데이트되지 않았습니다. 이 설정은 Splunk 4.3에서 더 이상 사용되지 않아 이후 릴리스 제품부터 제거될 예정입니다. IPv6을 통해 Splunk Web에 액세스 네트워크 정책이 웹 브라우저에서 IPv6 연결을 허용하거나 요구할 경우 splunkd와 다르게 작동하도록 splunkweb 서비스를 설정할 수 있습니다. web.conf는 4.3부터 listenonipv6 설정을 지원합니다. 이 설정은 위에서 설명한 server.conf의 설정과 동 일하게 작동하지만, Splunk Web에만 적용됩니다. 대괄호로 묶어서 IPv6 주소를 사용할 수 있도록 기존 web.conf mgmthostport 설정이 확장되었습니다. 따라서 (앞에서 설명한 server.conf 설정을 통해) splunkd가 IPv6만 수신하도록 설정할 경우 이 값을 :8089에서 [::1]:8089로 변경해야 합 니다. Splunk CLI 및 IPv6 Splunk CLI는 IPv6을 통해 splunkd와 통신할 수 있습니다. web.conf에 mgmthostport를 설정했거나 $SPLUNK_URI 환경 변수를 정의했거나 -uri 명령줄 옵션을 사용한 경우 이렇게 작동합니다. -uri 옵션을 사용할 경우에는 IPv6 IP 주소를 대괄호로 묶어 야 하고 전체 주소와 포트는 큰따옴표로 묶으십시오. 예: -uri "[2001:db8::1]:80". IPv6 및 SSO SSO와 함께 IPv6을 사용할 경우 아래 예와 같이 trustedip 속성에 대괄호 표기법을 사용하지 마십시오. 이 규칙은 web.conf 및 server.conf에 모두 적용됩니다. 다음 web.conf 예에서 mgmthostport 속성은 대괄호 표기법을 사용했지만 trustedip 속성은 대괄호 표기법을 사용하지 않았습 니다. [settings] mgmthostport = [::1]:

49 startwebserver = 1 listenonipv6=yes trustedip=2620:70:8000:c205:250:56ff:fe92:1c7,::1,2620:70:8000:c205::129 SSOMode = strict remoteuser = X-Remote-User tools.proxy.on = true SSO에 대한 자세한 내용은 Splunk Enterprise 보안 매뉴얼의 "SSO(Single Sign-On) 설정"을 참조하십시오. 설정 보안 아직 Splunk와 데이터가 안전한지 확인하지 않았다면 지금 확인하는 것이 좋습니다. Splunk를 보호하기 위한 적절한 조치를 취하면 공격을 당할 가능성이 줄어들고 대부분의 취약점으로 인한 위험과 영향이 완화됩니다. 설치 후 수행해야 하는 주요 작업 사용자 및 역할 설정. Splunks 기본 인증을 사용하여 사용자를 설정하거나 LDAP를 사용하여 사용자를 관리할 수 있 습니다. "사용자 인증에 대하여"를 참조하십시오. 인증서 인증(SSL) 설정. Splunk는 보안 인증을 위해 교체해야 하는 기본 인증서와 함께 제공됩니다. 당사는 SSL 암호 화 및 인증을 추가하고 보안 인증을 설정하는 방법에 대한 가이드라인과 추가 지침을 제공합니다. Splunk Enterprise 보안 매뉴얼에서는 Splunk를 안전하게 보호할 수 있는 방법에 대해 자세히 설명합니다. 이 매뉴얼에는 설 정을 강화하기 위한 체크리스트가 포함되어 있습니다. 자세한 내용은 "Splunk Enterprise 보안"을 참조하십시오. Splunk 라이선스 설정 Splunk 라이선싱 방식 Splunk는 관리자가 지정한 원본으로부터 데이터를 가져와서 Splunk에서 분석할 수 있도록 데이터를 처리합니다. 이 프로세 스를 인덱싱이라고 합니다. 정확한 인덱싱 프로세스에 대한 내용은 데이터 가져오기 매뉴얼의 "Splunk의 데이터 작업"을 참 조하십시오. Splunk 라이선스는 역일(라이선스 마스터 시계 기준 자정에서 다음 자정까지의 24시간)당 인덱싱할 수 있는 데이터의 양을 지정합니다. 이렇게 하려면 인덱싱을 수행하는 Splunk 인프라의 모든 호스트에 라이선스가 있어야 합니다. 라이선스가 로컬로 설치되어 있는 독립형 인덱서를 실행하거나 또는 Splunk 인스턴스 중 하나를 라이선스 마스터로 설정하고 라이선스 슬레이브로 설정 된 다른 인덱서에서 가져와 사용할 수 있는 라이선스 풀을 설정할 수 있습니다. 볼륨 인덱싱뿐만 아니라 Splunk Enterprise의 일부 기능을 사용하려면 Enterprise 라이선스가 필요합니다. 다양한 유형의 라이선스에 대한 자세한 내용은 이 매뉴얼의 "Splunk 라이선스 유형"을 참조하십시오. 기존 라이선스 업그레이드에 대한 내용은 설치 매뉴얼의 "새로운 Splunk 라이선서로 마이그레이션"을 참조하십시오. 라이선스 마스터와 라이선스 슬레이브 간의 연결에 대하여 라이선스 마스터 인스턴스가 설정되고 라이선스 슬레이브가 추가된 경우 라이선스 슬레이브는 분 단위로 라이선스 마스터 에게 사용을 알립니다. 라이선스 마스터에 연결할 수 없으면 라이선스 슬레이브가 72시간 타이머를 시작합니다. 라이선스 슬레이브가 72시간 동안 라이선스 마스터에 연결할 수 없는 경우 (인덱싱이 계속되더라도) 라이선스 슬레이브에 대한 검색 은 차단됩니다. 슬레이브가 라이선스 마스터에 다시 연결될 때까지 사용자는 라이선스 슬레이브에 있는 인덱스의 데이터를 검색할 수 없습니다. Splunk 라이선스 수명 주기 다운로드한 Splunk 사본을 처음 설치할 경우 Splunk의 해당 인스턴스는 60일 평가판 Enterprise 라이선스를 사용합니다. 이 라이선스로 60일 동안 Splunk의 모든 Enterprise 기능을 사용할 수 있으며 하루에 최대 500MB까지 데이터를 인덱싱할 수 있습니다. 60일 평가 기간이 끝난 후 Enterprise 라이선스를 구입하여 설치하지 않으면 Splunk Free로 전환할 수 있는 옵션이 표시됩 니다. Splunk Free에는 Splunk Enterprise 기능의 하위 집합이 포함되어 있으며, 독립형 배포 및 단기간 포렌식 조사 용도로 사용할 수 있습니다. Splunk Free는 무기한으로 하루에 최대 500 MB의 데이터를 인덱싱할 수 있습니다. 중요: 인증 또는 예약된 검색/경고는 Splunk Free에 포함되지 않습니다. 즉, Splunk Web 또는 CLI를 통해 Splunk 설치에 액 세스하는 사용자는 자격 증명을 제공할 필요가 없습니다. 또한 예약된 저장 검색/경고는 더 이상 실행할 수 없게 됩니다. 60일 평가 기간이 만료된 후 Splunk의 Enterprise 기능을 계속 사용하려면 Enterprise 라이선스를 구입해야 합니다. 자세히 알아보려면 Splunk 판매 담당자에게 문의하십시오. Enterprise 라이선스를 구입하고 다운로드한 후에는 Splunk 인스턴스에 이 라이선스를 설치하고 Splunk Enterprise 기능에 액세스할 수 있습니다. Enterprise 기능에 대한 내용은 이 매뉴얼의 "Splunk 라이선스 유형"을 참조하십시오. Splunk 라이선스 유형 49

50 각 Splunk 인스턴스에는 라이선스가 필요합니다. Splunk 라이선스는 지정된 Splunk 인스턴스가 인덱싱할 수 있는 데이터의 양을 지정하고, 액세스할 수 있는 기능을 지정합니다. 이 항목에서는 다양한 라이선스 유형과 옵션에 대해 설명합니다. 일반적으로 다음 네 가지 라이선스 유형이 있습니다. Enterprise 라이선스는 인증 및 분산 검색 등의 모든 엔터프라이즈 기능을 제공합니다. Free 라이선스는 인덱싱 볼륨이 제한되고, 인증 기능을 사용할 수 없습니다. 포워더 라이선스는 데이터 포워딩 기능과 인증 기능을 제공하지만, 인덱스 기능은 제공하지 않습니다. Beta 라이선스는 일반적으로 엔터프라이즈 기능을 제공하지만, Splunk 베타 릴리스로 제한됩니다. 또한 이 항목에서는 분산 검색 또는 인덱스 복제를 포함하는 배포의 경우 특별 라이선스 고려 사항에 대해서도 다룹니다. 기존 라이선스 업그레이드에 대한 내용은 설치 매뉴얼의 "새로운 Splunk 라이선서로 마이그레이션"을 참조하십시오. Enterprise 라이선스 Splunk Enterprise는 표준 Splunk 라이선스입니다. 이 라이선스를 통해 인증, 분산 검색, 배포 관리, 경고 예약, 역할 기반 액 세스 제어를 포함한 Splunk의 모든 엔터프라이즈 기능을 사용할 수 있습니다. Enterprise 라이선스는 구입해서 사용할 수 있 으며 모든 인덱싱 볼륨이 될 수 있습니다. 자세한 내용은 Splunk 판매부에 문의하십시오. 다음은 Enterprise 라이선스의 추가 유형으로, 동일한 기능이 모두 포함되어 있습니다. Enterprise 평가판 라이선스 Splunk를 처음 다운로드하면 등록하라는 메시지가 나타납니다. 등록하면 Enterprise 평가판 라이선스를 수신하며 이 라이 선스는 하루에 최대 인덱싱 볼륨 500MB를 제공합니다. Enterprise 평가판 라이선스는 Splunk 사용을 시작한 날로부터 60 일 후에 만료됩니다. Enterprise 평가판 라이선스를 사용하다가 만료되면 Splunk Free 라이선스로 전환해야 합니다. Splunk를 설치했으면 Enterprise 평가판 라이선스가 만료될 때까지 평가판 라이선스로 Splunk를 실행할 것인지, Enterprise 라이선스를 구입할지 또는 Free 라이선스로 전환(포함되어 있음)할지 선택할 수 있습니다. 참고: Enterprise 평가판 라이선스를 "다운로드 평가판"이라고도 부릅니다. Sales 평가판 라이선스 Splunk Sales를 사용할 경우 크기와 기간이 다양한 Enterprise 평가판 라이선스를 요청할 수 있습니다. Enterprise 평가판 라이선스는 Splunk 사용을 시작한 날로부터 60일 후에 만료됩니다. 대규모 배포의 파일럿을 준비하고 있으며 평가판 사용 기간에 사용 기간 또는 인덱싱 볼륨을 늘려야 할 경우 Splunk 판매부로 문의해 주십시오. 담당자가 바로 처리해 드립니다. Free 라이선스 Free 라이선스는 하루 500MB의 인덱싱 볼륨을 무료로 만료 기간 없이 제공합니다. Enterprise 라이선스 버전에서 사용할 수 있는 다음 기능은 Splunk Free에서는 사용할 수 없습니다. 다중 사용자 계정 및 역할 기반 액세스 제어 분산 검색 TCP/HTTP 형식으로 포워딩(다른 Splunk 인스턴스로 데이터를 포워딩할 수 있지만 비 Splunk 인스턴스에는 포워딩 할 수 없음) 배포 관리(클라이언트용으로 포함) 경고/모니터링 기본 인증, LDAP 및 스크립트 기반 인증을 포함한 인증과 사용자 관리 로그인 기능이 없기 때문에 명령줄 또는 브라우저에서 별도의 로그인 없이 Splunk의 모든 기능을 액세스하고 제 어할 수 있습니다. 또한 더 많은 역할을 추가하거나 사용자 계정을 만들 수 없습니다. 검색이 모든 공용 인덱스, 즉 'index=*'에 대해 실행되고 사용자 할당량, 검색별 최대 시간 범위, 검색 필터 같은 제약조건은 지원되지 않습니다. 기능 시스템이 비활성화되어 있지만 Splunk에 액세스하는 모든 사용자에 대한 모든 기능은 활성화되어 있습니 다. 이 매뉴얼에서 Splunk 무료 버전에 대해 알아보기를 참조하십시오. 포워더 라이선스 이 라이선스는 데이터의 무제한 포워딩(인덱스 기능은 제공 안 됨)이 가능하고, 사용자 액세스에 사용자 이름 및 암호를 제공 하므로 인스턴스 보안이 가능합니다. (무료 라이선스는 데이터를 무제한으로 포워딩하기 위해 사용할 수도 있지만 보안 기능 이 없습니다.) 포워더 라이선스는 Splunk에 포함되어 있으므로 별도로 구입할 필요가 없습니다. Splunk는 다양한 포워더 옵션을 제공합니다. 유니버설 포워더는 포워더 라이선스가 자동으로 적용되어 있으므로, 설치 후에 추가 작업이 필요하지 않습니다. 라이트 포워더도 동일한 라이선스를 사용하지만, 포워더 라이선스 그룹으로 변경하여 직접 라이선스를 활성화해야 합 50

51 니다. 헤비 포워더도 포워더 라이선스 그룹으로 직접 변환해야 합니다. 인덱싱 작업을 수행할 경우 Enterprise 라이선스 스 택에 대한 액세스가 필요합니다. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용 어"를 참조하십시오. Beta 라이선스 Splunk Beta 릴리스는 다른 Splunk 릴리스와 호환되지 않는 다른 라이선스가 필요합니다. 또한 Splunk Beta 릴리스를 평가 할 경우 Free 또는 Enterprise 라이선스로는 실행되지 않습니다. Beta 라이선스는 일반적으로 Enterprise 기능을 제공하지 만 그 범위는 Beta 릴리스로 제한됩니다. Splunk Beta 버전을 평가하는 경우 자체 라이선스가 함께 제공됩니다. 검색 헤드(분산 검색)를 위한 라이선스 검색 헤드는 검색을 다른 Splunk 인덱서로 배포하는 Splunk 인스턴스입니다. 검색 헤드는 일반적으로 데이터를 로컬에서 인 덱싱하지 않지만, 여전히 액세스를 제한하기 위해 라이선스를 사용하고자 합니다. 검색 헤드에는 특수 라이선스 유형인 "검색 헤드 라이선스"가 없습니다. 그러나 검색 헤드를 설정하려면 Enterprise 라이선 스가 필요하며 검색 헤드의 라이선싱은 Splunk 버전에 따라 다릅니다. 4.2 이전 버전의 Splunk는 각 검색 헤드에 대한 별도의 포워더 라이선스를 사용할 것을 권장했습니다. 그 이유는 포워 더 라이선스가 인덱스를 허용하지 않고 검색 헤드 액세스에 대한 인증을 요구하기 때문입니다. 4.2 이후 버전의 Splunk는 각 피어에 별도 라이선스를 할당하는 대신 데이터를 인덱싱할 필요가 없는 경우에도 Enterprise 라이선스 풀에 검색 헤드를 추가하는 것을 권장합니다. "그룹, 스택, 풀 및 기타 용어" 및 "라이선스 풀 만들 기 또는 편집"을 참조하십시오. 참고: 기존 검색 헤드에 4.2 이전 버전의 포워더 라이선스가 설치된 경우 업그레이드 후에는 이 포워더 라이선스가 인식되지 않습니다. 클러스터 구성원을 위한 라이선스(인덱스 복제용) Splunk 배포와 마찬가지로 인덱서에서 처리하는 데이터 볼륨에 따라 라이선싱 요구 사항이 결정됩니다. 추가 라이선스 볼륨 을 구입하려면 Splunk 판매부 담당자에게 문의하십시오. 인덱스 복제와 관련된 일부 라이선싱 문제는 다음과 같습니다. 마스터, 피어 및 검색 헤드를 포함한 모든 클러스터 구성원은 데이터를 인덱싱할 필요가 없는 경우에도 Enterprise 라 이선스 풀이 필요합니다. 클러스터 구성원은 동일한 라이선싱 설정을 공유해야 합니다. 수신 데이터만 라이선스로 카운트되고, 복제된 데이터는 카운트되지 않습니다. Free 라이선스에서는 인덱스 복제를 사용할 수 없습니다. 인덱서 및 클러스터 관리 매뉴얼에서 시스템 요구 사항과 기타 배포 고려사항에 대해 자세히 알아보십시오. 그룹, 스택, 풀 및 기타 용어 Splunk의 라이선싱 기능은 4.2 버전부터 많이 변경되었습니다. 호환되는 라이선스를 사용 가능한 라이선스 볼륨 스택에 집 계할 수 있고, 인덱서 풀을 정의하여 지정된 스택의 라이선스 볼륨을 사용할 수 있습니다. Splunk Free 사용자: 이 기능은 Enterprise 라이선스에만 해당됩니다. 독립형 인스턴스 Splunk Free를 사용하는 경우에는 그룹, 풀 및 스택이 필요하지 않습니다. 풀 4.2 버전부터는 지정된 라이선스 스택에서 라이선스 볼륨의 풀을 정의할 수 있으며, 다른 인덱싱 Splunk 인스턴스를 볼륨 사 51

52 용 및 추적을 위한 풀의 구성원으로 지정할 수 있습니다. 라이선스 풀은 단일 라이선스 마스터로 구성되며, Splunk의 0개 이상의 라이선스 슬레이브 인스턴스가 집합 라이선스 또는 라이선스 스택의 라이선싱 볼륨을 사용하도록 설정됩니다. 스택 4.2 버전부터는 특정 유형의 Splunk 라이선스를 함께 집계하거나, 스택으로 쌓아둘 수 있습니다. 따라서 사용 가능한 라이선 스 볼륨은 개별 라이선스 볼륨의 합계가 됩니다. 즉, 시간이 지남에 따라 필요한 경우 라이선스를 바꾸지 않고도 인덱스 볼륨 용량을 늘릴 수 있습니다. 대신 추가 용량을 구입 하여 해당 스택에 추가해야 합니다. 그룹 Enterprise 라이선스와 Sales 평가판 라이선스는 같이 서로 스택할 수 있습니다. 표준 Splunk 다운로드 패키지가 함께 포함되어 있는 Enterprise *평가판* 라이선스는 한 스택에 포함될 수 없습니다. Enterprise 평가판 라이선스는 독립형으로 사용할 수 있으며 자체 그룹입니다. Enterprise 또는 Sales 평가판 라이선 스를 설치하기 전까지 스택을 만들거나 사용할 다른 인덱서의 풀을 정의할 수 없습니다. Splunk Free 라이선스는 Splunk Free 라이선스를 포함하여 다른 라이선스와 함께 스택할 수 없습니다. 포워더 라이선스는 포워더 라이선스를 포함하여 다른 라이선스와 함께 스택할 수 없습니다. 라이선스 그룹에는 하나 이상의 스택이 포함됩니다. 스택은 하나의 그룹에만 속하는 구성원이므로 Splunk를 설치할 때 하나 의 그룹만 "활성" 상태가 될 수 있습니다. 특히 이것은 지정된 라이선스 마스터가 한 번에 하나의 그룹 유형에 속하는 라이선 스 풀만 관리할 수 있음을 의미합니다. 그룹은 다음과 같습니다. Enterprise/Sales 평가판 그룹 - 이 그룹은 구입한 Enterprise 라이선스와 Sales 평가판 라이선스(이것은 만료 기한이 설정된 Enterprise 라이선스이며, 다운로드한 Enterprise 평가판과 동일한 라이선스가 아님)를 스택할 수 있습니다. Enterprise 평가판 그룹 - 이 그룹은 새 Splunk 인스턴스를 처음 설치할 경우 기본 그룹입니다. 여러 Enterprise 평가판 라이선스를 하나의 스택으로 결합하여 풀을 만들 수 없습니다. 다른 그룹으로 전환할 경우 Enterprise 평가판 그룹으 로 다시 전환할 수 없게 됩니다. Free 그룹 - 이 그룹은 Splunk Free 설치를 수용하는 데 필요합니다. Enterprise 평가판 라이선스가 60일 후에 만료될 경우 해당 Splunk 인스턴스는 Free 그룹으로 전환됩니다. 여러 Splunk Free 라이선스를 하나의 스택으로 결합하여 풀 을 만들 수 없습니다. 포워더 그룹 - 이 그룹은 Splunk를 유니버설 포워더 또는 라이트 포워더로 설정하는 데 필요합니다. 이러한 유형의 포 워더는 인덱스를 수행하지 않으므로 관리자의 라이선싱 페이지를 통해 관리되지 않고 라이선스 그룹에 속하게 됩니다. Splunk 인스턴스의 라이선스 그룹을 포워더 그룹으로 변경할 경우 Splunk 인스턴스는 포워더로 설정되고 데이터를 인 덱싱하지 않는다고 가정합니다. 자세한 내용은 포워더 및 "포워더 라이선스"를 참조하십시오. 라이선스 슬레이브 라이선스 슬레이브는 하나 이상의 라이선스 풀의 구성원입니다. 라이선스 슬레이브의 라이선스 볼륨 액세스는 라이선스 마 스터에 의해 제어됩니다. 라이선스 마스터 라이선스 마스터는 하나 이상의 라이선스 슬레이브를 제어합니다. 라이선스 마스터에서 풀을 정의하고 라이선싱 용량을 추 가하며 라이선스 슬레이브를 관리할 수 있습니다. 라이선스 설치 이 항목에서는 새 라이선스 설치에 대해 설명합니다. Splunk 라이선스 마스터에 여러 라이선스를 설치할 수 있습니다. 계속 하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 기존 라이선스 업그레이드에 대한 내용은 설치 매뉴얼의 "새로운 Splunk 라이선서로 마이그레이션"을 참조하십시오. 새 라이선스 추가 새 라이선스를 추가하려면: 1. 설정 > 라이선싱으로 이동합니다. 2. 라이선스 추가를 클릭합니다. 52

53 3. 파일 선택을 클릭하고 라이선스 파일을 찾아서 선택하거나 라이선스 XML을 직접 복사하여 붙여넣습니다...를 클릭하여 라이선스 파일을 제공된 필드에 붙여넣습니다. 4. 설치를 클릭합니다. (Enterprise 라이선스를 처음 설치하는 경우 Splunk를 재시작해야 합니다.) 라이선스가 설치됩니다. 라이선스 마스터 설정 이 항목에서는 Splunk 인스턴스를 라이선스 마스터로 설정하는 것에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하십 시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 라이선스 마스터 종류 다음과 같은 두 가지 기본 스타일의 라이선스 마스터가 있습니다. 독립형 라이선스 마스터 단일 Splunk 인덱서가 있는 경우 이 인덱서의 라이선스를 관리하려면 이 Splunk 인덱서를 라이선스 마스터로 실행하고 이 Splunk 인덱서에 Enterprise 라이선스를 하나 이상 설치하십시오. 그러면 단일 Splunk 인덱서가 라 이선스 슬레이브로 자체 관리합니다. Splunk Enterprise를 처음 다운로드하고 설치하면 500MB 60일 Enterprise 평가판 라이선스가 포함되어 있습 니다. 이 인스턴스는 독립형 라이선스 마스터로 자동 설정되며 이 유형의 라이선스에 대해서는 풀을 만들거나 라 이선스 슬레이브를 정의할 수 없습니다. 하나 이상의 스택 또는 풀을 만들고 여러 인덱서를 할당하려면 Enterprise 라이선스를 구입하여 설치해야 합니다. 라이선스를 설치하려면 이 매뉴얼의 "라이선스 설치" 설명을 참조하십시오. 중앙 라이선스 마스터 둘 이상의 인덱서가 있으며 구입한 라이선스 용량에 대한 액세스를 중앙 위치에서 관리하려면 중앙 라이선스 마 스터를 설정하고 인덱서를 라이선스 슬레이브로 마스터에 추가해야 합니다. 라이선스 마스터가 인덱서인 경우에도 자체적으로 라이선스 마스터가 되지만, 검색 헤드가 있는 경우에는 검색 헤드를 라이선스 마스터로 지정하는 것이 좋습니다. 검색 헤드가 여러 개인 대규모 환경에서는 다음 두 가지 이유에서 라이선스 마스터가 아닌 일부 또는 전체 검색 헤드가 라이선스 마스터에 검색 분산을 수행하도록 할 수 있습니다. 라이선스 로그에 대해 검색을 실행할 수 있습니다. 시간 기반 라이선스를 가진 상태에서 5일 안에 만료되는 경우와 같은 드문 조건이 검색 헤드에서 발생할 경우, 검색이 실행될 때 검색 결과에 첨부되는 정보 메시지의 일부로 이 조건이 해당 검색 헤드에 표시됩니 다. 중앙 라이선스 마스터 설정 기본적으로 Splunk의 독립형 인스턴스는 자체 라이선스 마스터입니다. 중앙 라이선스 마스터를 설정하려면 하나 이상의 Enterprise 라이선스를 설치하십시오. Enterprise 라이선스를 설치했으면 하나 이상의 스택 및 풀을 생성하여 설치된 라이선스에 액세스할 수 있으며, 라이선스 마 스터에서 이를 관리할 수 있습니다. 라이선스 슬레이브 설정 이 항목에서는 Splunk 인덱서를 라이선스 슬레이브로 설정하는 방법에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하 십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 라이선스 마스터를 설정하는 방법은 이 매뉴얼의 "라이선스 마스터 설정"을 참조하십시오. 명령줄에서 해당 작업을 수행하는 데 도움이 필요하면 이 매뉴얼의 "CLI를 통해 라이선스 관리"를 참조하십시오. 1. 라이선스 슬레이브로 설정할 인덱서에서 Splunk Web에 로그인한 후 설정 > 라이선싱으로 이동합니다. 2. 슬레이브로 변경을 클릭합니다. 53

54 3. 이 Splunk 인스턴스 <이 인덱서>을(를) 마스터 라이선스 서버로 지정 라디오 단추를 선택 취소하고 다른 Splunk 인스턴 스를 마스터 라이선스 서버로 지정을 선택합니다. 4. 이 라이선스 슬레이브가 보고할 라이선스 마스터를 지정합니다. IP 주소 또는 호스트 이름과 Splunk 관리 포트를 입력해 야 합니다. 이 관리 포트는 기본적으로 8089입니다. 참고: IP 주소는 IPv4 또는 IPv6 형식으로 지정할 수 있습니다. IPv6 지원에 대한 자세한 내용은 이 매뉴얼의 "IPv6용 Splunk 설정"을 참조하십시오. 5. 저장을 클릭합니다. 이 인스턴스에 Enterprise 라이선스를 아직 설치하지 않은 경우 Splunk를 재시작해야 합니다. 이제 이 인덱서가 라이선스 슬레이브로 설정됩니다. 다시 전환하려면 설정 > 라이선싱으로 이동하고 로컬 마스터로 전환을 클릭합니다. 이 인스턴스에 Enterprise 라이선스를 아 직 설치하지 않은 경우 이 변경 사항을 적용하려면 Splunk를 재시작해야 합니다. 라이선스 풀 만들기 또는 편집 이 항목에서는 설치된 하나 이상의 라이선스에서 라이선스 풀 만들기와 기존 라이선스 풀을 편집하는 방법에 대해 설명합니 다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 라이선스 설치에 대한 자세한 내용은 "라이선스 설치"를 참조하십시오. 명령줄에서 해당 작업을 수행하는 데 도움이 필요하면 이 매뉴얼의 "CLI를 통해 라이선스 관리"를 참조하십시오. Splunk를 처음 다운로드하고 설치하면 500MB의 60일 Enterprise 평가판 라이선스가 포함되어 있습니다. Splunk의 이 인 스턴스는 독립형 라이선스 마스터로 자동 설정되며 이 유형의 라이선스에 대해서는 풀을 만들거나 라이선스 슬레이브를 정 의할 수 없습니다. 하나 이상의 스택 또는 풀을 만들고 여러 인덱서를 할당하려면 Enterprise 라이선스를 구입하여 설치해야 합니다. 설정 > 라이선싱의 다음 예제에서는 100MB의 Enterprise 라이선스가 새로운 Splunk 설치에 설치되었습니다. 54

55 새로운 Splunk 서버에 Enterprise 라이선스를 설치할 경우, Splunk는 Enterprise 라이선스 스택(또는 Splunk Enterprise Stack)을 자동으로 만들고 해당 기본 라이선스 풀(auto_generated_pool_enterprise)을 정의합니다. 이 기본 풀에 대한 기본 설정은 이 라이선스 마스터에 연결된 모든 라이선스 슬레이브를 풀에 추가합니다. 풀을 편집하여 이 설정을 변경하거나 풀에 인덱서를 더 많이 추가하거나 이 스택에서 새로운 라이선스 풀을 만들 수 있습니다. 기존 라이선스 풀을 편집하려면 1. 편집할 라이선스 풀 옆의 편집을 클릭합니다. 라이선스 풀 편집 페이지가 나타납니다. 2. 할당을 변경하거나 인덱서가 이 풀에 액세스하는 방식을 변경할 수 있습니다. 풀 이름은 변경할 수 없지만 설명은 변경할 수 있습니다. 3. 제출을 클릭합니다. 새 라이선스 풀을 만드는 방법 중요: 기본 Enterprise 스택에서 새 라이선스 풀을 만들려면 먼저 auto_generated_pool_enterprise 풀을 편집하고 풀 할당을 줄이거나 풀 전체를 삭제하여 사용 가능한 인덱스 볼륨을 확보하십시오. 풀 이름 옆에 있는 삭제를 클릭하여 해당 풀을 삭제 하십시오. 1. 페이지 하단에 있는 를 클릭합니다. 새 라이선스 풀 만들기 페이지가 나타납니다. 2. 풀의 이름을 지정하고 설명(선택 사항)을 입력합니다. 3. 이 풀의 할당을 설정합니다. 이 할당은 전체 스택 라이선싱 볼륨 중에서 이 풀에 속하는 인덱서가 사용할 수 있는 볼륨을 지정합니다. 이 할당은 특정 값으로 지정될 수 있고, 다른 풀에 할당되지 않은 경우에는 해당 스택에서 사용 가능한 전체 인덱 스 볼륨이 이 값이 될 수 있습니다. 4. 인덱서가 이 풀에 액세스하는 방식을 지정합니다. 다음 옵션이 있습니다. 라이선스 슬레이브로 설정된 환경의 인덱서는 이 라이선스 풀에 연결하여 이 풀 내에서 라이선스 할당을 사용할 수 있 습니다. 지정한 인덱서만 이 풀에 연결할 수 있으며 이 풀 내에서 라이선스 할당을 사용할 수 있습니다. 55

56 지정한 인덱서만 이 풀에 연결할 수 있으며 이 풀 내에서 라이선스 할당을 사용할 수 있습니다. 5. 특정 인덱서가 풀을 이용할 수 있도록 허용하려면 사용 가능한 인덱서 리스트에서 인덱서 이름 옆에 있는 더하기 기호를 클릭하여 해당 인덱서를 연결된 인덱서 리스트로 옮깁니다. 라이선스 풀에 인덱서 추가 이 항목에서는 기존 라이선스 풀에 인덱서를 추가하는 방법에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 인덱서가 라이선스 풀에 액세스하는 방식 라이선스 풀의 스택에 대한 액세스는 해당 풀의 라이선스 마스터에 의해 제어됩니다. 특정 인덱서에게만 액세스를 허용하도 록 풀을 설정하거나, 라이선스 마스터의 URI와 관리 포트를 지정하여, 이와 연결된 인덱서에 대한 액세스는 모두 허용하도록 설정할 수 있습니다. 특정 인덱서 추가 지정된 라이선스 풀의 스택에 대한 특정 인덱서의 액세스를 허용하려면 다음 기본적인 두 단계를 수행하십시오. 1. 인덱서를 라이선스 슬레이브로 설정하고 인덱서에 라이선스 마스터의 URI와 관리 포트를 지정합니다. 이렇게 하려면 이 매뉴얼의 "라이선스 슬레이브 설정" 설명을 참조하십시오. 2. 인덱서에서 액세스를 허용하도록 라이선스 관리자에서 풀을 설정합니다. 이 작업을 수행하려면 "라이선스 풀 만들기 또는 편집" 지침에 따라 라이선스 풀을 편집하고 특정 인덱서에 대한 액세스만 허용하도록 라디오 단추 옵션을 선택한 후 "사용 가 능한 인덱서" 리스트에서 인덱서 이름 옆의 더하기 기호를 클릭하여 "연결된 인덱서" 리스트로 이동시키십시오. 연결된 모든 인덱서 추가 다음 단계에 따라 이 라이선스 마스터에 연결된 모든 인덱서에 라이선스 풀 스택에 대한 액세스를 제공하십시오. 1. 인덱서를 라이선스 슬레이브로 설정하고 인덱서에 라이선스 마스터의 URI와 관리 포트를 지정합니다. 이렇게 하려면 이 매뉴얼의 "라이선스 슬레이브 설정" 설명을 참조하십시오. 2. 인덱서에서 액세스를 허용하도록 라이선스 마스터에서 풀을 설정합니다. 이 작업을 수행하려면 "라이선스 풀 만들기 또는 편집" 설명에 따라 라이선스 풀을 편집하고 연결하는 임의 인덱서에 대한 액세스를 허용하는 라디오 단추 옵션을 선택하십시 오. CLI를 통해 라이선스 관리 이 항목에서는 Splunk CLI를 사용하여 Splunk 라이선스를 모니터링하고 관리하는 방법에 대해 설명합니다. 계속하기 전에 다음 항목을 검토하십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 이 항목에서는 Splunk의 라이선서 관련 개체와 상호작용하는 데 사용할 수 있는 CLI 명령에 대해서만 설명합니다. 해당 명령 중 일부에는 각 개체에 대해 지정할 수 있는 필수/선택적 인수도 있습니다. 전체 구문과 사용 예제를 보려면 Splunk CLI 도움 말을 참조하십시오. Splunk 명령줄 인터페이스 사용에 대한 기본적인 정보는 이 매뉴얼의 "CLI에 대하여"를 참조하십시오. Splunk의 REST API를 통한 라이선스 관리에 대한 내용은 REST API 조회 매뉴얼의 "라이선스"를 참조하십시오. CLI 라이선서 명령 및 개체 Splunk CLI를 사용하여 라이선스 및 라이선서 관련 개체를 추가, 편집, 나열 및 제거할 수 있습니다. 사용 가능한 명령은 다음 과 같습니다. 명령어 개체 설명 add edit list licenses, licenser-pools licenser-localslave, licenser-pools licenser-groups, licenser-localslave, licensermessages, licenser-pools, licenser-slaves, licenser-stacks, licenses 라이선스 또는 라이선스 풀을 라이선스 스택에 추가합니다. 이 명령은 Enterprise 라이선스가 있는 경우에만 사용할 수 있습 니다. 라이선스 스택의 로컬 licenser-slave 노드 또는 라이선스 풀의 속성을 편집합니다. 이 명령은 Enterprise 라이선스가 있는 경 우에만 사용할 수 있습니다. 지정된 라이선서 관련 개체에 따라 해당 개체 속성 또는 개체 구성원을 나열합니다. remove licenser-pools, licenses 라이선스 스택에서 라이선스 또는 라이선스 풀을 제거합니다. 56

57 라이선스 관련 개체는 다음과 같습니다. 개체 licenser-groups licenserlocalslave licensermessages licenser-pools licenser-slaves licenser-stacks licenses 전환할 수 있는 다른 라이선스 그룹입니다. 로컬 인덱서의 설정입니다. 라이선스 상태에 대한 경고입니다. 설명 풀 또는 가상 라이선스입니다. 스택은 각 풀의 할당량을 공유하는 여러 슬레이브와 함께 다양한 풀로 나 눌 수 있습니다. 마스터에 연결된 모든 슬레이브입니다. 이 개체는 라이선스 스택을 나타냅니다. 스택에는 동일한 유형의 라이선스가 포함되며 누적됩니다. 이 Splunk 인스턴스의 모든 라이선스입니다. 공통 라이선서 관련 작업 다음은 공통 라이선서 관련 작업의 예제입니다. 라이선스 관리 라이선스 스택에 새 라이선스를 추가하려면 라이선스 파일에 경로를 지정하십시오../splunk add licenses /opt/splunk/etc/licenses/enterprise/enterprise.lic 라이선스 스택의 모든 라이선스를 나열하려면 다음 작업을 수행하십시오../splunk list licenses 리스트에는 각 라이선스의 속성이 표시됩니다. 예를 들어, 사용할 수 있는 기능(features), 속해 있는 라이선스 그룹 및 스택 (group_id, stack_id), 허용되는 인덱스 할당량(quota), 각 라이선스에 제공되는 고유한 라이선스 키(license_hash) 등이 있 습니다. 라이선스가 만료되면 라이선스 스택에서 해당 라이선스를 제거할 수 있습니다. 라이선스 스택에서 라이선스를 제거하려면 라이선스 해시를 지정하십시오../splunk remove licenses BM+S8VetLnQEb1F+5Gwx9rR4M4Y91AkIE=781882C56833F36D 라이선스 풀 관리 라이선스 스택에 있는 하나 이상의 라이선스에서 라이선스 풀을 만들 수 있습니다(Enterprise 라이선스가 있는 경우). 기본 적으로 라이선스 스택은 여러 라이선서 풀로 분할됩니다. 각 풀은 풀 할당량을 공유하는 둘 이상의 라이선스 슬레이브를 가 집니다. 모든 라이선스 스택의 모든 라이선스 풀을 보려면:./splunk list licenser-pools 라이선스 풀을 스택에 추가하려면, 풀 이름을 지정하고 풀에 추가할 스택과 풀에 할당할 인덱스 볼륨을 지정해야 합니다../splunk add licenser-pools pool01 -quota 10mb -slaves guid1,guid2 -stack_id enterprise 또한 풀에 대한 설명과 풀의 구성원에 속하는 슬레이브에 대한 설명을 지정할 수 있습니다(선택 사항). 라이선스 풀의 설명, 인덱싱 할당량 및 슬레이브를 다음과 같이 편집할 수 있습니다../splunk edit licenser-pools pool01 -description "Test" -quota 15mb -slaves guid3,guid4 -append_slaves true 이는 기본적으로 풀에 대한 설명("Test")을 추가하고, 할당량을 10mb에서 15mb로 변경하고, (guid1 및 guid2를 덮어쓰거나 바꾸는 대신) 슬레이브 guid3 및 guid4를 풀에 추가합니다. 스택에서 라이선스 풀을 제거하려면 다음과 같이 이름을 지정합니다../splunk remove pool01 57

58 라이선스 슬레이브 관리 라이선스 슬레이브는 하나 이상의 라이선스 풀의 구성원입니다. 라이선스 볼륨에 대한 라이선스 슬레이브 액세스는 라이선 스 마스터에 의해 제어됩니다. 라이선스 마스터에 연결된 모든 라이선스 슬레이브를 나열하려면:./splunk list licenser-slaves 로컬 라이선스 슬레이브의 모든 속성을 나열하려면:./splunk list licenser-localslave 라이선스 슬레이브를 추가하고 해당 로컬 라이선스 슬레이브 노드의 속성을 편집하려면(splunkd 라이선스 마스터 인스턴스 의 URI 지정 또는 '자신'):./splunk edit licenser-localslave -master_uri ' 라이선스 상태 모니터링 list 명령어를 사용하여 라이선스 상태에 대한 메시지(경고)를 볼 수 있습니다../splunk list licenser-messages Splunk 라이선스 관리 라이선스 관리 이 항목에서는 Splunk 라이선스 관리에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 명령줄에서 해당 작업을 수행하는 데 도움이 필요하면 이 매뉴얼의 "CLI를 통해 라이선스 관리"를 참조하십시오. 기존 라이선스 업그레이드에 대한 내용은 설치 매뉴얼의 "새로운 Splunk 라이선서로 마이그레이션"을 참조하십시오. 라이선스 삭제 라이선스가 만료되면 해당 라이선스를 삭제할 수 있습니다. 하나 이상의 라이선스를 삭제하려면 다음 작업을 수행하십시오. 1. 라이선스 마스터에서 시스템 > 라이선싱으로 이동합니다. 2. 삭제할 라이선스 옆의 삭제를 클릭합니다. 3. 삭제를 다시 클릭하여 확인합니다. 참고: 라이선스 마스터에서 라이선스 리스트 중 마지막 라이선스는 삭제할 수 없습니다. 라이선스 사용량 보기 라이선스 사용량 보고서 뷰를 사용하여 배포 전체의 라이선스 사용량을 모니터링할 수 있습니다. 시스템 > 라이선싱으로 이 동한 후 사용량 보고서를 클릭하여 뷰에 액세스하십시오. 다음 장에서 라이선스 사용량 보고서 뷰에 대해 자세히 알아보십시 오. 라이선스 위반에 대하여 이 항목에서는 라이선스 위반이 어떤 것이며, 어떤 경우에 발생하고 어떻게 해결하는지 설명합니다. 계속하기 전에 다음 항 목을 참조하십시오. Splunk 라이선싱에 대한 기본적인 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"을 참조하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"를 참조하십시오. 58

59 라이선스 위반 및 경고의 정의 경고 및 위반은 라이선스가 허용하는 최대 인덱스 볼륨을 초과할 때 발생합니다. 역일(자정에서 다음 자정까지의 24시간)의 라이선스 일별 볼륨을 초과할 경우 위반 경고가 발생합니다. 이 메시지는 14일간 나타납니다. 30일 동안 Enterprise 라이선스에서 5개 이상의 경고가 계속 발생하거나 Free 라이선스에서 3개의 경고가 계 속 발생할 경우 라이선스 위반에 해당되며, 위반에 해당되는 풀을 검색할 수 없게 됩니다. 모든 풀의 총 라이선스 사용량이 라 이선스 마스터의 총 라이선스 할당량을 초과하지 않는 한, 나머지 풀은 계속 검색할 수 있고 영향을 받지 않습니다. 이전 30일 동안 경고가 5개보다 적거나(Enterprise), 3개보다 적을 때(Free) 또는 임시 Reset 라이선스(Enterprise만 해당 됨)를 적용할 경우에는 검색 기능을 다시 사용할 수 있습니다. Reset 라이선스를 받으려면 판매 담당자에게 문의하십시오. 적용 방법에 대한 설명은 설치 매뉴얼을 참조하십시오. 참고: 라이선스 위반이 발생하더라도 요약 인덱싱 볼륨은 라이선스에 카운트되지 않습니다. 요약 인덱싱은 내부가 아닌 다른 검색 동작을 중지합니다. 위반 경고가 발생할 경우 라이선스 마스터가 자정까지 이 경고를 해결하면 30일 기간 내에 총 경고 수로 카운트되지 않습니 다. 라이선스 위반 기간 중에는 다음에 유의하십시오. Splunk는 데이터 인덱싱을 중지하지 않습니다. 라이선스를 초과할 경우에만 검색이 차단됩니다. _internal 인덱스는 검색할 수 없습니다. 즉, 인덱스 상태 대시보드에는 계속 액세스할 수 있으며 _internal에 대한 검 색을 통해 라이선스 문제를 진단할 수도 있습니다. 라이선스 경고 표시 풀에 있는 인덱서가 해당 풀에 할당된 라이선스 볼륨을 초과할 경우 Splunk Web 상단에 노란색 경고 배너가 표시됩니다. 배너에 있는 링크를 클릭하면 설정 > 라이선싱이 표시되고 이 페이지의 경고 섹션 아래에 경고가 나타납니다. 경고를 클릭하 면 자세한 정보가 나타납니다. 위반이 발생하면 라이선스 슬레이브에도 비슷한 배너가 표시됩니다. 다음은 라이선싱 경고가 생성되는 몇 가지 조건입니다. 슬레이브가 고아가 되면 경고(자정 전까지는 수정 가능한 일시적 오류)가 발생합니다. 풀이 용량을 초과하면 경고(자정 전까지는 수정 가능한 일시적 오류)가 발생합니다. 스택이 최대 용량을 초과하면 경고(자정 전까지는 수정 가능한 일시적 오류)가 발생합니다. 하나 이상의 슬레이브에 경고가 발생하면 이 경고가 마지막 30일 동안 계속 유효할 경우 경고가 계속 나타납니다. 라이선스 마스터와 라이선스 슬레이브 간의 연결에 대하여 라이선스 마스터 인스턴스를 설정하고 라이선스 슬레이브를 해당 인스턴스에 추가하면 라이선스 슬레이브의 사용량이 분 단위로 라이선스 마스터에 전송됩니다. 라이선스 마스터가 다운되었거나 마스터에 연결할 수 없으면 라이선스 슬레이브가 72시간 타이머를 시작합니다. 라이선스 슬레이브가 72시간 동안 라이선스 마스터에 연결할 수 없는 경우 (인덱싱이 계속되 더라도) 라이선스 슬레이브에 대한 검색은 차단됩니다. 슬레이브가 라이선스 마스터에 다시 연결될 때까지 사용자는 라이선 스 슬레이브에 있는 인덱스의 데이터를 검색할 수 없습니다. 라이선스 슬레이브가 라이선스 마스터에 도달하지 못했는지 알아보려면 splunkd.log에서 failed to transfer rows가 포함된 이벤트를 검색하거나 _internal 인덱스에서 검색하십시오. 라이선스 위반을 방지하는 방법 라이선스 위반을 방지하려면 라이선스 사용량을 모니터링하여 충분한 라이선스 볼륨을 항상 유지해야 합니다. 라이선스 볼 륨이 충분하지 않을 경우 라이선스를 늘리거나 인덱싱 볼륨을 줄여야 합니다. 배포의 인덱스 볼륨에 대한 세부 정보를 보려면 새로운 라이선스 사용량 보고서를 사용하십시오. 다음 장에서 라이선스 사용 량 보고서 뷰에 대해 읽어보십시오. 라이선스 경고 해결 라이선스 경고를 자정 이전에 해결하라는 메시지가 표시될 경우 당일에 할당된 라이선스 용량을 이미 초과한 상태일 수 있습 니다. 이를 "소프트 경고"(soft warning)라고 합니다. 일별 라이선스 할당량은 자정에 재설정되고, 이 때 소프트 경고(soft warning)는 "하드 경고"(hard warning)가 됩니다. 이 때까지 경고를 해결하고 내일도 할당량이 초과되지 않도록 해야 합니다. 데이터를 이미 인덱싱한 상태라면 데이터 인덱싱을 취소하여 라이선스 사용 "재량권"을 다시 획득할 방법이 없습니다. 다음 방법 중에서 선택해야 합니다. 할당량이 더 많은 라이선스를 구입하거나 여유 라이선스 용량이 있는 경우 라이선스 풀을 재정렬하여 라이선스 용량을 늘립니다. 라이선스 사용을 줄입니다. 59

60 할당량에 가장 많은 영향을 미치는 데이터 원본이 무엇인지 알아보려면 라이선스 사용량 보고서 뷰를 확인하십시오. 주요 원인이 되는 데이터를 확인했으면 내보내는 데이터가 모두 필요한지 결정하십시오. 또는 데이터 포워딩 매뉴얼에서 "데 이터 전송 및 필터링"을 읽어보십시오. 답변 질문이 있으십니까? Splunk 응답 페이지에 가면 라이선스 위반과 관련하여 Splunk 커뮤니티에서 올린 질문과 답변을 볼 수 있습니다. 라이선스 마스터 교체 이제 라이선스 풀이 설정되었습니다. 라이선스 슬레이브 중 하나를 풀의 라이선스 마스터로 전환하려면 어떻게 해야 합니 까? 다음 항목에서는 이 작업을 수행하는 절차에 대해 설명합니다. 먼저 슬레이브를 마스터로 승격시켜야 합니다. 그런 다음 이 전 마스터를 슬레이브로 강등시킵니다. 자세한 내용은 다음 항목을 참조하십시오. 1. 새 라이선스 마스터를 라이선싱 풀에서 제거하고 마스터로 설정합니다. (새 마스터가 될) 라이선스 슬레이브에 로그인합니다. 설정 > 라이선싱으로 이동합니다. 프롬프트에 따라 라이선스 슬레이브를 새 라이선스 마스터로 설정합니다. Splunk를 재시작합니다. 2. 새 라이선스 마스터에서 라이선스 키를 추가합니다. 라이선스 키가 이전 라이선스 마스터와 일치하는지 확인합니다. 3. 풀의 나머지 라이선스 슬레이브를 새 라이선스 마스터로 지정합니다. 각 슬레이브에서 설정 > 라이선싱으로 이동합니다. 새 라이선스 마스터를 나타내도록 마스터 라이선스 서버 URI를 변경하고 저장을 클릭합니다. 항목을 업데이트한 라이선스 슬레이브에서 Splunk를 재시작합니다. 4. 라이선스 슬레이브 중 하나가 새 라이선스 마스터에 연결되었는지 확인합니다. 5. 이전 라이선스 마스터를 슬레이브로 강등합니다. 이전 라이선스 마스터에서 설정 > 라이선싱 > 슬레이브로 변경으로 이동합니다. 재시작 프롬프트는 무시합니다. "슬레이브로 변경" 화면에서 새 슬레이브를 새 라이선스 마스터로 지정합니다("다른 Splunk 인스턴스를 마스터 라이 선스 서버로 지정"). 6. 새 라이선스 슬레이브에서 Splunk를 중지하고 /opt/splunk/etc/licenses/enterprise/ 폴더에서 이전 라이선스 파일을 삭제 합니다. 그렇지 않으면 중복 라이선스가 생성되고 오류 또는 경고가 나타납니다. 7. 새 라이선스 슬레이브에서 Splunk를 시작하고 슬레이브가 새 라이선스 마스터에 연결되는지 확인합니다. 라이선스 사용량 보고서 뷰 Splunk Enterprise 라이선스 사용량 보고서 뷰에 대하여 라이선스 사용량 보고서 뷰 소개 라이선스 사용량 보고서 뷰(LURV)는 라이선스 용량과 인덱싱 볼륨 관련 문의에 대한 답을 제시하는 Splunk의 새로운 통합 리소스입니다. LURV는 Splunk 라이선스 사용량을 쉽고 빠르게 파악할 수 있는 방법입니다. Splunk 라이선싱 페이지에서 직 접 일별 Splunk 인덱싱 용량과 모든 라이선스 경고를 즉시 파악할 수 있으며, 다양한 보고 옵션을 사용하여 지난 30일 간의 Splunk 사용량을 종합적으로 볼 수도 있습니다. LURV는 라이선스 풀에 대해 자세한 라이선스 사용량 정보를 표시합니다. 대시보드는 논리적으로 두 부분으로 나뉩니다. 하 나는 오늘의 라이선스 사용량에 대한 정보와 모든 경고 정보를 현재 롤링 윈도우에 표시하고, 다른 하나는 지난 30일 간의 라 이선스 사용량 기록을 보여줍니다. LURV의 모든 패널 왼쪽 하단에 있는 "검색에서 열기"를 클릭하면 검색 작업을 원하는 대로 수행할 수 있습니다. 라이선스 사용량 보고서 뷰 액세스 시스템 > 라이선싱 > 사용량 보고서에서 LURV를 찾습니다. 60

61 배포 환경의 라이선스 마스터에서 LURV에 액세스합니다. 배포 환경이 하나만 있는 경우 해당 배포 환경이 자체 라이선스 마 스터가 됩니다. 오늘 탭 LURV를 처음 열면 "오늘" 탭에 패널 5개가 있음을 볼 수 있습니다. 각 패널에는 라이선스 사용 상태와 당일에 아직 해결되지 않은 경고가 표시됩니다. 라이선서의 하루는 라이선스 마스터가 설정된 시간대의 자정에 종료됩니다. "오늘" 탭의 모든 패널은 Splunk REST API를 쿼리합니다. 오늘의 라이선스 사용량 패널 이 패널에서는 오늘의 라이선스 사용량과 일별 라이선스의 총 할당량을 모든 풀에 걸쳐 측정합니다. 오늘의 풀별 라이선스 사용량 패널 이 패널에는 각 풀에 대해 라이선스 사용량과 일별 라이선스 할당량이 표시됩니다. 오늘 풀별로 사용된 일별 라이선스 할당량의 비율(%) 패널 이 패널에는 각 풀에서 인덱싱된 일별 라이선스 할당량의 비율(%)이 표시됩니다. 비율은 로그 스케일에 표시됩니다. 풀 사용량 경고 패널 이 패널에는 각 풀에서 지난 30일 동안 (또는 마지막으로 라이선스 재설정 키를 적용한 이후) 수신한 소프트 경고와 하드 경 고가 모두 표시됩니다. 소프트 경고 및 하드 경고와 라이선스 위반에 대한 자세한 내용은 이 매뉴얼의 "라이선스 위반에 대하 여"를 참조하십시오. 슬레이브 사용량 경고 패널 각 라이선스 슬레이브에 대해 이 패널에는 경고 수, 풀 구성원 자격 및 슬레이브 위반 여부가 표시됩니다. 이전 30일 탭 "이전 30일" 탭을 클릭하면 추가 패널 5개와 여러 드롭다운 옵션이 나타납니다. 각 패널에서 시각화되는 정보는 모두 차트에 표시되는 host, source, source type, index, pool(분할 기준 필드)의 수를 제한 합니다. 상이한 값이 10개보다 많은 필드가 있을 경우 10번째 값 이후의 값은 "기타"로 표시됩니다. Splunk에서는 timechart를 사용하여 차트에 표시되는 값의 최대 수를 10개로 설정했습니다. 대부분의 경우 이 설정으로 시각화 자료를 쉽 게 읽을 수 있고 충분한 정보를 제공합니다. 각 패널에는 모두 license_usage.log, type=rolloversummary(일별 합계)에서 수집된 데이터가 사용됩니다. 현지 시간으로 자정 에 라이선스 마스터 작동이 중단된 경우에는 당일의 RolloverSummary 이벤트가 생성되지 않고 각 패널에 당일 데이터가 표 시되지 않습니다. 분할 기준: 분할 없음, 인덱서, 풀 이 세 가지 분할 기준 옵션은 별도의 설명이 필요하지 않습니다. 라이선스 풀에 인덱서 추가 및 라이선스 풀에 대한 자세한 내 용은 이 매뉴얼의 앞부분에 있는 관련 장을 참조하십시오. 분할 기준: source, source type, host, index 이 네 가지 분할 기준 필드에 관해서는 보고서 가속화와 스쿼싱이라는 두 가지 사항을 알아야 합니다. 보고서 가속화 source, source type, host 기준 분할에는 실시간 사용량 통계를 1분 간격으로 제공하는license_usage.log type=usage 가 사 용됩니다. 각 분할 기준 옵션을 지원하는 보고서는 라이선스 마스터에서 가속화하는 것이 좋습니다. (가속화를 사용하지 않 으면 분당 하나의 이벤트 속도로 생성되는 30일 분량의 (엄청나게 많은 이벤트의) 데이터를 검색하므로 검색 속도가 매우 느 릴 수 있습니다.) 61

62 이 보고서의 가속화 기능은 기본적으로 사용할 수 없습니다. 보고서를 가속화하려면 이 분할 기준 값 중 하나를 선택할 때 정 보 메시지에 표시되는 링크를 클릭하십시오. 가속화 워크플로는 설정 > 검색 및 보고서 > 라이선스 사용량 데이터 큐브에서 도 찾을 수 있습니다. 보고 매뉴얼의 "보고서 가속화"를 참조하십시오. 보고서 가속화를 처음 선택한 후 실제로 가속화가 시작되려면 최대 10분의 시간이 걸릴 수 있습니다. 그런 다음 Splunk가 가 속화 요약을 작성하는 데도 요약 데이터 양에 따라 일반적으로 몇 분에서 몇십 분의 시간이 걸립니다. 가속화 요약 작성이 완 료되어야 각 분할 기준 옵션의 성능이 개선됩니다. 그러나 가속화를 처음 실행한 후 후속 보고서는 기존 정보를 토대로 하여 최신 상태로 유지되며 보고 속도도 빨라집니다. 따 라서 보고서 가속화를 처음 켰을 때만 시간이 많이 소요됩니다. 중요: 보고서 가속화는 라이선스 마스터에서만 사용하십시오. 가속화 실행 빈도는 savedsearches.conf에서 auto_summarize를 사용하여 설정하십시오. 기본 간격은 10분입니다. 빈도를 높게 설정하여 워크로드를 작고 안정적으로 유지하십시오. 10분 간격으로 3분째 되는 시점에 크론이 삽입되어 있습니다. 이 설정은 auto_summarize.cron_schedule에서 설정할 수 있습니다. 스쿼싱(Squashing) 모든 인덱서는 인덱싱한 데이터에 대한 통계를 source, source type, host 및 인덱스별로 나눠 라이선스 관리자에 주기적으 로 보고합니다. 고유한 (source, source type, host, index) 튜플의 수가 증가하여 squash_threshold를 초과하면 Splunk가 {host, source} 값을 스쿼싱(squashing)하고 {sourcetype, index}를 기준으로 분석된 통계만 보고합니다. 그 이유는 메모리 사용량과 license_usage.log의 행 수가 폭발적으로 증가하는 것을 방지하기 위해서입니다. 다른 필드의 값이 스쿼싱(squashing)되기 때문에 source type 및 index 기준 분할을 사용해야만 완전한 (전체 바이트) 보고 가 보장됩니다. source 및 host 기준 분할을 사용하면 두 필드가 여러 고유 값을 나타낼 경우 완전히 보고되지 않을 수 있습 니다. Splunk는 인덱싱된 전체 수량을 보고하지만, 이름은 보고하지 않습니다. 따라서 해당 수량을 누가 사용했는 지와 같은 세부 정보는 알 수 없지만 사용량은 알 수 있습니다. 스쿼싱(squashing)은 server.conf 또는 [license] 스탠자에서 squash_threshold 설정을 통해 설정할 수 있습니다. 값을 더 높 게 설정할 수 있지만, 그러면 메모리 사용량이 증가할 수 있으므로 변경하기 전에 Splunk Support 엔지니어와 상의하십시오. LURV는 (UI의 경고 메시지를 통해) 스쿼싱(squashing)이 수행되었는지 항상 알려줍니다. 세부 정보가 필요하면per_host_thruput을 사용하여 metrics.log에서 얻을 수 있습니다. 평균 일일 용량 기준 상위 5개 값 "상위 5개" 패널에는 각 분할 기준 메뉴에서 선택된 분할 기준 필드에 대한 상위 5개 값의 일별 평균 및 최대 사용량이 표시됩 니다. 여기서는 상위 5개의 (최대가 아닌) 평균 값이 선택됩니다. 그러므로 5가지가 넘는 source type이 있고 일반적으로 Source type F는 나머지 값보다 훨씬 더 작지만 순간적으로 최고치에 도달하는 경우입니다. Source type F의 최고 일일 사용량은 매 우 높지만, (사용량이 매우 적은 날이 많아서 평균이 낮아지므로) 평균 사용량은 여전히 매우 낮을 수 있습니다. 이 패널에는 상위 5개 평균 값이 선택되므로, source type F는 이 뷰에 표시되지 않을 수 있습니다. LURV 사용 LURV 패널을 기준으로 경고 설정에 대한 정보는 다음 항목을 참조하십시오. 라이선스 사용량 보고서 뷰 사용 이 항목에서는 라이선스 사용량 보고서 뷰(LURV) 사용에 대해 설명합니다. 이 뷰에 대해 자세히 알려면 이전 항목 "Splunk 의 라이선스 사용량 보고서 뷰에 대하여"를 참조하십시오. 경고 설정 모든 LURV 패널을 경고로 전환할 수 있습니다. 예를 들어 라이선스 사용량이 할당량의 80%에 도달할 때 경고가 생성되도 록 설정하는 경우를 가정해 보십시오. 오늘 사용된 일일 라이선스 사용 할당량의 비율(%) 패널에서 시작합니다. 패널의 왼쪽 하단에 있는 "검색창에서 열기"를 클 릭합니다. where '% used' > 80 을 추가한 다음 다른 이름으로 저장 > 경고를 선택하고 경고 마법사를 따라 진행합니다. 경고에 대한 자세한 내용은 경고 매뉴얼을 참조하십시오. LURV 문제 해결: 30일 패널에 결과 없음 라이선스 사용량 보고서 뷰의 "지난 30일" 뷰 패널에 결과가 없다면 해당 페이지를 확인하기 위해 사용한 라이선스 마스터 인스턴스에서 검색 시 $SPLUNK_HOME/var/log/splunk/license_usage.log 파일에서 이벤트를 찾을 수 없었음을 의미합니다. 이것에 대한 이유는 일반적으로 두 가지입니다. 62

63 라이선스 마스터가 이벤트를 인덱서에 포워딩하도록 설정되었지만(이 모범 사례에 대한 자세한 내용은 분산 검색 매 뉴얼 참조) 검색 헤드로 설정되지 않았습니다. 이 문제는 라이선스 마스터에서 이벤트를 포워딩하는 모든 인덱서를 검 색 피어로 추가함으로써 쉽게 교정할 수 있습니다. 라이선스 마스터는 자체 $SPLUNK_HOME/var/log/splunk 디렉터리에서 이벤트를 읽지 않습니다(그러므로 인덱싱도 하지 않습니다). 특정 이유로 [monitor://$splunk_home/var/log/splunk] 기본 데이터 입력이 비활성화된 경우 이렇게 될 수 있습니다. 라이선스 마스터가 자정에 다운된 경우에도 데이터에 공백이 발생할 수 있습니다. 분산 관리 콘솔로 Splunk Enterprise 모니터링 분산 관리 콘솔 설정 분산 관리 콘솔이란 무엇입니까? 분산 관리 콘솔을 통해 Splunk Enterprise 배포에 대한 자세한 성능 정보를 볼 수 있습니다. 이 장의 항목에서는 사용 가능한 대시보드 및 경고에 대해 설명합니다. 사용 가능한 대시보드를 통해 배포 인덱싱 성능, 검색 성능, 운영 체제 리소스 사용량, Splunk Enterprise 앱 key value 스토 어 성능 및 라이선스 사용량을 파악할 수 있습니다. 분산 관리 콘솔 찾기 Splunk Web에서 설정을 클릭한 다음 왼쪽의 분산 관리 콘솔 아이콘을 클릭합니다. 관리자만 분산 관리 콘솔(DMC)을 볼 수 있습니다. Splunk Enterprise 인스턴스에서 DMC를 독립형 모드로 남겨둘 수 있습니다. 이것은 배포에서 개별 인스턴스의 DMC로 이 동할 수 있으며 특정 인스턴스 성능을 확인할 수 있음을 의미합니다. 아니면 분산 모드에 필요한 설정 단계를 수행할 수도 있 습니다. 분산 모드를 통해 하나의 인스턴스에 로그인하고 배포에서 모든 인스턴스에 대한 성능 정보를 확인할 수 있습니다. 설정 단계(독립형 모드에 있는 경우에도)를 거쳐 기본 플랫폼 경고에 액세스할 수도 있습니다. 어떤 인스턴스가 콘솔을 호스트해야 합니까? 분산 모드로 DMC를 설정한 후 배포에서 하나의 인스턴스에서만 DMC로 이동할 수 있으며 전체 배포에 대한 콘솔 정보를 볼 수 있습니다. 분산 관리 콘솔을 호스트할 위치에는 몇 가지 옵션이 있습니다. 선택한 인스턴스는 검색 헤드로 설정되어야 합니다. 용량 계 획 매뉴얼의 "참조 하드웨어"를 참조하십시오. 보안 및 일부 성능상의 이유로 Splunk Enterprise 관리자만 이 인스턴스에 액 세스해야 합니다. 배포 서버에서 분산 모드로 DMC를 호스트하지 마십시오. 인덱서 클러스터에서: 기본적으로 클러스터 마스터에 인덱서 클러스터에서는 분산 관리 콘솔을 클러스터 마스터에 호스트하십시오. 인덱스 및 클러스터 관리 매뉴얼의 "시스템 요 구 사항"을 참조하십시오. 대안은 클러스터 내의 전용 검색 헤드입니다. 새로운 전용 검색 헤드는 다른 검색 헤드를 확인해야 합니다. 즉 검색 헤드는 "검색 헤드의 검색 헤드"여야 합니다. 클러스터 마스터를 실행하는 컴퓨터에 추가 용량이 없거나 Splunk Enterprise 6.2로 업그레이드하지 않으려는 경우 이 옵션을 사용할 수 있습니다. 클러스터 마스터에 DMC를 호스트하면 해당 대시보드를 확인 63

64 하는 데 사용한 동일한 인스턴스에서 인덱서 클러스터 관리에 액세스할 수 있습니다. 두 개 이상의 클러스터가 있는 경우 클러스터별로 하나의 분산 관리 콘솔을 활성화하십시오. 비인덱서 클러스터 환경에서 옵션 1: 라이선스 마스터에 다음이 true인 경우 라이선스 마스터에 모니터링 콘솔을 설정할 수 있습니다. 라이선스 마스터는 검색 워크로드를 처리할 수 있습니다. 즉 검색 헤드 참조 하드웨어 요구 사항을 충족하거나 초과할 수 있습니다. 용량 계획 매뉴얼의 "참조 하드웨어"를 참조하십시오. Splunk Enterprise 관리자만 전용 라이선스 마스터에 액세스할 수 있습니다. 비인덱서 클러스터 환경에서 옵션2: 새 인스턴스에 다른 옵션은 새 인스턴스를 프로비저닝하고 새 인스턴스를 검색 헤드의 검색 헤드 및 인덱서의 검색 헤드로 설정하고 여기에 서 DMC를 분산 모드로 설정하는 것입니다. 검색 헤드 클러스터 환경에서 DMC를 호스팅하는 데 주 배포 노드 또는 전용 라이선스 마스터를 사용하십시오. DMC는 검색 헤드 클러스터 구성원이 될 수 없습니다. 분산 검색 매뉴얼의 "검색 헤드 클러스터에 대한 시스템 요구 사항 및 기타 배포 고려 사항"을 참조하십시오. 분산 관리 콘솔은 검색 헤드 풀링 환경에서 지원되지 않습니다. DMC를 설정하여 배포 모니터링 전제 조건 기능적 Splunk Enterprise 배포가 있어야 합니다. 분산 배포 매뉴얼의 "분산 Splunk Enterprise 개요"를 참조하십시오. 모니터링할 모든 인스턴스는 Splunk Enterprise 6.1 이상에서 실행되어야 합니다. 배포가 양호한지, 즉 모든 피어가 작동 상태인지 확인합니다. 배포의 각 인스턴스(각 검색 헤드, 라이선스 마스터 등)가 고유한 server.conf servername 값 및 inputs.conf host 값을 가지는지 확인합니다. 내부 로그($SPLUNK_HOME/var/log/splunk 및 $SPLUNK_HOME/var/log/introspection 모두)를 다른 모든 인스턴스 유형에서 인덱서로 포워딩합니다. 분산 검색 매뉴얼에서 "검색 헤드 데이터 포워딩"을 참조하십시오. 이 단계를 수행하지 않으 면 많은 대시보드에 데이터가 부족하게 됩니다. 다른 인스턴스 유형에는 다음이 포함됩니다. 검색 헤드 라이선스 마스터 클러스터 마스터 배포 서버 검색 피어로 인스턴스 추가 1. 분산 관리 콘솔을 설정하려는 인스턴스에 로그인합니다. 2. Splunk Web에서 설정 > 분산 검색 > 검색 피어를 선택합니다. 3. 각 검색 헤드, 배포 서버, 라이선스 마스터 및 독립형 인덱서를 분산 관리 콘솔을 호스팅하는 인스턴스에 분산 검색 피어로 추가합니다. 클러스터된 인덱서를 추가할 필요는 없지만 클러스터된 검색 헤드는 추가해야 합니다. 분산 모드로 DMC 설정 1. 분산 관리 콘솔을 설정하려는 인스턴스에 로그인합니다. 기본적으로 독립형 모드에서 인스턴스는 설정되어 있지 않습니 다. 64

65 2. Splunk Web에서 분산 관리 콘솔 > 설정을 선택합니다. 3. 왼쪽 상단에서 분산 모드를 설정합니다. 4. 다음을 확인합니다. 인스턴스 및 컴퓨터 레이블이 표시된 컬럼이 올바르게 채워지고 컬럼 내의 고유한 값으로 채워져 있는지 확인합니다. 참고: 배포에 Splunk Enterprise 6.1.x( 대신)를 실행하는 노드가 있는 경우 해당 인스턴스(호스트) 및 컴퓨터 값 은 채워지지 않습니다. 컴퓨터의 값을 찾으려면 6.1.x 인스턴스에 로그인하고 *nix 또는 Windows에서 hostname을 실행하십시오. 여기 서 컴퓨터는 컴퓨터의 FQDN을 나타냅니다. 인스턴스(호스트)의 값을 찾으려면 다음 btool( splunk cmd btool inputs list default)을 사용하십시오. 해당 값을 알고 있는 경우 설정 페이지에서 편집 > 인스턴스 편집을 클릭합니다. 팝업에 입력해야 하는 두 개의 필드 즉, 인스턴스(호스트) 이름 및 컴퓨터 이름 필드가 나타납니다. 서버 역할(기본 또는 주요 역할)이 올바른지 확인합니다. 예를 들어, 라이선스 마스터인 검색 헤드에는 두 역할이 모두 표시되어 있어야 합니다. 그렇지 않으면 편집을 클릭하여 수정하십시오. 인덱서 클러스터링을 사용하는 경우 클러스터 마스터가 식별되는지 확인합니다. 그렇지 않으면 편집을 클릭하여 수정 하십시오. 주의: 인덱서로 표시된 모든 항목이 실제로 인덱서인지 확인하십시오. 5. (선택 사항) 사용자 지정 그룹을 설정합니다. 사용자 지정 그룹은 분산 검색 그룹에 직접 매핑하는 태그입니다. DMC 설정 을 처음 수행하는 경우(또는 그 이전)에는 그룹을 추가할 필요가 없습니다. 예를 들어, 멀티사이트 인덱서 클러스터링(각 그 룹이 하나의 위치에서 인덱서로 구성될 수 있음) 또는 인덱서 클러스터와 독립형 피어를 가진 경우, 그룹이 유용한 것을 알 수 있을 것입니다. 사용자 지정 그룹은 중복이 허용됩니다. 즉, 하나의 인덱서가 여러 그룹에 속할 수 있습니다. 분산 검색 매뉴 얼의 분산 검색 그룹을 참조하십시오. 6. 저장을 클릭합니다. 7. (선택 사항) 플랫폼 경고를 설정합니다. 이후에 다른 노드를 배포에 추가하는 경우 설정으로 돌아가 4단계의 항목이 정확한지 확인합니다. 단일 인스턴스에 설정 자체로 작동되는 단일 Splunk Enterprise 인스턴스에서는 플랫폼 경고를 사용하기 전에 독립형 모드를 설정해야 합니다. 설정하려면 다음 작업을 수행하십시오. 1. DMC에서 설정 페이지로 이동합니다. 2. 검색 헤드, 라이선스 마스터 및 인덱서가 서버 역할 아래에 나열되어 있고 다른 역할에는 나열되어 있지 않음을 확인합니 다. 그렇지 않은 경우 편집을 클릭합니다. 3. 변경 사항 적용을 클릭하여 설정을 완료합니다. 플랫폼 경고 플랫폼 경고란 무엇입니까? 플랫폼 경고는 분산 관리 콘솔(DMC)에 포함된, 저장된 검색입니다. 플랫폼 경고는 Splunk Enterprise 환경을 저해할 수 있 는 조건을 Splunk Enterprise 관리자에게 알립니다. 포함된 플랫폼 경고는 REST endpoint에서 해당 데이터를 가져옵니다. 플랫폼 경고는 기본적으로 비활성화되어 있습니다. 플랫폼 경고 활성화 전제 조건 분산 관리 콘솔을 설정하고 DMC에서 설정을 클릭합니다. "분산 관리 콘솔 설정"을 참조하십시오. 배포에서 경고에 대한 경고 알림을 설정합니다. 1. DMC 개요 페이지에서 경고 > 활성화 또는 비활성화를 클릭합니다. 2. 활성화하려는 경고 옆에 있는 사용 가능 확인란을 클릭합니다. 경고가 트리거된 후 개요 > 경고 > 트리거된 경고 관리로 이동하여 경고 및 경고의 결과를 볼 수 있습니다. 65

66 이메일 알림과 같이 설정할 수 있는 경고 작업에 대해 플랫폼 경고 설정을 참조하십시오. 플랫폼 경고 설정 DMC에서 개요 > 경고 > 활성화 또는 비활성화로 이동합니다. 설정할 경고를 찾은 후 편집을 클릭합니다. 기본 설정을 보고 다음과 같은 매개 변수를 변경할 수 있습니다. 경고 예약 제거 시간 경고 작업(예: 이메일) 경고 매뉴얼의 "경고 작업 설정" 및 모든 경고 옵션을 참조하십시오. $SPLUNK_HOME/etc/apps/splunk_management_console/default/savedsearches.conf에서 플랫폼 경고에 대한 기본 매개 변수의 전 체 리스트를 볼 수도 있습니다. 직접 설정 파일을 편집하도록 선택하는 경우 기본값 대신 로컬 디렉터리에서 새로운 설정을 지정합니다. 어떤 경고가 포함됩니까? 플랫폼 경고로 배포 모니터링을 시작하려면 원하는 개별 경고를 활성화해야 합니다. "플랫폼 경고 활성화"를 참조하십시오. 경 고 이 름 인덱 서 프 로세 서의 비정 상적 인 상 태 설명 하나 이상의 인덱서가 비정상적인 상태를 보고할 때 발생합 니다. 이 비정상적인 상태는 조절 또는 중단될 수 있습니다. 참고 항목 어떤 인덱서가 어떤 비정상적인 상태인지에 대한 자세한 내용을 확인하고 원인을 조사하려면 DMC 인덱싱 성능: 배포 대시보드의 인스턴스별 인덱싱 성능 패널을 참조하십시오. 대시보드에 대한 내용 은 "인덱싱 성능: 배포" 및 "인덱싱 작동 방식"을 참조하십시오. 심각 한 시 스템 물리 적 메 모리 사용 량 하나 이상의 인스턴스가 90%의 메모리 사용량을 초과할 때 발생합니다. 대부분의 Linux 배포에서 OS가 버퍼 및 파일 시 스템 캐시 작업을 수행하고 있는 경우 이 경고는 트리거될 수 있습니다. 다른 프로세스에 메모리가 필요한 경우 OS가 이 메모리를 릴리스하므로 이것이 항상 심각한 문제를 나타내는 것은 아닙니다. 인스턴스 메모리 사용량에 대한 자세한 내용은 DMC 리소스 사용량: 배포 대시보드로 이동하여 이 매뉴얼의 "리소스 사용량: 배포"를 참조하십시 오. 심각 에 가 까운 디스 크 사 용량 디스크 용량의 80%를 사용할 때 발생합니다. 디스크 사용량에 대한 자세한 내용은 세 개의 DMC 리소스 사용량 대시보드로 이동하여 이 매 뉴얼의 해당 항목을 읽으십시오. 포화 상태 의 이 벤트 처리 대기 열 하나 이상의 인덱서 대기열이 지난 15분간 평균이 90% 이상 인 적재 백분율을 보고할 때 발생합니다. 이 경고를 통해 잠재 적인 인덱싱 대기 시간을 알 수 있습니다. 인덱서 대기열에 대한 자세한 내용은 두 개의 DMC 인덱싱 성능 대시보드로 이동하여 이 매뉴 얼의 해당 항목을 읽으십시오. 응답 하지 않는 검색 피어 일별 할당 량에 가까 운 총 라이 선스 사용 량 검색 피어(인덱서)의 모든 항목이 응답하지 않을 때 발생합니 다. 전체 일별 라이선스 할당량의 90%를 사용할 때 발생합니다. 모든 인스턴스 상태에 대한 내용은 DMC 인스턴 스 뷰를 참조하십시오. 라이선스 사용량에 대한 자세한 내용은 DMC에서 라이선싱을 클릭합니다. 검색 아티팩트에 대하여 66

67 savedsearches.conf에서 dispatch.ttl 설정은 플랫폼 경고에서 검색이 4시간 동안 검색 아티팩트를 유지하도록 지시합니 다. 그러나 경고가 트리거되는 경우 해당 검색 아티팩트가 7일 동안 유지됩니다. 이는 트리거된 경고의 검색 결과를 검사하도록 이메일에 전송된 링크가 7일(기본값) 후에 만료됨을 의미합니다. 인덱싱 성능: 인스턴스 이 뷰에는 무엇이 표시됩니까? 배포에서 잠재적으로 여러 개인 인스턴스 중 하나에서 인덱싱 성능에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 Splunk Enterprise 데이터 파이프라인이라는 스냅샷 패널은 대기열 크기에 대한 감속 평균을 표시합니다. 평균은 이전 15 분간의 데이터를 사용합니다. 데이터 처리 대기열의 중간값 Fill Ratio historical 패널과 함께 이 패널을 사용하여 특정 대기 열에 대한 인덱싱 대기 시간의 원본 범위를 좁힐 수 있습니다. 데이터는 파싱에서 시작하고 데이터 파이프라인을 통해 인덱 싱까지 이동합니다. 인덱서 프로세서 작업당 소요된 CPU Seconds 집계 패널을 통해 "하위 작업별 인덱스 서비스 분할"을 수행할 수 있습니다. 여러 개의 인덱스 서비스는 인덱싱 후의 준비 및 정리와 관련된 하위 작업입니다. 이 뷰에서 주의할 사항 데이터 처리 대기열의 중간값 Fill Ratio historical 패널과 함께 Splunk Enterprise 데이터 파이프라인 패널을 사용하여 특 정 대기열에 대한 인덱싱 대기 시간의 원본 범위를 좁힐 수 있습니다. 데이터는 파싱에서 시작하고 데이터 파이프라인을 통 해 인덱싱까지 이동합니다. 다음은 양호하지 않은 대기열을 가진 인스턴스에 있는 패널의 예제입니다. 이 예제에서는 파싱 및 aggregator 대기열의 매우 높은 fill ratio에도 불구하고 입력 대기열에서의 처리가 문제일 수 있습니 다. 입력 대기열이 속도가 저하되는 첫 번째 대기열이며 데이터가 입력 대기열로 가져오기를 기다리는 동안 다른 두 개의 대 기열로 백업됩니다. 이 뷰 문제 해결 스냅샷 패널은 인트로스펙션을 위해 Splunk REST endpoint에서 데이터를 가져옵니다. 스냅샷 패널에 데이터가 부족한 경 우 플랫폼 계측에 필요한 시스템 요구 사항을 확인하십시오. 이 뷰에 대한 historical 패널은 metrics.log에서 데이터를 가져옵니다. 인덱싱 성능: 배포 이 뷰에는 무엇이 표시됩니까? Splunk Enterprise 배포에서 인덱싱 성능에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 인덱싱 성능의 개요 패널에서 전체 인덱싱 속도는 모든 인덱서에 걸쳐 집계됩니다. 예상 인덱싱 속도별 인스턴스 패널에서 인덱싱 속도는 기본적으로 각 유형에 대해 상위 10개의 결과만 얻는 metrics.log를 사용하므로 이를 예상할 수 있습니다. 문제 해결 매뉴얼의 "metrics.log에 대하여"를 참조하십시오. 이 뷰 문제 해결 스냅샷 패널은 인트로스펙션을 위해 Splunk REST endpoint에서 데이터를 가져옵니다. 스냅샷 패널에 데이터가 부족한 경 우 플랫폼 계측에 필요한 시스템 요구 사항을 확인하십시오. 이 뷰에 대한 historical 패널은 metrics.log에서 데이터를 가져옵니다. 67

68 검색 작업: 인스턴스 이 뷰에는 무엇이 표시됩니까? 검색 작업에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 검색의 중간값 리소스 사용량 패널에서 다음을 참조하십시오. 리소스 사용량은 모든 검색에 대해 집계됩니다. 메모리 사용량은 물리적 메모리를 나타냅니다. 이 차트에서 CPU 사용량은 시스템 전체 CPU 사용량이 아닌 하나의 코어의 백분율로 표시됩니다. 결과적으로 여기에 서는 100%보다 큰 값을 보게 되지만 분산 관리 콘솔에 있는 CPU 사용량의 다른 예제는 그렇지 않습니다. 검색 실행 시간 집계 패널에서 다음을 참조하십시오. 차트에서 각 시간 빈의 경우 DMC는 해당 시간 범위 동안 실행된 모든 검색의 실행 시간을 합산합니다. 따라서 예를 들 면 5분 이내에 1000초의 검색을 볼 수 있습니다. 이는 다중 검색이 5분 동안 실행되었음을 의미합니다. Historical batch 및 RT indexed 모드에 대해 historical batch는 Splunk Enterprise(예: 스케줄러) 내의 특정 기능에 의 해서만 발송될 수 있습니다. RT indexed는 인덱스된 실시간을 의미합니다. 메모리를 많이 사용하는 상위 10개 검색 패널에서 SID는 검색 ID를 의미합니다. 저장된 검색에 대한 정보를 찾는 경우 audit.log는 저장된 검색(savedsearch_name)을 해당 검색 ID(search_id), 사용자 및 시간의 이름과 일치시킵니다. search_id로 Splunk 검색 로그("Splunk가 Splunk에 대해 로깅하는 내용" 참조)에서와 같이 다른 곳에서 해당 검색을 조회할 수 있습니다. 이 뷰에서 조회할 항목 시스템 제한과 비교하여 검색 동시성 및 리소스 사용량을 고려하십시오. 참고 항목: 검색 매뉴얼의 "보다 효율적인 검색 작성" 검색 매뉴얼의 "검색에 대하여" 보고 매뉴얼의 "예약된 보고서의 우선 순위 설정" Knowledge 관리자 매뉴얼의 "요약 기반 검색 및 피벗 가속화 개요" 이 뷰 문제 해결 검색 작업 패널에서 스냅샷은 기본적으로 매 10초마다 측정됩니다. 그래서 현재 실행되는 검색이 없거나 검색이 매우 짧게 실행되는 경우, 스냅샷 패널이 공백으로 표시되고 "결과를 찾을 수 없습니다."라는 메시지가 나타납니다. Historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 검색 작업: 배포 이 뷰에는 무엇이 표시됩니까? Splunk Enterprise 배포에서 검색 작업에 대한 여러 개의 검색 패널이 표시됩니다. 이 뷰에서 결과 해석 여기에 표시된 메모리 및 CPU 사용량은 검색 전용입니다. 모든 Splunk Enterprise 리소스 사용량에 대한 리소스 사용량 대 시보드를 참조하십시오. 중간값 CPU 사용량별 인스턴스 패널에서 CPU는 다중 코어로 인해 100%보다 클 수 있습니다. 중간값 메모리 사용량별 인스턴스 패널에서 메모리는 물리적입니다. Historical batch 및 RT indexed 모드의 경우 historical batch는 Splunk Enterprise(예: 스케줄러) 내의 특정 기능에 의해서만 발송될 수 있습니다. RT indexed는 인덱스된 실시간을 의미합니다. 이 뷰에서 조회할 항목 컴퓨터에서 제한 초과에 근접한 항목을 검색합니다. 참고 항목: 68

69 검색 매뉴얼의 "보다 효율적인 검색 작성" 검색 매뉴얼의 "검색에 대하여" 보고 매뉴얼의 "예약된 보고서의 우선 순위 설정" 용량 계획 매뉴얼의 "여러 동시 검색 지원" 이 뷰 문제 해결 Historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 검색 사용량 통계: 인스턴스 이 뷰에는 무엇이 표시됩니까? 검색 사용량 통계에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 오래 걸리는 검색 패널에서: ZERO_TIME의 시작 시간은 검색이 epoch까지 실행됨을 의미합니다. ZERO_TIME의 종료 시간은 검색이 발생한 순간까지 검색이 수행됨을 의미합니다. 시작 시간과 종료 시간이 모두 ZERO_TIME으로 나열된 경우에는 전체 시간 검색을 나타냅니다. 공통 검색 명령어 패널에서 실행 시간은 초로 표시됩니다. 이 뷰에서 주의할 사항 오래 걸리는 검색을 살펴보는 것은 좋은 방법입니다. 최적화할 수 있는 검색을 찾을 수도 있기 때문입니다. 자세한 내용은 검색 매뉴얼의 "보다 효율적인 검색 작성"을 참조하십시오. 이 뷰 문제 해결 이 뷰에서 historical 패널은 audit.log에서 해당 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누 락한 경우 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부를 확인하십시오. 오래 걸리는 검색 패널도 REST endpoint의 정보를 사용합니다. 리소스 사용량: 인스턴스 이 뷰에는 무엇이 표시됩니까? 검색 작업에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 두 개의 "프로세스 클래스" 패널에서 프로세스 클래스는 splunkd 서버, 검색, Splunk Web, 인덱스 서비스, 스크립트 기반 입 력, KV 스토어 또는 다른 항목일 수 있습니다. 프로세스 클래스는 하나의 클래스 내에서 프로세스를 집계하는 것을 의미합니다. 참고 항목: splunkd의 경우, 설치 매뉴얼의 "Splunk Enterprise 아키텍처 및 프로세스"를 참조하십시오. 검색의 경우, 검색 매뉴얼의 "검색에 대하여" 및 "보다 효율적인 검색 작성"을 참조하십시오. splunkweb의 경우, 설치 매뉴얼의 "Splunk Enterprise 아키텍처 및 프로세스"를 참조하십시오. 스크립트 기반 입력의 경우, 데이터 가져오기 매뉴얼의 "스크립트 기반 입력을 통해 API 및 기타 원격 데이터 인터페이 스에서 데이터 가져오기"를 참조하십시오. KV 스토어의 경우, DMC의 "KV 스토어: 인스턴스" 뷰를 참조하십시오. 인덱스 서비스는 인덱싱과 관련한 하우스키핑 작업으로 구성됩니다. 하우스키핑 작업은 인덱싱 파이프라인의 끝에 실행되지 만 비동기입니다. 이러한 프로세스는 splunkd를 통해서 실행되지 않고 자체적으로 실행됩니다. 디스크 사용량 및 중간값 디스크 사용량 패널에는 Splunk Enterprise가 사용하는 파티션만 나열됩니다. 이 뷰에서 주의할 사항 많은 리소스를 사용하는 프로세스 클래스가 검색으로 판명되는 경우 검색 작업: 인스턴스 대시보드로 이동합니다. 오래 걸리는 프로세스의 경우 주의깊게 살펴봐야 할 문제점은 시간이 지남에 따라 메모리 사용량이 계속 늘어난다는 것입니 다. 69

70 이 뷰 문제 해결 Historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 리소스 사용량: 서버 이 뷰에는 무엇이 표시됩니까? 검색 작업에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 이 뷰는 용량 계획은 물론 작동상의 사후 분석에도 유용할 수 있습니다. 자세한 내용은 용량 계획 매뉴얼을 참조하십시오. 이 뷰에서의 물리적 메모리 사용량에 대하여: Linux에서 OS는 파일 시스템 리소스를 캐시하기 위해 사용 가능한 물리적 메 모리를 사용하기 시작합니다. 그러나 메모리의 경계가 고정되어 있지 않으므로, 더 높은 우선 순위의 프로세스에서 메모리를 필요로 하는 경우 필요한 메모리를 해당 프로세스에서 우선적으로 확보할 수 있습니다. 그러므로 DMC 보고에서는 이러한 방식으로 고정된 대략적인 메모리의 양을 파악할 수 없습니다. 중간값 CPU 사용량 패널에서 100%는 여러 코어가 있는 전체 시스템을 의미하지만 이는 검색 작업 대시보드에 반대되며 여 기서 100%는 하나의 코어를 의미합니다. 이 뷰에서의 디스크 공간은 Splunk가 있는 파티션만을 나타냅니다. 이 뷰에서 주의할 사항 오래 걸리는 프로세스의 경우 주의깊게 살펴봐야 할 문제점은 시간이 지남에 따라 메모리 사용량이 계속 늘어난다는 것입니 다. 이 뷰 문제 해결 Historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 리소스 사용량: 배포 이 뷰에는 무엇이 표시됩니까? 검색 작업에 대한 여러 개의 패널이 표시됩니다. 이 뷰에서 결과 해석 이 뷰에서의 물리적 메모리 사용량에 대하여: Linux에서 OS는 파일 시스템 리소스를 캐시하기 위해 사용 가능한 물리적 메 모리를 사용하기 시작합니다. 그러나 메모리의 경계가 고정되어 있지 않으므로, 더 높은 우선 순위의 프로세스에서 메모리를 필요로 하는 경우 필요한 메모리를 해당 프로세스에서 우선적으로 확보할 수 있습니다. 그러므로 DMC 보고에서는 이러한 방식으로 고정된 대략적인 메모리의 양을 파악할 수 없습니다. 배포 전역에서의 중간값 디스크 사용량 패널은 각 Splunk Enterprise 인스턴스에 의해 사용 중인 모든 파티션을 고려합니다. 이 뷰에서 주의할 사항 이 뷰의 공통 테마는 인스턴스가 값 범위별로 그룹화되었다는 것입니다. 한 가지 흥미로운 것은 다른 인스턴스와 비슷하지 않은 이상값: 인스턴스입니다. 시간이 지남에 따라 표시되는 패턴도 살펴봐야 합니다. 이 뷰 문제 해결 Historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 KV 스토어: 인스턴스 70

71 이 뷰에는 무엇이 표시됩니까? DMC의 인스턴스 수준 KV 스토어 뷰는 앱 key-value 스토어를 실행하는 단일 Splunk Enterprise 인스턴스에 대한 성능 정보 를 표시합니다. 분산 배포로 DMC를 설정한 경우 배포에서 표시될 인스턴스를 선택할 수 있습니다. 성능 메트릭 컬렉션 메트릭은 /services/server/introspection/kvstore/collectionstats REST endpoint에서 데이터의 historical 레코드 인 _introspection 인덱스의 KVStoreCollectionStats 구성 요소에서 발생합니다. 메트릭은 다음과 같습니다. 애플리케이션. 컬렉션이 속한 애플리케이션입니다. 컬렉션. KV 스토어에서의 컬렉션 이름입니다. 개체 수. 컬렉션에 저장된 데이터 개체 수입니다. 가속화. 컬렉션에 설정된 가속화 수입니다. 참고: 이것은 성능 및 검색 가속화에 사용된 기존의 데이터베이스 스타일 인덱스입니다. 가속화 크기. 컬렉션에 설정된 인덱스 크기(MB)입니다. 컬렉션 크기. 컬렉션에 저장된 모든 데이터 크기(MB)입니다. 스냅샷은 관련 인트로스펙션 구성 요소에서 가장 최근 정보를 전송하는 REST endpoint를 통해 수집됩니다. KV 스토어 인 스턴스 스냅샷은 endpoint /services/server/introspection/kvstore/serverstatus를 사용합니다. Historical 잠금 백분율 - 시스템에서 전역 읽기 또는 쓰기 잠금을 유지하는 KV 스토어 가동 시간의 백분율입니다. 잠금 백분율이 높으면 전반적으로 영향을 미칩니다. 이로 인해 복제가 필요하거나 애플리케이션 호출이 느려지고 시간이 초과되거나 실패할 수도 있습니다. 페이지 오류 백분율 - 페이지 오류가 발생한 KV 스토어 작업의 백분율입니다. 1에 가까운 백분율은 시스템 성능 저하 를 의미하며 KV 스토어가 메모리에서 효율적으로 데이터 스토어에 액세스하지 않고 디스크 I/O에서 강제로 폴백하므 로 지속적인 지연을 나타내는 선행 지표가 됩니다. 메모리 사용량 - KV 스토어에서 사용 중인 매핑된 상주 가상 메모리의 양입니다. 가상 메모리 사용량은 일반적으로 KV 스토어에 대해 매핑된 메모리 사용량의 2배입니다. 3배를 초과하는 가상 메모리 사용량은 메모리 부족을 나타냅니 다. 네트워크 트래픽 - KV 스토어 네트워크 트래픽의 총 유입량(MB) 및 총 유출량(MB)입니다. 플러시 백분율- KV 스토어에서 모든 디스크 쓰기를 플러시하는 데 소요되는 시간(분)의 백분율입니다. 1에 가까울수 록 디스크 쓰기가 어렵거나 많은 양의 쓰기 작업이 지속적으로 수행되고 있음을 나타냅니다. 일부 OS에서는 60초보 다 빠르게 데이터를 플러시할 수 있습니다. 이러한 경우 이 숫자는 쓰기 병목 현상이 있더라도 작을 수 있습니다. 작업 수 - KV 스토어에 대해 실행한 작업 수입니다. 명령, 업데이트, 쿼리, 삭제, getmore, 삽입이 여기에 포함됩니다. 인트로스펙션 프로세스는 KV 스토어 통계를 전달하도록 명령을 보내므로 명령 카운터는 일반적으로 대부분의 작업보 다 높습니다. 현재 연결 수 - KV 스토어에 열려 있는 연결 수입니다. 총 대기열 수 - 잠금을 기다리는 대기열에 있는 총 작업 수입니다. 총 Assert(어설트) 수 - KV 스토어에서 발생한 총 Assert(어설트) 수입니다. 음수가 아닌 수는 KV 스토어 로그를 확인 할 필요가 있음을 나타냅니다. 이 절의 통계 중 많은 항목이 스냅샷 섹션에 있습니다. Historical 뷰는 시간 간격 집합의 메트릭에 대한 동향 정보를 나타냅 니다. 이러한 통계는 KVStoreServerStats에 수집됩니다. 기본적으로 Historical 패널은 지난 4시간 동안의 정보를 표시합 니다. 이 섹션에 있는 그래프의 모든 공백은 일반적으로 KV 스토어 또는 Splunk Enterprise가 연결할 수 없는 점을 나타냅니 다. 메모리 사용량 - 위 내용 참조 복제 지연. 기본 OpLog에 기록된 마지막 작업과 보조 노드에 적용된 마지막 작업 간의 시간 간격입니다. 기본 oplog 창을 초과하는 복제 지연으로 인해 데이터가 올바르게 복제 집합의 모든 노드에 복제되지 않을 수 있습니다. 복제 기능 이 없는 독립형 인스턴스에서 이 패널은 어떠한 결과도 반환하지 않습니다. 참고: 복제 지연은 _introspection 인덱스 의 KVStoreReplicaSetStats 구성 요소에 수집됩니다. 작업 수(분별 평균) - 위 내용 참조 이 패널은 개별 작업 유형(예를 들어, 명령, 업데이트, 삭제) 또는 모든 작업 유형을 보여줍니다. Assert(어설트) 수 - 위 내용 참조 이 패널을 통해 Assert(어설트) 유형(메시지, 정규, 롤오버, 사용자, 경고)에 기반하여 필터링을 수행할 수 있습니다. 잠금 백분율 - 위 내용 참조 잠금 유형별로 이 패널을 필터링할 수 있습니다. 읽기. 읽기 작업 잠김 쓰기. 쓰기 작업 잠김. KV 스토어 잠금은 "writer greedy"입니다. 쓰기 잠금은 컬렉션에 있는 총 잠금 수의 대부 분을 차지할 수 있습니다. 전역. 전역 시스템으로 인해 잠김. 컬렉션 수준을 구현하는 KV 스토어는 전역 잠금의 공격적인 사용에 대한 필요 성을 줄여줍니다. 전체 작업의 페이지 오류(백분율로 표시) - 위 내용 참조 네트워크 트래픽 - 위 내용 참조 이 패널에 추가된 항목은 KV 스토어에 대한 요청 수입니다. 시간에 따른 대기열. 다음 기준으로 구분된 대기열 수: 합계 - 위 내용 참조 읽기 - 읽기가 허용되기를 기다리는 읽기 작업 수 쓰기 - 쓰기가 허용되기를 기다리는 쓰기 작업 수 시간에 따른 연결 수 - 위 내용 참조 디스크 플러싱에 소요되는 각 분의 퍼센트 - 위 내용 참조 가장 느린 작업. 선택된 시간 범위에서 KV 스토어에 기록된 가장 느린 10개의 작업입니다. 모든 컬렉션에 대해 프로파 일링하는 경우 매우 느리게 작업을 실행하더라도 아무런 결과를 얻을 수 없습니다. collections.conf에서 컬렉션별로 프로파일링을 활성화하십시오. 71

72 이 뷰는 어디에서 데이터를 수집합니까? KV 스토어는 _introspection 인덱스에서 데이터를 수집합니다. 이러한 통계는 다음 구성 요소로 나뉩니다. KVStoreServerStats - KV 스토어 프로세스가 전체적으로 수행되는 방법에 대한 정보입니다 (KV 스토어 서버). 27초 간격으로 폴링됩니다. KVStoreCollectionStats - KV 스토어 내의 컬렉션에 대한 정보입니다. 10분 간격으로 폴링됩니다. KVStoreReplicaSetStats - KV 스토어 인스턴스의 복제 데이터에 대한 정보입니다. 60초 간격으로 폴링됩니다. KVProfilingStats - 느린 작업에 대한 정보입니다. 5초 간격으로 폴링되며, 프로파일링이 활성화된 경우에만 사용할 수 있습니다. 참고: 개발 시스템에서만 프로파일을 활성화하거나 기본 패널에서 사용 가능한 성능 이외의 KV 스토어 성 능 관련 문제를 해결하기 위해 프로파일을 활성화하십시오. 프로파일링은 시스템 성능에 부정적인 영향을 미칠 수 있 으므로 운영 중인 환경에서는 활성화하지 않아야 합니다. 또한 KV 스토어는 Splunk Enterprise에서 수집된 많은 내부 로그에서 항목을 생성합니다. 이 뷰에서 결과 해석 성능 표시기 및 빨간색 플래그에 대한 내용은 이 매뉴얼의 "KV 스토어: 배포"를 참조하십시오. 이 뷰 문제 해결 Historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 이 섹션에 있는 그래프의 시간 차이는 일반적으로 KV 스토 어 또는 Splunk Enterprise가 연결할 수 없는 점을 나타냅니다. 패널이 완전히 공백으로 표시되거나 특정 Splunk Enterprise 인스턴스에서 데이터를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 KV 스토어: 배포 이 뷰에는 무엇이 표시됩니까? 분산 관리 콘솔(DMC)의 KV 스토어: 배포 뷰에서는 Splunk Enterprise 배포에서 모든 KV 스토어에 걸쳐 집계된 정보를 제 공합니다. 이 뷰에 포함될 인스턴스의 경우 해당 인스턴스는 KV 스토어의 서버 역할로 설정되어야 합니다. DMC 설정 페이 지에서 이를 수행하십시오. 이 뷰 및 KV 스토어: 인스턴스 뷰는 대부분 동일한 정보를 추적합니다. 이 배포 뷰는 KV 스토어에서 통계를 수집하고 다른 메트릭의 값을 기준으로 그룹화된 인스턴스를 표시하는 것이 다른 점입니다. 개별 대시보드 및 메트릭에 대한 정의 및 컨텍스트는 이 장의 "KV 스토어: 인스턴스"를 참조하십시오. 성능 메트릭 배포 스냅샷 배포 스냅샷 통계는 /services/server/introspection/kvstore/serverstatus REST endpoint에 액세스합니다. 배포에서 각 KV 스토어 인스턴스에 대해 배포 스냅샷은 다음 정보를 제공합니다. 인스턴스. Splunk Enterprise 인스턴스 이름입니다. 메모리 사용량 전체 대기 현재 연결 수 작업당 페이지 오류 잠금(%) 마지막 플러시(ms) 네트워크 트래픽(MB) 가동 시간(시간). 현재 인스턴스가 재시작 없이 실행되는 시간입니다. 복제 역할. 인스턴스가 복제 집합에서 수행하는 역할입니다. 인스턴스가 복제 집합의 부분이 아닌 경우 "N/A"가 반환 됩니다. 이 뷰는 어디에서 데이터를 수집합니까? 이 장의 "KV 스토어: 인스턴스"를 참조하십시오. "스냅샷"이 측정된 시간 범위는 언제입니까? 이 장의 "KV 스토어: 인스턴스"를 참조하십시오. 이 뷰 해석 72

73 패널 심각함 경고 보통 해석 작업 당 페이 지 오류 1.3 이상 읽기에 많은 양의 디스크 I/O가 필요합니다. 이는 더 많은 RAM이 필요함을 나 타낼 수 있습니다 읽기에 정 기적으로 디스크 I/O 가 필요합 니다 읽기에 디 스크 I/O가 거의 필요 하지 않습 니다. 읽기 요청이 Splunk Enterprise의 메모리에 있는 것으로 충 족되지 않는 빈도를 측정하고 Splunk Enterprise가 디스크 에 컨택하는 것을 요청합니다. 잠금 백분 율 네트 워크 트래 픽 복제 대기 시간 기본 작업 로그 윈도 우 플러 싱 비율 50% 이상 30% 50% 0 30% N/A N/A N/A >30초 10 30초 0 10초 N/A N/A N/A 50% 100% 10% 50% 0 10% 잠금 백분율이 높으면 복제가 필요하고 애플리케이션 호출 이 느려지고 시간이 초과되거나 실패할 수 있습니다. 잠금 백분율이 높으면 일반적으로 노드에서 많은 양의 쓰기 작 업이 실행되고 있음을 의미합니다. 네트워크 트래픽은 시스템 사용 및 애플리케이션 기대값에 비례해야 합니다. 기본 임계값이 적용되지 않습니다. 복제 필요성은 시스템에 따라 다릅니다. 일반적으로 복제 집합 구성원은 KV 캡틴 뒤에 현저히 감소하지 않아야 합니 다. 30초를 넘는 복제 대기 시간은 마운팅 복제 문제를 나 타낼 수 있습니다. 참조용으로 제공됩니다. 이는 시스템이 복원을 위해 작업 로그에 저장한 시간 측면에서의 데이터 양입니다. 높은 플러시 비율은 많은 양의 쓰기 작업 또는 시스템 성능 저하를 나타냅니다. 이 뷰 문제 해결 Historical 패널은 _introspection 및 _internal 인덱스에서 데이터를 가져옵니다. 이러한 패널의 시간 차이는 KV 스토어 또는 Splunk Enterprise가 연결할 수 없는 점을 나타냅니다. 패널이 완전히 공백으로 표시되거나 특정 Splunk Enterprise 인스턴 스에서 데이터를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 로그를 포워딩하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 라이선싱 분산 관리 콘솔(DMC)의 라이선싱 뷰에는 라이선스 사용량 보고서 뷰와 동일한 정보가 표시됩니다. 라이선스 마스터 대신 DMC를 통해 이 뷰에 액세스하면 배포에 여러 개의 라이선스 마스터가 있는 경우 보려는 라이선스 마스터 정보를 DMC 뷰 에서 선택할 수 있다는 장점이 있습니다. 이 뷰의 정보에 대한 자세한 내용은 이 매뉴얼의 "Splunk Enterprise 라이선스 사용량 보고서 뷰에 대하여"를 참조하십시오. 앱 key value 스토어 관리 앱 key value 스토어에 대하여 앱 key value 스토어(또는 KV 스토어)에서는 Splunk 앱 내에서 데이터를 저장하고 검색하는 방법을 제공하여 애플리케이션 의 상태를 관리하고 유지할 수 있습니다. Splunk 앱에서 KV 스토어를 사용할 수 있는 방법은 다음과 같습니다. 하나의 사용자에서 다른 사용자로 문제를 이동시키는 인시던트-리뷰 시스템의 워크플로 추적 사용자가 제공한 환경 자산 리스트 유지 작업 대기열 제어 사용자가 앱과 상호작용할 때 사용자 또는 애플리케이션 상태를 저장하여 UI 세션 관리 사용자 메타데이터 저장 Splunk 또는 외부 데이터 저장소별 검색 쿼리에서 결과 캐싱 모듈러 입력에 대한 체크포인트 데이터 저장 KV 스토어 사용에 대한 자세한 내용은 Splunk 앱 개발자용 앱 key value 스토어 설명서를 참조하십시오. KV 스토어가 배포에서 작동하는 방법 73

74 KV 스토어는 데이터를 컬렉션에서 키 값 쌍으로 저장합니다. 주요 개념은 다음과 같습니다. 컬렉션은 데이터베이스 테이블과 유사한 데이터용 컨테이너이며 제공된 앱의 컨텍스트 내에 있습니다. 레코드에는 데이터베이스 테이블의 행과 유사한 데이터의 각 항목이 포함됩니다. 필드는 데이터베이스 테이블의 컬럼과 유사한 키 이름에 해당하며 데이터 값을 JSON 파일로 포함합니다. 이것이 필 요하지 않더라도 필드 값에 대한 데이터 유형(숫자, 부울, 시간 및 문자열)을 강제 적용할 수 있습니다. _key는 각 레코드에 대해 고유한 ID를 포함하는 예약된 필드입니다. _key 값을 명시적으로 지정하지 않는 경우 앱은 _key 값을 자동 생성합니다. _user는 각 레코드에 대한 사용자 ID를 포함하는 예약된 필드입니다. 이 필드는 재정의될 수 없습니다. 가속화는 가속화된 필드를 포함하는 검색을 더 빨리 반환하도록 하여 검색 성능을 향상시킵니다. 가속화는 컬렉션의 데이터 집합 중 일부분을 쉽게 트래버스할 수 있는 양식에 저장합니다. KV 스토어 파일은 검색 헤드에 위치합니다. 검색 헤드 클러스터에서 임의의 노드가 쓰기를 수신하는 경우 KV 스토어는 KV 스토어 캡틴에 쓰기를 위임합니다. 그러나 KV 스토어는 읽기를 로컬로 유지합니다. 시스템 요구 사항 KV 스토어는 모든 Splunk Enterprise 64비트 빌드에서 사용 가능 및 지원되며 32비트 Splunk Enterprise 빌드에서는 사용 할 수 없습니다. KV 스토어는 또한 유니버설 포워더에서 사용할 수 없습니다. Splunk Enterprise 시스템 요구 사항을 참조하 십시오. 기본적으로 KV 스토어는 8191 포트를 사용합니다. 분산 검색 매뉴얼의 "검색 헤드 클러스터에 대한 시스템 요구 사항 및 기 타 배포 고려 사항"을 참조하십시오. 앱의 KV 스토어 사용 여부 결정 KV 스토어는 기본적으로 Splunk Enterprise 6.2+에서 사용할 수 있습니다. KV 스토어를 사용하는 앱은 일반적으로 $SPLUNK_HOME/etc/apps/<app name>/default에서 정의된 collections.conf가 있습니 다. 또한 transforms.conf에는 external_type = kvstore인 컬렉션에 대한 참조가 있습니다. KV 스토어 사용 KV 스토어를 사용하려면 다음을 수행하십시오. 1. 컬렉션을 만들고 설정 파일 또는 REST API를 사용하여 데이터 유형이 있는 필드 리스트를 선택적으로 정의합니다. 2. 검색 룩업 명령어 및 Splunk REST API를 사용하여 작성-읽기-업데이트-삭제(CRUD) 작업을 수행합니다. 3. REST API를 사용하여 컬렉션을 관리합니다. Splunk Enterprise 배포에서 해당 효과를 모니터링하는 방법과 이유 분산 관리 콘솔에서 두 개의 뷰를 통해 KV 스토어 성능을 모니터링할 수 있습니다. 하나의 뷰에서는 전체 배포 환경(이 매뉴 얼의 "KV 스토어: 배포" 참조)에 대한 통찰력을 제공합니다. 다른 뷰에서는 각 검색 헤드("KV 스토어: 인스턴스" 참조)의 KV 스토어 작업에 대한 정보를 제공합니다. 데이터 백업 방법 표준 백업 및 복원 도구와 조직에서 사용된 절차를 사용하여 KV 스토어 데이터를 백업하고 복원합니다. KV 스토어 데이터를 백업하려면 server.conf 파일에 있는 [kvstore] 스탠자의 dbpath 매개 변수에 지정된 경로에 모든 파일을 백업합니다. Splunk Enterprise의 백업 전략에 대한 일반적인 내용은 인덱서 및 인덱서 클러스터 관리 매뉴얼의 "백업 전략 선택"을 참조 하십시오. Splunk 앱 정보 앱 및 추가 기능 정의 Splunk를 설치하고 처음 로그인하면 Splunk 홈으로 이동합니다. 이 인터페이스에는 Getting Started 앱과 검색 앱을 포함한 사전 설치된 앱이 표시됩니다. 사용자가 생성한 앱과 추가 기능을 설치하고 개발할 수도 있습니다. 앱 앱은 특정 비즈니스 요구를 지원하거나 특정 사용 사례나 문제를 해결하기 위해 사용하는 대시보드, 뷰 및 검색의 집합입니 다. 앱에는 고급 데이터 컬렉션에 대한 추가 기능을 통합할 수 있는 기능이 포함되어 있습니다. 앱을 사용하려면 일부 설정을 변경해야 할 수 있으며 앱을 필요에 따라 사용자 지정할 수 있습니다. 그러나 일반적으로 앱의 콘텐츠는 미리 지정된 설정이나 데이터 유형과 함께 "즉시" 사용할 수 있습니다. 앱의 예로는 Splunk App for Enterprise 74

75 Security, Splunk App for VMware, Splunk 배포 모니터 앱 및 Splunk App for Microsoft Exchange 등이 있습니다. Splunk를 사용할 경우 대부분 앱을 항상 사용하며, 일반적으로 앱 "내부"에 있는 것으로 참조합니다. 기본 앱은 검색 앱입니 다. 추가 기능 추가 기능은 데이터 피드, 모듈식 입력, 스크립트, 또는 기타 데이터 컬렉션 메커니즘을 말합니다. 추가 기능의 예로는 Splunk Add-on for Checkpoint OPSEC LEA, Splunk Add-on for Rapid7 Metasploit, 그리고 Splunk Add-on for Riverbed Stingray Application Firewall 등이 있습니다. 앱 및 추가 기능을 이용해서 단일 Splunk 인스턴스 위에 서로 다른 환경을 구축할 수 있습니다. 조직 내 다른 Splunk 사용자 커뮤니티를 위한 개별 인터페이스를 만들 수 있습니다. 예를 들어 단일 Splunk 인스턴스에 다음 항목들이 있을 수 있습니다. 이메일 서버의 웹 분석 문제를 해결하는 앱 일선 지원 팀이 사용할 룩업 테이블을 연결하는 추가 기능 이렇게 하면 모든 사용자가 동일한 Splunk 인스턴스를 사용하지만 각자 관심 있는 관련 데이터와 도구만 볼 수 있습니다. 추가 기능은 몇 가지 일반적인 범주로 분류됩니다. 도메인 추가 기능 일부 앱에는 도메인에 대한 대시보드와 뷰를 제공합니다. 지원되는 추가 기능 도메인 추가 기능에서 저장된 검색 및 매크로처럼 모듈과 도구들을 제공합니다. 기타 추가 기능 이 추가 기능들은 별도의 source에서 가져온 데이터를 활용할 수 있도록 도움을 줍니다. 예: 맵핑 정보. 기본 검색 앱 Splunk를 처음 설치하고 로그인하면 Splunk 홈으로 이동합니다. 홈 페이지는 자동으로 미리 설치된 앱에 앱 클릭(Click on Apps)을 표시합니다. 기본적으로 Splunk는 검색 및 보고 앱을 제공합니다. 이 인터페이스는 Splunk의 핵심 기능을 제공하며, 일반적인 용도에 사 용되도록 설계되었습니다. 이 앱은 처음 로그인할 때 홈 페이지 상단에 표시되고, 즉시 사용할 수 있도록 검색 필드를 제공합 니다. (홈 페이지에서 검색을 실행하거나 앱을 클릭하여) 검색 및 보고 앱으로 이동하면 메뉴 모음 옵션을 사용하여 다음 항목을 선 택할 수 있습니다. 검색: 인덱스를 검색합니다. 자세한 내용은 검색 튜토리얼에서 "Splunk 검색 사용"을 참조하십시오. 피벗: 데이터 모델을 사용하여 데이터에 대한 테이블, 차트 및 시각화 자료를 빠르게 설계하고 생성합니다. 자세한 내 용은 피벗 매뉴얼을 참조하십시오. 보고서: 검색을 보고서로 변환합니다. 자세한 내용은 검색 튜토리얼에서 "보고서 저장 및 공유"를 참조하십시오. 경고: Splunk 검색 및 보고서에 대한 경고를 설정합니다. 자세한 내용은 경고 매뉴얼을 참조하십시오. 대시보드: 미리 정의된 대시보드를 사용하거나 대시보드를 직접 만듭니다. 대시보드 및 시각화 매뉴얼을 참조하십시 오. 앱에서 열리도록 Splunk Web 설정 75

76 Splunk Web이 Splunk 홈이 아닌 선택한 앱에서 열리도록 설정할 수 있습니다. 모든 사용자가 Splunk Web을 특정 앱에서 열 수 있도록 하거나 특정 사용자만 Splunk Web을 앱에서 열 수 있도록 지정할 수 있습니다. 단일 사용자에 대해 Splunk 홈 무시 사용자가 로그인하면 Splunk 홈이 아닌 선택한 앱으로 직접 이동하도록 Splunk Web을 설정할 수 있습니다. 검색 앱을 기본 시작 앱으로 설정하려면: 1. 사용자의 로컬 디렉터리에 user-prefs.conf 파일을 만듭니다. etc/users/<user>/user-prefs/local/user-prefs.conf admin 사용자인 경우 다음 위치에 이 파일이 생성됩니다. etc/users/admin/user-prefs/local/user-prefs.conf test 사용자인 경우 다음 위치에 이 파일이 생성됩니다. etc/users/test/user-prefs/local/user-prefs.conf 2. user-prefs.conf 파일에 다음 줄을 입력합니다. default_namespace = search 모든 사용자에 대해 Splunk 홈을 건너뜀 로그인하면 처음 표시되는 모든 사용자용 기본 앱을 지정할 수 있습니다. 예를 들어, 검색 앱을 전역 기본값으로 지정하려면 $SPLUNK_HOME/etc/apps/user-prefs/local/user-prefs.conf를 편집 및 지정하십시오. [general_default] default_namespace = search 참고: 검색 앱에 액세스할 수 있는 권한이 없는 사용자에게는 오류가 표시됩니다. 더 많은 앱과 추가 기능 찾기 새 앱과 추가 기능은 찾을 수 있습니다. Splunk 사용자 메뉴 모음에서 Splunk 앱에 액세스하고 Splunk에서 앱을 직접 다운로드하거나 설치할 수 있습니다. 앱 메뉴 를 클릭하고 추가 앱 찾기를 선택하십시오. Splunk Web에 로그인하면 기본적으로 Splunk 홈이 표시됩니다. 페이지 상단(왼쪽)에서 Splunk 로고를 클릭하여 언제든지 Splunk 홈으로 돌아갈 수 있습니다. 인터넷에 연결된 경우 Splunk 서버 또는 클라이언트 컴퓨터가 인터넷에 연결되어 있으면 Splunk 홈에서 앱과 추가 기능을 직접 다운로드할 수 있 습니다. 1. 사용자 메뉴 모음에서 앱 메뉴를 클릭하고 추가 앱 찾기를 선택합니다. 2. 앱 및 추가 기능 리스트에서 원하는 앱이나 추가 기능을 선택한 다음 앱 다운로드를 선택합니다. 76

77 3. splunk.com 사용자 이름과 암호(사용자의 Splunk 사용자 이름/암호가 아님)로 splunk.com에 로그인하라는 메시지가 나 타납니다. 4. 선택한 항목이 설치됩니다. Web GUI 구성 요소(대부분의 추가 기능에는 event type 정의와 같은 knowledge 객체만 포함 되고 GUI 컨텍스트는 없음)가 있는 경우에는 Splunk 홈에서 이 구성 요소로 이동할 수 있습니다. 중요: Splunk Web이 프록시 서버 뒤에 있을 경우 Splunk 앱에 액세스할 때 문제가 발생할 수 있습니다. 이 문제를 해결하려 면 "프록시 서버 지정"에서 설명한 대로 http_proxy 환경 변수를 설정해야 합니다. 인터넷에 연결되지 않은 경우 Splunk 서버 및 클라이언트가 인터넷에 연결되어 있지 않은 경우 Splunk 앱 페이지에서 앱을 다운로드하여 서버에 복사해야 합니다. 1. 인터넷에 연결된 컴퓨터에서 원하는 앱 또는 추가 기능을 Splunk 앱에서 찾아봅니다. 앱을 보려면 페이지 상단의 찾아보 기를 클릭합니다. 추가 기능을 찾으려면 사이드바에서 추가 기능을 콘텐츠 유형으로 선택합니다. 2. 앱 또는 추가 기능을 다운로드합니다. 3. 다운로드한 앱 또는 추가 기능을 Splunk 서버에 복사합니다. 4. 해당 앱 또는 추가 기능을 $SPLUNK_HOME/etc/apps 디렉터리에 저장합니다. 5. tar -xvf(*nix의 경우) 또는 WinZip(Windows의 경우)과 같은 도구를 사용하여 앱 또는 추가 기능 파일의 압축을 풉니다. Splunk 앱 및 추가 기능은 tar 및 gzip을 사용할 경우에도.SPL 확장자로 압축됩니다. 사용자의 도구가 이 확장자를 인식할 수 있도록 설정해야 할 수도 있습니다. 6. 앱 또는 추가 기능의 내용에 따라 Splunk를 재시작해야 할 경우가 있습니다. 7. 앱 또는 추가 기능이 설치되었으며 Splunk 홈(웹 UI 구성 요소가 있는 경우)에서 사용할 수 있습니다. 77

78 앱 아키텍처 및 개체 소유권 앱은 일반적으로 Splunk knowledge 객체를 사용하여 제작됩니다. Splunk knowledge 객체에는 Splunk 배포를 풍부하게 해주는 데이터 유형, 예를 들어 저장된 검색, event type, 태그 등의 개체가 포함되며, 사용자가 필요로 하는 것을 쉽게 알 수 있게 해줍니다. 참고: 개체를 추가 기능에 저장할 수는 있지만, 일반적인 방법은 아닙니다. 앱과 추가 기능은 모두 앱 디렉터리에 저장됩니 다. 드물지만 개체를 추가 기능에 저장해야 할 경우에는 추가 기능을 이 항목에서 설명하는 앱 관리 방법과 동일하게 관리합 니다. Splunk Web에 로그인한 사용자는 (필요한 권한이 있다고 가정할 경우) 사용자가 "위치한" 앱의 사용자 디렉터리에 knowledge 객체를 만들고 저장할 수 있습니다. 이것은 사용자가 개체를 저장할 때마다 발생하는 기본 동작으로, 현재 실행 중인 앱의 사용자 디렉터리에 적용됩니다. 사용자 디렉터리는$SPLUNK_HOME/etc/users/<user_name>/<app_name>/local에 있습 니다. 사용자가 앱에 개체를 저장하면 이 개체는 해당 앱에 있는 사용자만 사용할 수 있습니다. 다른 사용자도 사용할 수 있게 하려면 다음 작업 중 하나를 수행해야 합니다. 액세스 권한이 있는 모든 사용자가 사용할 수 있도록 개체 승격 개체를 (여전히 앱 컨텍스트에 있는) 특정 역할 또는 사용자로 제한 모든 앱 및 추가 기능과 사용자가 사용할 수 있도록 개체를 전역으로 표시(역할/사용자별로 분명히 제한하지 않은 경 우) 참고: 사용자가 개체를 해당 수준으로 승격하려면 앱 또는 추가 기능에 대한 쓰기 권한이 있어야 합니다. Splunk knowledge 승격 및 공유 사용자는 권한 대화 상자를 통해 다른 사용자와 Splunk knowledge 객체를 공유할 수 있습니다. 즉, 앱 또는 추가 기능에서 읽기 권한을 갖고 있는 사용자는 공유 개체를 보거나 사용할 수 있습니다. 예를 들어, 사용자가 저장된 검색을 공유할 경우 다 른 사용자도 이 저장된 검색을 볼 수 있지만 해당 검색이 생성된 앱 내에서만 볼 수 있습니다. "Fflanda" 앱에서 저장된 검색 을 만들고 이 검색을 공유할 경우 Fflanda에 대한 읽기 권한이 있는 다른 사용자는 이 저장된 검색을 볼 수 있습니다. 쓰기 권한이 있는 사용자는 개체를 앱 수준으로 승격할 수 있습니다. 즉, 사용자 디렉터리에서 앱 디렉터리로 개체가 복사됩 니다. 원본 위치: $SPLUNK_HOME/etc/users/<user_name>/<app_name>/local/ 대상 위치: $SPLUNK_HOME/etc/apps/<app_name>/local/ 사용자에게 앱에 쓰기 권한이 있는 경우에만 이 작업을 수행할 수 있습니다. Splunk knowledge 객체 전역 설정 마지막으로, 승격 시 사용자는 개체를 전역으로 사용할지 여부를 결정할 수 있습니다. 전역으로 설정하면 모든 앱에서 해당 개체를 볼 수 있습니다. 다시 말하면 이 작업을 수행하려면 사용자에게 원본 앱에 대한 쓰기 권한이 있어야 합니다. Splunk Web에서 이 작업을 수행하는 것이 가장 쉽지만, 원하는 디렉터리로 관련 개체를 이동하여 나중에 이 작업을 수행할 수도 있 습니다. 앱 "D"에서 사용자 "C"에 속한 개체 "A"("B.conf"에 정의됨)를 전역으로 설정하려면: 1. 개체 A를 정의하는 스탠자를 $SPLUNK_HOME/etc/users/C/D/B.conf에서 $SPLUNK_HOME/etc/apps/D/local/B.conf로 이동합니 다. 2. 앱의 local.meta 파일에 있는 개체 A의 스탠자에 export = system 설정을 추가합니다. 개체의 스탠자가 아직 없는 경우에 는 하나를 추가할 수 있습니다. 예를 들어, *Nix 앱에서 "fflanda" 이름의 사용자가 생성한 event type "rhallen"을 전역으로 사용할 수 있게 승격하려면 다음 작업을 수행하십시오. 1. $SPLUNK_HOME/etc/users/fflanda/unix/local/eventtypes.conf에서 $SPLUNK_HOME/etc/apps/unix/local/eventtypes.conf로 [rhallen] 스탠자를 이동합니다. 2. 다음 스탠자를 추가합니다. [eventtypes/rhallen] export = system 대상 위치: $SPLUNK_HOME/etc/apps/unix/metadata/local.meta 참고: 기본적으로 모든 이벤트를 전역으로 내보내기 때문에 검색 앱에서 event type을 공유할 때 export = system 설정을 local.meta에 추가할 필요가 없습니다. 적용되는 개체 78

79 여기서 설명하는 knowledge 객체는 액세스 제어에 따라 제한됩니다. knowledge 객체는 앱 수준 개체라고도 하며 사용자 메 뉴 모음에서 앱 > 앱 관리를 선택하여 볼 수 있습니다. 이 페이지는 생성 및 공유된 개체를 관리하는 모든 사용자에게 제공됩 니다. 이러한 개체에는 다음이 포함됩니다. 저장된 검색 및 보고서 Event type 뷰 및 대시보드 필드 추출 그리고 관리 권한(특정 개체에 대한 읽기/쓰기 권한)을 가진 사용자만 사용할 수 있는 시스템 수준개체가 있습니다. 이러한 개체에는 다음이 포함됩니다. 사용자 역할 인증 분산 검색 입력 출력 배포 라이선스 서버 설정(예: 호스트 이름, 포트 등) 중요: 입력을 추가하면 Splunk가 실행 중인 앱에 속하는 inputs.conf의 복사본에 해당 입력을 추가합니다. 즉, 검색에서 앱으 로 바로 이동한 경우에는 입력이 $SPLUNK_HOME/etc/apps/search/local/inputs.conf에 추가되는 원치 않는 동작이 실행될 수 있습니다. 앱 설정 및 knowledge 우선 순위 Splunk에 knowledge를 추가하면 knowledge를 추가할 때 사용자가 위치한 앱의 컨텍스트에 knowledge가 추가됩니다. Splunk가 설정 및 knowledge를 평가할 때는 어떤 컨텍스트에서 어떤 knowledge 정의와 설정이 사용되는지 제어할 수 있도 록 특정 우선 순위에 따라 설정과 knowledge를 평가합니다. Splunk 설정 파일과 우선 순위에 대한 자세한 내용은 "설정 파일 에 대하여"를 참조하십시오. 앱 및 추가 기능 개체 관리 Splunk 사용자가 앱 또는 추가 기능을 만든 경우 앱 또는 추가 기능을 구성하는 개체 컬렉션이 생성됩니다. 이러한 개체에는 뷰, 명령, 탐색 항목, event type, 저장된 검색, 보고서 등이 포함될 수 있습니다. 이러한 각 개체에는 개체를 보거나 변경할 수 있는 사용자를 결정하기 위한 개체와 연결된 권한이 있습니다. 기본적으로 관리자에게는 Splunk 시스템의 모든 개체를 바 꿀 수 있는 권한이 있습니다. 자세한 내용은 다음 항목을 참조하십시오. 앱 및 추가 기능에 대한 개요는 이 매뉴얼의 "앱 및 추가 기능 정의"를 참조하십시오. 앱 및 추가 기능 권한에 대한 자세한 내용은 이 매뉴얼의 "앱 아키텍처 및 개체 소유권"을 참조하십시오. 앱 및 추가 기능을 직접 만드는 방법에 대해 자세히 알아보려면 Splunk Web용 뷰 및 앱 개발 매뉴얼을 참조하십시오. Splunk Web에서 앱/추가 기능 개체 보기 및 관리 Splunk를 배포할 때 다음과 같은 방법으로 Splunk Web을 사용하여 개체를 볼 수 있습니다. 시스템의 모든 앱/추가 기능에 대한 개체를 모두 보려면 설정 > 모든 설정을 선택합니다. 저장된 검색 및 보고서 개체를 모두 보려면 설정 > 검색 및 보고서를 선택합니다. 모든 event type을 보려면 설정 > Event type을 선택합니다. 모든 필드 추출을 보려면 설정 > 필드를 선택합니다. 다음 작업을 수행할 수 있습니다. 정렬 화살표 뷰를 선별하여 앱 컨텍스트 창에서 지정한 앱 또는 추가 기능의 개체, 특정 사용자가 소유한 개체 또는 특정 문자열을 포함하는 개체만 볼 수 있습니다. 앱 컨텍스트 창의 검색 필드를 사용하여 필드 문자열을 검색합니다. 기본적으로 Splunk는 사용 가능한 모든 필드의 문자열을 검색합니다. 특정 필드 내에서 검색하려면 필드를 지정하십시오. 와일드카드가 지원됩니다. 참고: 검색 명령어 페이지에서 개별 검색 명령어에 대한 자세한 내용은 검색 참조 매뉴얼을 참조하십시오. CLI에서 앱 또는 추가 기능 업데이트 CLI를 사용하여 Splunk 인스턴스에서 기존 앱을 업데이트하려면:./splunk install app <app_package_filename> -update 1 -auth <username>:<password> Splunk는 설치 패키지에 있는 정보를 기준으로 앱 또는 추가 기능을 업데이트합니다. 79

80 CLI를 사용한 앱 또는 추가 기능 비활성화 CLI를 통해 앱을 비활성화하려면:./splunk disable app [app_name] -auth <username>:<password> 참고: Splunk Free를 실행할 경우 사용자 이름과 암호를 제공할 필요가 없습니다. 앱 또는 추가 기능 제거 Splunk 설치에서 설치된 앱을 제거하려면: 1. (선택 사항) 앱 또는 추가 기능의 인덱스 데이터를 제거합니다. 일반적으로 Splunk는 삭제된 앱 또는 추가 기능에서 인덱 스 데이터에 액세스하지 않습니다. 그러나 앱을 삭제하기 전에 Splunk CLI 정리 명령어를 사용하여 앱에서 인덱스된 데이터 를 제거할 수 있습니다. CLI 명령을 사용하여 인덱스에서 데이터 제거를 참조하십시오. 2. 앱과 앱 디렉터리를 삭제합니다. 디렉터리 위치는 $SPLUNK_HOME/etc/apps/<appname>입니다. CLI에서 다음 명령을 실행할 수 있습니다../splunk remove app [appname] -auth <username>:<password> 3. 다음 위치에 파일이 있을 경우 해당 파일을 삭제하여 앱 또는 추가 기능에 대해 생성된 사용자별 디렉터리를 제거해야 할 수 있습니다. $SPLUNK_HOME/splunk/etc/users/*/<appname> 4. Splunk를 재시작합니다. 앱 및 추가 기능의 설정 및 속성 관리 앱 메뉴에서 Splunk 인스턴스에 설치된 앱의 설정 및 속성을 관리할 수 있습니다. 사용자 메뉴 모음에서 앱을 클릭하여 설치 된 앱 중 하나를 선택하거나 앱을 관리하십시오. 앱 관리 페이지에서 다음 작업을 수행할 수 있습니다. 앱 또는 추가 기능에 대한 권한 편집 앱 또는 추가 기능 활성화 또는 비활성화 앱 실행, 속성 편집 및 앱 개체 보기와 같은 작업 수행 앱 및 추가 기능의 속성 편집 앱의 소유자인지 사용자인지 여부에 따라 설정 또는 속성에서 편집할 수 있는 내용이 달라집니다. 앱 > 앱 관리를 선택한 다음 편집할 앱 또는 추가 기능에 대해 속성 편집을 클릭하십시오. Splunk 인스턴스에 설치된 앱의 다 음 요소를 편집할 수 있습니다. 이름: Splunk Web에서 앱 또는 추가 기능의 표시 이름을 변경합니다. 업데이트 확인: 업데이트 확인은 기본적으로 활성화되어 있습니다. 기본값을 재정의하고 업데이트 확인을 비활성화할 수 있습니다. 자세한 내용은 아래 앱 및 추가 기능 업데이트 확인을 참조하십시오. 표시 여부: 뷰가 있는 앱을 볼 수 있습니다. 대부분 뷰가 없는 추가 기능의 표시 여부 속성은 비활성화해야 합니다. 자산 업로드: 앱 또는 추가 기능에서 액세스할 수 있는 HTML, JavaScript 또는 CSS 파일과 같은 로컬 파일 자산 파일 을 이 필드에서 선택할 수 있습니다. 이 패널에서 한 번에 하나의 파일만 업로드할 수 있습니다. 앱 및 추가 기능 참조: 앱 및 추가 기능의 설정 및 속성 정보에 대한 설명을 제공합니다. 80