Splunk Enterprise 7.1.0 설치매뉴얼 생성일 : 2018-05-09 오후 2:44 Copyright (c) 2018 Splunk Inc. All Rights Reserved
Table of Contents Splunk Enterprise 설치매뉴얼소개매뉴얼내용 4 4 Splunk Enterprise 설치계획 5 설치개요 5 Splunk Enterprise의사내사용을위한시스템요구사항 5 Splunk Enterprise 아키텍처및프로세스 10 Splunk Enterprise와함께배포되는 Windows 타사바이너리에대한정보 11 설치방법 13 Splunk Enterprise 설치보안 Splunk Enterprise 보안 Splunk Enterprise를설치하기전에시스템보안 Splunk Enterprise 보안설치 Splunk Enterprise를보안하는추가방법 Windows에 Splunk Enterprise 설치 Splunk Enterprise 실행 Windows 사용자선택네트워크또는도메인사용자로설치하기위해 Windows 네트워크준비 Windows에설치명령줄을사용하여 Windows에설치 Windows 설치중에선택한사용자변경 Linux 또는 Mac OS X에 Splunk Enterprise 설치 Linux에설치 Mac OS X에설치다른사용자나루트가아닌사용자로 Splunk Enterprise 실행 Splunk Enterprise 사용시작 Splunk Enterprise 처음시작다음단계 Splunk Enterprise의접근성에대해알아보기 Splunk Enterprise 라이선스설치 Splunk Enterprise 라이선스라이선스설치 Splunk Enterprise 업그레이드또는마이그레이션 Splunk Enterprise 업그레이드방법 7.1 업그레이드 : 먼저읽을내용분산 Splunk Enterprise 환경업그레이드방법 Splunk 앱개발자를위한변경사항 14 14 14 14 15 16 16 17 22 26 31 32 32 33 35 37 37 39 40 41 41 41 42 42 43 48 51
UNIX 에서 7.1 로업그레이드 Windows 에서 7.1 로업그레이드 Splunk Enterprise 인스턴스를다른물리적컴퓨터로마이그레이션 Splunk Enterprise 제거 Splunk Enterprise 제거 51 52 53 56 56 참조 PGP 공개키 58 58
Splunk Enterprise 설치매뉴얼소개 매뉴얼내용 설치매뉴얼에는 Splunk Enterprise 를설치하는데필요한내용이수록되어있습니다. 시스템요구사항라이선싱정보설치절차이전버전에서업그레이드하는절차 유니버설포워더설치 Splunk 유니버설포워더를설치하려면유니버설포워더매뉴얼의유니버설포워더소프트웨어설치를참조하십시오. 유니버설포워더는일련의자체적인설치절차가있는별도의실행파일입니다. 포워더에대한소개는데이터전달매뉴얼의전달및수신을참조하십시오. 4
Splunk Enterprise 설치계획 설치개요 Splunk Enterprise 를호스트에설치하는작업은데이터의가치를실현하기위한첫단계입니다. 설치를시작하기전에이항목과이장의내용을읽으십시오. 설치기본사항 1. 설치에필요한시스템요구사항을확인합니다. Splunk Enterprise 를설치할운영체제와 Splunk Enterprise 를사용하는방법에따라추가적인설치요구사항이적용될수있습니다. 2. ( 선택사항 ) Splunk Enterprise 배포구성요소를참조하여 Splunk Enterprise 에코시스템에대해알아보고 Splunk 아키텍처및프로세스를참조하여설치프로그램이컴퓨터에설치하는항목에대해알아봅니다. 3. Splunk Enterprise 설치보안을참조하여해당될경우 Splunk Enterprise 를설치할컴퓨터의보안을강화합니다. 4. Splunk Enterprise 다운로드페이지에서해당시스템용설치패키지를다운로드합니다. 5. 사용중인운영체제에해당되는설치지침에따라설치작업을수행합니다. 설치지침을참조하십시오. 6. ( 선택사항 ) Splunk Enterprise 를처음설치하는경우검색튜토리얼에서 Splunk 소프트웨어에데이터를인덱싱하고 Splunk Enterprise 검색언어를사용하여해당데이터를검색하는방법에대해알아봅니다. 7. ( 선택사항 ) Splunk Enterprise 를설치한후데이터가차지하는공간을계산합니다. 용량계획매뉴얼의저장소요구사항평가를참조하십시오. 8. Splunk Enterprise 를실제운영환경에서실행하고해당환경의하드웨어요구사항을확인하려면용량계획매뉴얼을참조하십시오. Splunk Enterprise 인스턴스업그레이드또는마이그레이션 기존버전을덮어쓰는방법으로 Splunk Enterprise 를업그레이드할수있는경우가많습니다. 이전 Splunk Enterprise 버전에서업그레이드하려면이매뉴얼의 Splunk Enterprise 업그레이드방법에서관련내용과구체적인지침을참조하십시오. 한버전에서다른버전으로마이그레이션하는방법에대한내용은업그레이드대상버전의 " 업그레이드 - 먼저읽을내용 " 항목을참조하십시오. Splunk Enterprise 인스턴스를한호스트에서다른호스트로이동하려면 Splunk 인스턴스마이그레이션을참조하십시오. Splunk Enterprise의사내사용을위한시스템요구사항 Splunk 는여러컴퓨팅환경에서 Splunk Enterprise 사용을지원합니다. 소프트웨어를다운로드하기전에지원되는환경에대해알아보십시오. 유니버설포워더에는여러자체적인하드웨어요구사항이있습니다. 유니버설포워더매뉴얼의유니버설포워더시스템요구사항을참조하십시오. 새기능에대한아이디어나요청사항이있는기존 Splunk 계약자는 Splunk 서포트에요청을접수하십시오. 지원운영체제 아래테이블에는 Splunk Enterprise 를사용할수있는컴퓨팅플랫폼이나열되어있습니다. 첫번째테이블에는 *nix 운영체제에대한가용성이나열되고, 두번째테이블에는 Windows 운영체제에대한가용성이나열됩니다. 각테이블에는사용가능한컴퓨팅플랫폼 ( 운영체제및아키텍처 ) 과 Splunk 소프트웨어유형이표시됩니다. 컴퓨팅플랫폼과원하는 Splunk 소프트웨어유형이교차하는칸에굵은 X 자가있으면해당플랫폼및유형에 Splunk 소프트웨어를사용할수있음을의미합니다. 칸이비어있으면해당플랫폼및유형에 Splunk 소프트웨어를사용할수없음을의미합니다. 찾는운영체제나아키텍처가리스트에보이지않으면소프트웨어를해당플랫폼또는아키텍처에사용할수없습니다. 이경우해당플랫폼에대한지원이종료되었음을의미할수있습니다. 릴리스노트의지원중단기능에서지원이중단되어제거된컴퓨팅플랫폼의리스트를참조하십시오. 일부칸에는체크표시가아닌다른문자가있습니다. 각문자의의미와해당문자가설치에영향을미칠수있는방법대해알아보려면각테이블하단에있는내용을참조하십시오. 컴퓨팅플랫폼지원확인 1. Splunk Enterprise를설치할운영체제를운영체제컬럼에서찾습니다. 2. 사용환경과일치하는컴퓨팅아키텍처를아키텍처컬럼에서찾습니다. 3. 사용할 Splunk 소프트웨어유형을 Splunk Enterprise, Splunk Free, Splunk 평가판또는 Splunk 유니버설포워더 5
중에서찾습니다. 4. Splunk 소프트웨어를원하는컴퓨팅플랫폼과소프트웨어유형에사용할수있는경우다운로드페이지로이동하여소프트웨어를받으십시오. Unix 운영체제 운영체제 아키텍처 Enterprise Free 평가판 유니버설포워더 Solaris 10 및 11 x86(64 비트 ) X SPARC X Linux, 모든 2.6 커널버전 x86(64 비트 ) D D D D Linux, 모든 3.x 및 4.x 커널버전 x86(64 비트 ) X X X X PowerLinux, Little Endian 커널버전 2.6 이상 (E) PowerPC X zlinux, 커널버전 2.6 이상 s390x X FreeBSD 10, 11 x86(64비트 ) X Mac OS X 10.11 Intel D D D macos 10.12, 10.13 Intel X X X AIX 7.1 및 7.2 PowerPC X ARM Linux ARM X D: Splunk 는이플랫폼과아키텍처를지원하지만향후릴리스에서지원을중단할수있습니다. 지원중단에대한내용은릴리스노트에서지원중단기능을참조하십시오. E: Big Endian 커널 PowerLinux 지원이중단되었습니다. Windows 운영체제 아래테이블에는 Splunk Enterprise 에서지원하는 Windows 컴퓨팅플랫폼이나열되어있습니다. 운영체제 아키텍처 Enterprise Free 평가판 유니버설포워더 Windows Server 2008 R2 SP1 x86(64 비트 ) D Windows Server 2012, Server 2012 R2, Server 2016 Windows 8.1 Windows 10 x86(64비트 ) X X X X x86(64비트 ) D D X x86(32비트 ) D D X x86(64비트 ) X X X x86(32비트 ) *** *** X D: Splunk 는이플랫폼과아키텍처를지원하지만향후릴리스에서지원을중단할수있습니다. 지원중단에대한내용은릴리스노트에서지원중단기능을참조하십시오. *** Splunk 는이플랫폼및아키텍처에서 Splunk Enterprise 를지원하나, 사용을권장하지는않습니다. 운영체제참고사항 Windows Windows 에서 Splunk Enterprise 의일부가올바르게작동하려면고급사용자권한이필요합니다. 더높은권한이필요한구성요소와 Windows 에서 Splunk Enterprise 를설정하는방법에관한내용은다음항목을참조하십시오. 6
Splunk Enterprise 아키텍처및프로세스 Splunk Enterprise 실행 Windows 사용자선택데이터가져오기의원격 Windows 데이터를모니터링하는방법을결정할때고려할사항 모니터링콘솔을지원하는운영체제 Splunk Enterprise 모니터링콘솔은일부 Linux 및 Windows 버전에서만사용할수있습니다. 모니터링콘솔을지원하는플랫폼아키텍처에관한내용은문제해결매뉴얼의지원플랫폼을참조하십시오. 모니터링콘솔의기타전제조건에대해알아보려면 Splunk Enterprise 모니터링의모니터링콘솔설정전제조건을참조하십시오. 지원이중단된운영체제및기능 당사에서는 Splunk 소프트웨어를업데이트하면서때때로이전운영체제에대한지원을중단하고제거합니다. 지원이중단되었거나완전히제거된플랫폼및기능에대한내용은릴리스노트의지원이중단된기능을참조하십시오. 일부 *nix 운영체제지원종료 Splunk 는 Solaris, FreeBSD, AIX, HP-UX 및 32 비트 Linux 커널버전에서 Splunk Enterprise 지원을종료했습니다. 또한 HP/UX 지원도모두삭제되었습니다. Splunk Enterprise 를이런플랫폼에설치해야하는경우이전소프트웨어버전을다운로드해야합니다. HP/UX 를제외한모든플랫폼용유니버설포워더패키지가제공되며, 유니버설포워더매뉴얼은다음링크에서설치지침을제공합니다. Solaris 에유니버설포워더설치 FreeBSD 에유니버설포워더설치 AIX 에유니버설포워더설치 UTF-8 문자집합인코딩을사용하지않는운영체제에서설정파일작성및편집 Splunk 소프트웨어는 ASCII 또는 UTF-8(Universal Character Set Transformation Format-8-bit) 형식의설정파일을지원합니다. UTF-8 문자집합인코딩을사용하지않는 OS 에서설정파일을편집하거나만들경우에는사용중인편집기가 ASCII 또는 UTF-8 형식으로저장할수있는지확인하십시오. IPv6 플랫폼지원 모든 Splunk 지원 OS 플랫폼에서 IPv6 네트워크설정을사용할수있습니다. Splunk Enterprise 의 IPv6 지원에대한자세한내용은관리자매뉴얼에서 Splunk for IPv6 설정을참조하십시오. 지원브라우저 Splunk Enterprise 는다음브라우저를지원합니다. Firefox( 최신버전 ) Internet Explorer 11(Splunk Enterprise 는이브라우저의호환성모드를지원하지않음 ) Safari( 최신버전 ) Chrome( 최신버전 ) 권장하드웨어 Splunk Enterprise 를실제운영배포환경에서사용할수있는지평가하려면실제운영환경의일반적인하드웨어를사용하십시오. 이하드웨어는권장하드웨어용량사양이상을갖추어야합니다. 프로덕션배포용하드웨어계획에대한설명은용량계획매뉴얼의 Splunk Enterprise 용량계획소개를참조하십시오. Splunk Enterprise와가상컴퓨터 Splunk Enterprise 를가상컴퓨터 (VM) 에서실행하면플랫폼에관계없이성능이저하됩니다. 그이유는가상화가컴퓨터의하드웨어추상화를리소스풀에제공하는방법으로작동하기때문입니다. 사용자가시스템에서정의하는 VM 은이리소스풀을이용합니다. Splunk Enterprise 는인덱싱작업을위해특히디스크 I/O 를비롯한여러리소스에계속액세스할수있어야합니다. Splunk Enterprise 를 VM 에서실행하거나다른 VM 과함께실행할경우인덱싱및검색성능이저하될수있습니다. Splunk Enterprise와컨테이너식인프라 Splunk Enterprise 의컨테이너식배포는공식지원되지않습니다. 하지만개발자는도커허브에서제공되는 Splunk 7
Enterprise 도커이미지를사용해컨테이너식인프라에서 Splunk 배포를평가할수있습니다. 도커이미지는커뮤니티를통해지원됩니다. https://hub.docker.com/r/splunk/splunk/ 를참조하십시오. 컨테이너식인프라에배포된 Splunk Enterprise 에관한자세한내용은 Splunk 답변사이트에서 Splunk 가 Kubernetes 에서지원됩니까를참조하십시오. Splunk 제품관리팀에물어볼질문과전달할피드백은해당게시물의코멘트섹션에게시하십시오. 권장하드웨어용량 다음요구사항은사용량이중간이하인단일인스턴스설치에해당됩니다. 대규모기업및분산배포에요구되는하드웨어용량은용량계획매뉴얼을참조하십시오. 플랫폼 Windows 가아닌플랫폼 Windows 플랫폼 권장하드웨어용량 / 설정 2x 6 코어, 2+ GHz CPU, 12GB RAM, RAID(Redundant Array of Independent Disks) 0 또는 1+0, 64 비트 OS 설치 2x 6 코어, 2+ GHz CPU, 12GB RAM, RAID 0 또는 1+0, 64 비트 OS 설치 RAID 0 디스크설정은내결함성을지원하지않습니다. RAID 0 으로설정된시스템에 Splunk Enterprise 인덱서를배포하기전에 RAID 0 설정이필요한데이터신뢰성수준을충족하는지확인하십시오. 포워더를포함한모든 Splunk Enterprise 인스턴스의빈하드디스크공간을인덱스에필요한공간외에 5GB 이상으로유지하십시오. 필요한디스크공간을추산하는절차는용량계획에서저장소요구사항평가를참조하십시오. 빈공간을이수준으로유지하지않으면성능이저하되고운영체제장애및데이터손실이발생할수있습니다. 유니버설포워더및라이트포워더하드웨어요구사항 유니버설포워더에는여러자체적인하드웨어요구사항이있습니다. 유니버설포워더매뉴얼의유니버설포워더시스템요구사항을참조하십시오. 지원되는파일시스템 이테이블에없는파일시스템에서 Splunk Enterprise 를실행할경우소프트웨어에서 locktest 라는시작유틸리티를실행하여파일시스템의적합성을테스트할수있습니다. locktest 에실패할경우파일시스템이 Splunk Enterprise 와함께사용하는데적합하지않음을의미합니다. 플랫폼 파일시스템 Linux ext2, ext3, ext4, btrfs, XFS, NFS 3/4 Solaris( 유니버설포워더만 ) UFS, ZFS, VXFS, NFS 3/4 FreeBSD( 유니버설포워더만 ) FFS, UFS, NFS 3/4, ZFS Mac OS X HFS, APFS, NFS 3/4 AIX JFS, JFS2, NFS 3/4 Windows NTFS, FAT32 네트워크파일시스템 (NFS) 관련고려사항 Splunk 인덱싱용저장매체로네트워크파일시스템 (NFS) 을사용하는경우파일수준저장소가미치는영향을모두고려하십시오. 데이터인덱싱에파일수준저장소대신블록수준저장소를사용하십시오. 환경에신뢰할수있고대기시간이짧은고속링크가있거나, 고가용성클러스터네트워크저장소를제공하는공급업체를사용하는경우 NFS 가적절한선택이될수있습니다. 그러나이방법을선택하는고객은하드웨어공급업체와협력하여저장소플랫폼이성능및데이터무결성에관한공급업체사양을모두충족하는지확인해야합니다. NFS 를사용하는경우다음사항에주의하십시오. NFS를사용하여 hot 또는 warm 인덱스버킷을호스트하지마십시오. NFS 장애로인해데이터가손실될수있습니다. NFS는 cold 또는 frozen 버킷에가장효과적입니다. NFS를사용하여 cold 또는 frozen 인덱스버킷을인덱서클러스터간에공유하지마십시오. 단일장애지점이생길수있습니다. Splunk Enterprise는 " 소프트 " NFS 마운트를지원하지않습니다. " 소프트 " NFS 마운트란장애발생시마운트에서파일작업을시도하는프로그램이오류를보고한후에작업을계속하도록하는마운트입니다. Splunk Enterprise에서는 " 하드 " NFS 마운트 ( 클라이언트가장애발생시에서버연결을계속시도하는마운트 ) 만안 8
정적으로사용할수있습니다. 속성캐싱을비활성화하지마십시오. 속성캐싱을비활성화하거나줄여야하는다른애플리케이션이있는경우에는속성캐싱이활성화된별도의마운트를 Splunk Enterprise 에제공해야합니다. NFS 마운트를 WAN( 광역네트워크 ) 에서사용하지마십시오. 성능문제가발생하고데이터손실로이어질수있습니다. *nix 시스템의시스템전역리소스한계에관한고려사항 Splunk Enterprise 는모니터링, 전달, 배포, 검색등에필요한파일설명자및사용자프로세스와같은시스템전역리소스를 *nix 시스템에할당합니다. ulimit 명령어는이런리소스에대한액세스를제어하는데사용하며, 리소스는 Splunk Enterprise 가 *nix 시스템에서올바로작동하는데필요한액세스수준으로설정해야합니다. Splunk Enterprise 인스턴스에서수행하는작업이많을수록리소스가더많이필요합니다. 인스턴스에서낮은리소스한도와관련된문제가발생하기시작하면 ulimit 값을상향조정해야합니다. 문제해결매뉴얼에서 'splunkd.log 에 ulimit 에대한오류가표시됩니다 ' 를참조하십시오. 아래테이블에는소프트웨어에서사용하는시스템전역리소스가나와있습니다. 인덱서, 검색헤드, 클러스터마스터, 라이선스마스터, 배포서버및모니터링콘솔 (MC) 등포워더가아닌인스턴스에권장되는최소리소스설정도나와있습니다. 시스템전역리소스 ulimit 호출방법 권장최소값 열린파일 ulimit -n 64000 사용자프로세스 ulimit -u 16000 데이터세그먼트크기 ulimit -d 1073741824 FreeBSD 를실행하는컴퓨터에서는기본및최대처리스택크기에대한커널매개변수를상향조정해야할수있습니다. 아래테이블에는호스트의 /boot/loader.conf 에있어야하는매개변수가나와있습니다. 시스템전역리소스 커널매개변수 권장값 기본처리데이터크기 ( 유연한한도 ) dfldsiz 2147483648 최대처리데이터크기 ( 엄격한한도 ) maxdsiz 2147483648 AIX 를실행하는컴퓨터에서는최대파일크기 (fsize) 및상주메모리크기 (rss) 에대한시스템전역리소스한도를상향조정해야할수있습니다. 아래테이블에는 Splunk 소프트웨어를실행하는사용자의 /etc/security/limits 에있어야하는매개변수가나와있습니다. 시스템전역리소스 ulimit 호출방법 권장값 데이터세그먼트크기 ulimit -d 1073741824 상주메모리크기 ulimit -m 536870912 열린파일수 ulimit -n 8192 파일크기제한 ulimit -f -1 ( 무제한 ) 이고려사항은 Windows 기반시스템에해당되지않습니다. SDD(solid disk drive) 관련고려사항 SSD(solid state drive) 를블룸필터와함께사용하면 " 희귀 " 검색 ( 대량의데이터에대해소수의결과를요청하는검색 ) 시기존하드드라이브에비해 Splunk 의성능이크게향상될수있습니다. 동시검색시에도성능이전반적으로향상될수있습니다. CIFS(Common Internet File System)/SMB(Server Message Block) 관련고려사항 Splunk Enterprise 는 Windows 호스트에의해호스트되는공유에서만 CIFS/SMB 프로토콜을다음과같은목적으로사용하도록지원합니다. 검색헤드풀링 ( 검색헤드풀링은지원이중단된기능임 ) cold 또는 frozen 인덱스버킷저장 CIFS 리소스를저장용으로사용할경우파일및공유수준에서모두리소스에연결할수있는쓰기권한이리소스에있는지확인하십시오. 타사저장장치를사용하는경우 Splunk Enterprise 인스턴스가클라이언트로실행하는구현과타사저장장 9
치의 CIFS 구현이호환되는지확인하십시오. Windows 에서데이터를매핑된네트워크드라이브 ( 예 : 외부공유에매핑된 "Y:\") 에인덱싱하지마십시오. Splunk Enterprise 에서는비물리적드라이브문자와충돌하는모든인덱스를비활성화합니다. THP(Transparent Huge Pages) 메모리관리기법을사용하는환경관련고려사항 TH(Transparent Huge) 메모리페이지를이용하는 Unix 컴퓨터에서 Splunk Enterprise 를실행하는경우, Splunk Enterprise 를설치하기전에릴리스노트의 TH(Transparent Huge) 메모리페이지와 Splunk 성능을참조하십시오. 이고려사항은 Windows 운영체제에해당되지않습니다. 추가참고자료 사용가능한최신버전을다운로드하는방법은 Splunk Enterprise 다운로드페이지를참조하십시오. 이릴리스의알려진문제와해결된문제에대한자세한내용은릴리스노트를참조하십시오. 용량계산에대한자세한내용은용량계획매뉴얼의 Splunk Enterprise 용량계획소개를참조하십시오. Splunk Enterprise 아키텍처및프로세스 이항목에서는 Splunk Enterprise 의내부아키텍처와프로세스에대해개괄적으로설명합니다. Splunk Enterprise 에서사용되는타사구성요소에대한내용은릴리스노트의 credits 부분을참조하십시오. Splunk Enterprise 프로세스 Splunk Enterprise 서버는호스트에 splunkd 프로세스를설치합니다. splunkd 는스트리밍 IT 데이터를액세스및처리하고인덱싱하는분산 C/C++ 서버로, 검색요청도처리합니다. splunkd 는데이터를프로세서로구성된일련의파이프라인을통해스트리밍하여처리하고인덱싱합니다. 파이프라인은각각하나의 XML 조각으로설정된 splunkd 프로세스에있는단일스레드입니다. 프로세서는재사용가능한개별적인 C 또는 C++ 함수로, 파이프라인을통과하는 IT 데이터스트림에작용합니다. 파이프라인은대기열을통해서로데이터를전달할수있습니다. 버전 6.2부터는 splunkd에서 Splunk Web 사용자인터페이스도제공합니다. 따라서사용자는웹인터페이스를통해데이터를검색및탐색하고 Splunk Enterprise 배포를관리할수있습니다. 파이프라인은 REST(REpresentational State Transfer) 를통해웹브라우저와통신합니다. splunkd 는 SSL/HTTPS가기본적으로켜져있는포트 8089에서웹서버를실행합니다. SSL/HTTPS가기본적으로꺼져있는포트 8000에서도웹서버를실행합니다. splunkweb 은이제 Windows 에만기존서비스로설치됩니다. 6.2 이전버전에서는 Splunk Enterprise 용웹인터페이스를제공했습니다. 이제는 splunkweb 이설치및실행되지만즉시종료됩니다. 설정매개변수를변경하여 " 기존모드 " 에서실행되도록설정할수있습니다. Windows 시스템에서 splunkweb.exe 는 Splunk 가 pythonservice.exe 의이름을바꾼타사의오픈소스실행파일입니다. 이름을바꾼파일이기때문에이파일에는다른 Splunk Enterprise for Windows 바이너리와동일한파일버전정보가포함되어있지않습니다. Splunk Enterprise 와함께제공되는다른 Windows 타사바이너리에대한정보를읽어보십시오. Splunk Enterprise와 Windows 안전모드 Windows 안전모드에서는 Splunk 서비스가시작되지않습니다. 안전모드일때시작메뉴에서 Splunk Enterprise 를시작하려고하면서비스가실행중이아니라는경고가따로표시되지않습니다. Windows에설치된 Splunk Enterprise의추가프로세스 Splunk Enterprise 의 Windows 인스턴스에서는앞에서설명한두가지서비스외에사용자가 Splunk Enterprise 인스턴스에서특정한데이터입력정보를만들때 Splunk Enterprise 가추가적인프로세스를사용합니다. 이런입력정보는특정 Windows 관련데이터입력유형에의해설정되었을때실행됩니다. splunk.exe splunk.exe 는 Splunk Enterprise 의 Windows 버전에서사용되는제어애플리케이션입니다. 이애플리케이션은프로그램의명령줄인터페이스 (CLI) 를제공합니다. 이를통해 *nix splunk 프로그램과유사하게 Splunk Enterprise 를시작, 중지및설정할수있습니다. splunk.exe 바이너리는 splunkd 및 splunkweb 프로세스를제어하는방법으로인해 elevated 컨텍스트가있어야만실행할수 10
있습니다. Windows 시스템에서이프로그램에적절한권한이없으면 Splunk Enterprise 가올바르게작동하지않을수있습니다. Splunk Enterprise 를로컬시스템사용자로설치하면이문제가발생하지않습니다. splunk-admon splunk-admon.exe 은 Active Directory(AD) 모니터링입력을설정할때마다실행됩니다. splunkd 는가장가까운사용가능한 AD 도메인컨트롤러에연결하고 AD 에의해생성된변경이벤트를수집하는 splunk-admon 을생성합니다. Splunk Enterprise 는해당이벤트를인덱스에저장합니다. splunk-perfmon splunk-perfmon.exe 는로컬 Windows 컴퓨터의성능데이터를모니터링하도록 Splunk Enterprise 를설정할때실행됩니다. 이바이너리는시스템의성능라이브러리를쿼리하고성능메트릭을순간적으로, 그리고일정기간에걸쳐추출하는성능데이터도우미라이브러리에연결됩니다. splunk-netmon splunk-netmon 은로컬컴퓨터의 Windows 네트워크정보를모니터링하도록 Splunk Enterprise 를설정할때실행됩니다. splunk-regmon splunk-regmon.exe 는 Splunk 에서레지스트리모니터링입력을설정할때실행됩니다. 이입력은 ( 요청시 ) 처음에레지스트리의기준선을현재상태에서기록한후일정기간동안레지스트리에대한변경사항을모니터링합니다. splunk-winevtlog 이유틸리티는정의된이벤트로그컬렉션을테스트하기위해사용할수있으며, 조사할이벤트를수집하는동시에출력합니다. Splunk Enterprise 에는엔진에내장된 Windows 이벤트로그입력프로세서가있습니다. splunk-winhostmon splunk-winhostmon 은 Splunk 에서 Windows 호스트모니터링입력을설정할때실행됩니다. 이입력은 Windows 호스트에대한자세한정보를가져옵니다. splunk-winprintmon splunk-winprintmon 은 Splunk 에서 Windows 인쇄모니터링입력을설정할때실행됩니다. 이입력은로컬시스템의 Windows 프린터및인쇄작업에대한자세한정보를가져옵니다. splunk-wmi 성능모니터링, 이벤트로그또는기타입력을원격컴퓨터에대해설정하면이프로그램이실행됩니다. 입력을설정하는방법에따라이프로그램은전송되는 Windows 이벤트로그에연결하고읽으려고하거나지정된원격컴퓨터의 WMI(Windows Management Instrumentation) 공급자에대해 WQL(Windows Query Language) 쿼리를실행합니다. 아키텍처도표 Splunk Enterprise와함께배포되는 Windows 타사바이너리에대한정 11
보 Splunk Enterprise 와 Splunk 유니버설포워더패키지에포함된타사 Windows 바이너리에대해알아보십시오. 유니버설포워더에대한자세한내용은데이터전달매뉴얼의데이터전달및수신을참조하십시오. Splunk Enterprise와함께제공되는타사 Windows 바이너리 Splunk Enterprise 는다음과같은타사 Windows 바이너리와함께제공됩니다. 달리명시된경우를제외하고, Splunk Enterprise 제품에는이런바이너리가포함되어있습니다. 바이너리는개별설명에나와있는기능을 Splunk Enterprise 에제공합니다. 바이너리에는파일버전정보나인증코드서명 ( 바이너리파일의신뢰성을증명하는인증서 ) 이포함되어있지않습니다. 또한 Splunk Enterprise 는타사모듈과관련된디버그기호를지원하지않습니다. Splunk Enterprise 와함께제공되지않는바이너리, 앱및스크립트는 Certified for Windows Server 2008 R2(CFW2008R2) Windows Logo 준수테스트를거치지않았습니다. Archive.dll Libarchive.dll 은다중형식아카이브및압축라이브러리입니다. Splunk Enterprise 와 Splunk 유니버설포워더에는모두이바이너리가포함되어있습니다. Bzip2.exe Bzip2 는특허가없는고품질데이터압축프로그램입니다. 이압축프로그램은일반적으로사용가능한최고기술 (PPM(Prediction by Partial Matching)) 계열의통계압축프로그램 ) 의 10% ~ 15% 에가까운수준으로파일을압축하는한편, 압축속도는약 2 배정도더빠르고압축해제속도는 6 배더빠릅니다. Jsmin.exe Jsmin.exe 는 JavaScript 파일에서공백과주석을제거하여크기를줄이는실행파일입니다. Libexslt.dll Libexslt.dll 은 (GNOME(GNU is Not Unix Network Object Model Environment) 프로젝트의일부인 ) libxslt 용으로개발된 EXSLT(Extensible Stylesheet Language Transformation) 동적링크 C 라이브러리의확장파일입니다. Splunk Enterprise 와 Splunk 유니버설포워더에는모두이바이너리가포함되어있습니다. Libxml2.dll Libxml2.dll 은 XML(Extensible Markup Language) C 파서및도구키트라이브러리입니다. 이라이브러리는 GNOME 프로젝트를위해개발되었지만, GNOME 플랫폼외부에서도사용할수있습니다. Splunk Enterprise 와 Splunk 유니버설포워더에는모두이바이너리가포함되어있습니다. Libxslt.dll Libxslt.dll 은 GNOME 프로젝트용으로개발된 XSLT(XML Stylesheet Language for Transformations) 동적링크 C 라이브러리입니다. XSLT 자체는 XML 의변환을정의하는 XML 언어입니다. Libxslt 는 GNOME 프로젝트용으로개발된 XML C 라이브러리인 libxml2 에기반을두고있습니다. 또한 Libxslt 는대부분의 EXSLT 프로세서이식확장기능집합과 Saxon 의일부평가및식확장도구현합니다. Splunk Enterprise 와 Splunk 유니버설포워더에는모두이바이너리가포함되어있습니다. Minigzip.exe Minigzip.exe 는 'gzip' 압축도구의최소구현파일입니다. Openssl.exe OpenSSL 프로젝트는 SSL(Secure Sockets Layer) v2/v3 및 TLS(Transport Layer Security) v1 프로토콜과전체범용암호화라이브러리를구현하는상용등급의강력한모든기능을갖춘오픈소스툴킷을개발하기위한협력작업입니다. Splunk Enterprise 와 Splunk 유니버설포워더에는모두이바이너리가포함되어있습니다. 12
Python.exe Python.exe 는 Windows 용 Python 프로그래밍언어라이브러리입니다. Pythoncom.dll Pythoncom.dll 은 Python 용 OLE(Object Linking and Embedding) 자동화 API 가포함된모듈입니다. Pywintypes27.dll Pywintypes27.dll 은 Python 2.7 버전용 Windows 유형이포함된모듈입니다. 설치방법 사용중인운영체제에해당되는자세한설치방법을확인하려면다음중하나를선택하십시오. Windows Windows( 명령줄사용 ) Linux 전체 Splunk Enterprise 는 macos 에서사용할수없지만, 평가판및무료버전을사용할수있습니다. macos 일부운영체제에서 Splunk Enterprise를사용할수없음 Splunk Enterprise 7.0.0 이후버전은다음운영체제에서더이상사용할수없습니다. 해당운영체제에서 Splunk Enterprise 를설치하고사용하려면 7.0.0 이전버전을사용해야합니다. 유니버설포워더는해당플랫폼에설치할수있습니다. 유니버설포워더지침은다음링크를참조하십시오. Solaris 다음운영체제는 Splunk Enterprise 6.3.0 버전부터지원되지않습니다. 유니버설포워더지침이제공됩니다. FreeBSD AIX HP-UX 13
Splunk Enterprise 설치보안 Splunk Enterprise 보안 설치또는업그레이드한 Splunk Enterprise 를설정하고사용하기시작할때 Splunk Enterprise 와데이터의보안을보장하기위한추가단계를몇가지이행하십시오. Splunk Enterprise 를보호하기위한적절한조치를취하면공격을당할가능성이줄어들고대부분의취약점으로인한위험과영향이완화됩니다. 이절에는설치전후나도중에 Splunk Enterprise 보안을강화할수있는몇가지방법이강조표시되어있습니다. Splunk Enterprise 보안매뉴얼에서는 Splunk Enterprise 를안전하게보호할수있는방법에대해자세히설명합니다. Splunk Enterprise를설치하기전에시스템보안 Splunk Enterprise 를설치하기전에운영체제의보안수준을높이십시오. 모든 Splunk Enterprise 서버운영체제를강화하십시오. 소속조직에내부강화표준이없는경우 CIS 강화벤치마크를사용하십시오. 최소한쉘및명령줄액세스권한을 Splunk Enterprise 서버로제한하십시오. 모든 Splunk Enterprise 서버에대한물리적액세스를보안하십시오. Splunk Enterprise 최종사용자가물리적보안과 endpoint 보안을실천하도록하십시오. Splunk Enterprise 보안설치 Splunk Enterprise 를다운로드하고설치할때 Splunk 설치의무결성과서명을확인하십시오. 무결성확인 Splunk Enterprise 가해시를비교하기위해 MD5(Message Digest 5) 및 SHA-512(Secure Hash Algorithm-512) 같은해시기능을사용하여다운로드하는지확인하십시오. 신뢰할수있는 OpenSSL 버전을사용하십시오. MD5 이절차는 Splunk 웹사이트에서다운로드하는설치파일의 MD5 해시를파일의예상해시와비교하는데도움이됩니다. 실행하는운영체제에따라파일을비교하는데사용하는도구가다를수있습니다. MD5 해시를확인하기전에이런도구를다운로드해야할수있습니다. 1. 원하는 Splunk 플랫폼과버전에해당하는설치패키지를다운로드합니다. 2. " 다운로드해주셔서감사합니다 " 페이지에서해당패키지의 MD5 해시파일링크를클릭합니다. 3. 쉘프롬프트또는터미널창을엽니다. 4. MD5 해시파일의내용을인쇄합니다. cat splunk-x.x.x-xxxxxxxxxxxx-linux-x86-64.tgz.md5 MD5 (splunk-x.x.x-xxxxxxxxxxxx-linux-x86_64.tgz) = c63c869754d420bb62f04f4096877481 5. md5 도구를설치프로그램패키지를대상으로실행합니다. md5 splunk-x.x.x-xxxxxxxxxxxx-linux-x86-64.tgz MD5 (splunk-x.x.x-xxxxxxxxxxxx-linux-x86_64.tgz) = c63c869754d420bb62f04f4096877481 6. 두명령의출력을모두비교합니다. 7. 해시가일치하는경우, 다운로드한설치패키지가 splunk.com 웹사이트에있는패키지와동일함을의미합니다. SHA512 1. 다운로드링크이름을복사합니다. 2. SHA512 를추가합니다. 3. https://download.splunk.com/products/splunk/releases/6.4.3/windows/splunk-6.4.3-b03109c2bad4-x64- release.msi.sha512 서명확인 다운로드한 RPM 패키지의신뢰성을 Splunk GnuPG 공개키를사용하여확인하십시오. 1. GnuPG 공개키파일을다운로드합니다. ( 이링크에는 TLS(Transport Layer Security) 가사용됩니다.) 2. 키를설치합니다. 14
rpm --import <filename> 3. 패키지서명을확인합니다. rpm -K <filename> Splunk Enterprise를보안하는추가방법 Splunk Enterprise 를설치한후더많은옵션을사용하여설정의보안을강화할수있습니다. 사용자인증및역할기반액세스제어설정 사용자를설정하고역할을사용하여액세스를제어하십시오. Splunk Enterprise 에서는여러방법으로사용자를설정할수있습니다. Splunk Enterprise 보안에서다음내용을참조하십시오. 기본제공되는인증시스템. Splunk Enterprise 기본인증을사용하여사용자인증설정을참조하십시오. LDAP. LDAP 을사용하여사용자인증설정을참조하십시오. PAM(Pluggable Authentication Module) 또는 RADIUS(Remote Access Dial-In User Server) 와같은외부인증시스템과함께사용하는스크립트기반인증 API. 외부시스템을사용하여사용자인증설정을참조하십시오. 사용자를설정한후 Splunk Enterprise 에서기능과액세스레벨을결정하고제어하는역할을할당할수있습니다. 역할기반사용자액세스를참조하십시오. SSL 인증서를사용하여암호화및인증설정 Splunk Enterprise에는기본인증서및키집합이함께제공되며이를활성화하면암호화및데이터압축기능이제공됩니다. 인증서및키는브라우저와 Splunk Web 간의통신뿐만아니라인덱서와같은포워더에서수신기로전송되는데이터를보안하는경우에도사용할수있습니다. 이매뉴얼에서 "SSL 을사용한 Splunk 보안 " 을참조하십시오. Splunk Enterprise 감사 (Audit) Splunk Enterprise 에는데이터의신뢰성을추적하기위해사용할수있는감사 (audit) 기능이포함되어있습니다. 데이터가져오기의파일및디렉터리모니터링 Splunk Enterprise 보안의감사 (audit) 이벤트검색 Splunk Enterprise 설치강화 Splunk Enterprise 보안의다음항목을참조하여설치를강화하십시오. 여러서버에보안암호배포 Splunk Enterprise 액세스제어리스트사용 서비스계정보안 불필요한 Splunk Enterprise 구성요소비활성화 네트워크에서 Splunk Enterprise 보안 15
Windows에 Splunk Enterprise 설치 Splunk Enterprise 실행 Windows 사용자선택 Splunk Enterprise 를 Windows 에설치하는경우소프트웨어를실행할 Windows 사용자를선택할수있습니다. Splunk Enterprise로모니터링할대상에따라사용자선택 Splunk Enterprise 를어떤사용자로실행하느냐에따라 Splunk Enterprise 가모니터링할수있는대상이결정됩니다. 로컬시스템사용자는기본적으로로컬컴퓨터의모든데이터에액세스할수있지만그외의데이터에는액세스할수없습니다. 로컬시스템이외의다른사용자는원하는데이터에액세스할수있지만, Splunk Enterprise 를설치하기전에해당사용자에게액세스권한을부여해야합니다. 로컬시스템사용자및기타사용자선택 Windows Splunk Enterprise 설치프로그램은두가지설치방식을제공합니다. 로컬시스템사용자로설치 Windows 컴퓨터또는네트워크상의다른기존사용자를지정하여설치 Splunk Enterprise 를사용하여다음과같은작업을수행하려면도메인사용자로설치해야합니다. 이벤트로그원격읽기성능카운터원격수집네트워크공유로그파일읽기 Active Directory 모니터링을사용하여 Active Directory 스키마에액세스 다음요구사항을충족하는사용자를지정해야합니다. 사용자가아래요구사항을충족하지않는경우 Splunk Enterprise 설치에실패할수있습니다. 설치에성공해도 Splunk Enterprise 가올바르게실행되지않거나전혀실행되지않을수있습니다. (AD 사용시 ) 모니터링할 Active Directory 도메인또는 forest 의구성원이어야합니다. Splunk Enterprise 를설치할서버의로컬 Administrators 그룹구성원이어야합니다. 특정사용자보안권한이있어야합니다. Splunk Enterprise 를어떤사용자로실행해야하는지확실하지않으면데이터가져오기매뉴얼의원격 Windows 데이터를모니터링하는방법을결정할때고려할사항에서 Splunk Enterprise 사용자를필요한액세스권한과함께설정하는방법에대한내용을확인해보십시오. 사용자계정및암호에대한고려사항 Splunk Enterprise 를실행하도록지정한사용자의암호에는고유한제약조건이적용됩니다. Windows 네트워크에암호관련보안정책이있는경우해당정책에따라사용자암호의유효성이판별됩니다. 이정책에서암호변경을요구하는경우 Splunk Enterprise 서비스가계속실행되도록하려면다음작업중하나를수행해야합니다. 암호의유효기간이만료되기전에암호를변경하고모든컴퓨터에서변경된암호를사용하도록 Splunk Enterprise 서비스의설정을변경한후각컴퓨터에서 Splunk Enterprise 를다시시작합니다. 암호가만료되지않도록 Splunk Enterprise 가사용하는계정을설정합니다. 관리서비스계정을사용합니다. 이항목뒷부분에있는 " 관리서비스계정사용 " 을참조하십시오. 관리서비스계정사용 다음조건을모두충족할수있는경우관리서비스계정 (MSA) 을사용하여 Splunk Enterprise 를실행할수있습니다. Windows Server 2008 R2 이상이나 Windows 8 이상을 Active Directory 에서실행하는경우 Active Directory 의도메인컨트롤러중하나이상이 Windows Server 2008 R2 이상을실행하는경우 MSA 를사용하는이점은다음과같습니다. 서비스용계정이분리되어보안이강화됩니다. 관리자가더이상자격증명을관리하거나계정을관리할필요가없습니다. 암호는만료되면자동으로변경됩니다. 해당계정과관련된암호를수동으로설정하거나서비스를수동으로다시시작하지않아도됩니다. 관리자는해당계정의관리를관리자가아닌사용자에게위임할수있습니다. MSA 를사용하여 Splunk Enterprise 를설치하기전에알아야하는중요한사항은다음과같습니다. MSA 에는 Splunk Enterprise 를실행하는컴퓨터의도메인계정과동일한권한이필요합니다. MSA 는 Splunk Enterprise 를실행하는컴퓨터의로컬관리자여야합니다. 16
동일한계정을도메인계정처럼서로다른컴퓨터에서사용할수없습니다. Splunk Enterprise 를컴퓨터에설치하기전에 Splunk Enterprise 를실행하는컴퓨터에서 MSA 를올바르게설정하고설치해야합니다. MS Technet 에서 Service Accounts Step-by-Step Guide 를참조하십시오. MSA 를사용하여 Splunk Enterprise 를설치하려면 Splunk Enterprise 를네트워크또는도메인사용자로설치하기위해 Windows 네트워크준비를참조하십시오. 보안및원격액세스고려사항 최소권한요구사항 Splunk Enterprise 를도메인사용자로설치하는경우인스턴스를실행하는컴퓨터에서몇가지기본권한을변경해야합니다. Splunk Enterprise 를도메인사용자로설치하는경우 splunkd 및 splunkforwarder 서비스에서특정사용자권한을요구합니다. 모니터링할데이터의원본에따라 Splunk Enterprise 사용자에게권한이추가로필요할수있습니다. 해당권한을설정하지않으면 Splunk Enterprise 설치에실패하거나설치본이올바로작동하지않을수있습니다. splunkd 또는 splunkforwarder 서비스에필요한기본권한 Splunk Enterprise 설치디렉터리에대한완전한제어권한인덱싱할모든파일에대한읽기권한 splunkd 또는 splunkforwarder 서비스에할당해야하는로컬 / 도메인보안정책사용자권한 서비스로로그온할수있는권한일괄작업으로로그온할수있는권한프로세스수준토큰을바꿀수있는권한운영체제의일부로작동할수있는권한트래버스검사를무시할수있는권한 각권한을할당하는방법 이절에서는설치하기전에 Splunk Enterprise 서비스계정에올바른사용자권리및권한을할당하는방법에대해설명합니다. 절차는 Splunk Enterprise 를네트워크또는도메인사용자로설치하기위해 Windows 네트워크준비를참조하십시오. 그룹정책을사용하여여러컴퓨터에권한할당 정책설정을 AD forest 의여러컴퓨터에할당하려면해당권한이있는그룹정책개체 (GPO) 를정의하고 GPO 를전체 forest 에배포할수있습니다. GPO 를만들고활성화한후에는 forest 에속한컴퓨터가예정된다음 AD 복제주기 ( 일반적으로 1.5-2 시간주기 ) 중에, 또는다음부팅시에변경사항을적용합니다. 또는그룹정책을업데이트할컴퓨터에서 GPUPDATE 명령줄유틸리티를사용하여 AD 를강제로복제할수있습니다. GPO 를사용하여사용자권한을설정하면해당권한이컴퓨터의동일한로컬보안정책권한보다우선합니다. 이설정은변경할수없습니다. 로컬보안정책권한을보존하려면해당권한을 GPO 안에서할당해야합니다. 권한문제해결 위에서설명한권한은 splunkd 및 splunkforwarder 서비스를실행하기위해필요한권한입니다. 원하는데이터에액세스하려면추가권한을할당해야할수있습니다. 사용자권한을많이할당하고기타그룹정책제한사항이있을경우 Splunk Enterprise 가실행되지않을수있습니다. 문제가발생할경우 Process Monitor 또는 GPRESULT 명령줄도구같은도구를사용하여해당환경에서 GPO 애플리케이션문제를해결해보십시오. 네트워크또는도메인사용자로설치하기위해 Windows 네트워크준비 Splunk Enterprise 를 " 로컬시스템 " 사용자가아닌네트워크또는도메인사용자로설치할수있도록 Windows 네트워크를준비할수있습니다. 아래지침은 Windows Server 2008 R2, Windows Server 2012 및 Windows Server 2012 R2 에서테스트되었으며, 다른 Windows 버전에서는다를수있습니다. 아래지침에따라할당하는권한은 Splunk Enterprise 를성공적으로설치하는데필요한최소권한입니다. Splunk Enterprise 가필요한데이터에액세스하기위해서는로컬보안정책또는그룹정책개체 (GPO) 내에서또는새로만드는사용자및그룹계정에추가권한을할당해야할수있습니다. 그룹정책에따라시스템기본값을변경하는경우의보안요구사항및해당변경의영향 17
아래절차에서는 Splunk Enterprise 작업을위해준비할호스트또는 Active Directory 도메인에대한완전한관리액세스권한이필요합니다. 해당권한없이이단계를수행하지마십시오. Splunk Enterprise 작업에는낮은수준의액세스권한이필요하므로로컬시스템사용자가아닌다른사용자로 Splunk Enterprise 를실행하려면해당변경사항을적용해야합니다. 이절차를마치려면 Windows 네트워크에변경사항을적용해야합니다. 이런변경사항을적용하면심각한보안위험이초래될수있습니다. 위험을줄이기위해 Splunk Enterprise 실행사용자의수동로그인을차단하고사용자가로그인할수있는컴퓨터수를제한할수있습니다. 또한 Windows Server 2008 R2 이상에서는관리사용자계정 (MSA) 을설정하여위험을더욱줄이는방법도있습니다. 이절차에수반되는보안위험을감수하고싶지않거나이해하지못하는경우, 절차를수행하지마십시오. Splunk를도메인사용자로설치하기위해 Active Directory 준비 Splunk Enterprise 또는 Splunk 유니버설포워더를도메인사용자로설치하기위해 Active Directory 를준비하십시오. PowerShell 을사용하여 Active Directory 를 Splunk Enterprise 설치에사용할수있게설정하려면이항목의뒷부분에있는 "PowerShell 을사용하여 AD 도메인설정 " 을참조하십시오. 전제조건 다음절차를수행하려면다음요구사항을충족해야합니다. Windows 환경에서 Active Directory 를실행합니다. 사용자가설정할 AD 도메인의도메인관리자입니다. 설치호스트가이 AD 도메인의구성원입니다. 사용자만들기 Splunk Enterprise 실행사용자를만들때 Microsoft 베스트프랙티스를따르십시오. MS TechNet 에서 Microsoft 베스트프랙티스를참조하십시오. 1. 시작 > 관리도구 > Active Directory 사용자및컴퓨터를선택하여 Active Directory 사용자및컴퓨터도구를실행합니다. 2. Splunk Enterprise 작업을위해준비할도메인을선택합니다. 3. 작업 > 새로만들기 > 사용자를클릭합니다. 4. 새사용자의사용자이름을입력하고다음을클릭합니다. 5. 사용자가다음번에로그온할때암호를변경해야함을선택해제합니다. 6. 다음을클릭합니다. 7. 마침을클릭합니다. 8. ( 선택사항 ) 이절차를반복하여사용자를더만듭니다. 9. ( 선택사항 ) Active Directory 사용자및컴퓨터를종료합니다. 그룹만들기 이절차에서는 Splunk Enterprise 를실행하는사용자및컴퓨터의그룹을만듭니다. 1. 시작 > 관리도구 > Active Directory 사용자및컴퓨터를선택하여 Active Directory 사용자및컴퓨터도구를실행합니다. 2. Splunk Enterprise 작업을위해준비할도메인을선택합니다. 3. 기존컨테이너폴더를두번클릭하거나작업메뉴에서새로만들기 > 그룹을선택하여조직구성단위를만듭니다. 4. 작업 > 새로만들기 > 그룹을선택합니다. 5. Splunk Enterprise 사용자계정을나타내는이름 ( 예 : Splunk Accounts) 을입력합니다. 6. 그룹범위가도메인로컬로설정되고그룹유형이보안으로설정되었는지확인합니다. 7. 확인을클릭하여그룹을만듭니다. 8. 두번째그룹을만들고 Splunk Enterprise 사용컴퓨터를나타내는이름 ( 예 : Splunk Enabled Computers) 을지정합니다. 이그룹에는 Splunk Enterprise를도메인사용자로실행할수있는권한을부여받는컴퓨터계정이포함됩니다. 9. 그룹범위가도메인로컬이고그룹유형이보안인지확인합니다. 그룹에사용자및컴퓨터할당 절차의이부분에서는이전부분에서만든사용자와컴퓨터를할당합니다. 1. Splunk Accounts 그룹에계정을추가합니다. 2. Splunk Enterprise를실행할컴퓨터의컴퓨터계정을 Splunk Enabled Computers 그룹에추가합니다. 3. ( 선택사항 ) Active Directory 사용자및컴퓨터를종료합니다. 18
그룹정책개체 (GPO) 정의 여기서만드는그룹정책개체 (GPO) 는 Splunk Enterprise 를실행하는모든컴퓨터에분산됩니다. GPO 는 Splunk Enterprise 를더쉽게실행할수있는권한을컴퓨터에할당합니다. 1. 시작 > 관리도구 > 그룹정책관리를선택하여그룹정책관리콘솔 (GPMC) 도구를실행합니다. 2. 왼쪽트리뷰창에서도메인을선택합니다. 3. 그룹정책개체폴더를클릭합니다. 4. <your domain> 에있는그룹정책개체폴더에서새로만들기를마우스오른쪽단추로클릭하여선택합니다. 5. GPO가적용되는서버에사용자권한을할당할것이라는사실을설명하는이름을입력합니다 ( 예 : "Splunk Access"). 6. 원본스타터 GPO 필드의설정을 "(none)" 으로유지합니다. 7. 확인을클릭하여 GPO를저장합니다. 8. GPMC에계속있습니다. GPMC에서다음절에추가작업을수행할것입니다. GPO에권한추가 1. GPMC에계속있는동안새로만든그룹정책개체를마우스오른쪽단추로클릭하고편집을선택합니다. 2. 그룹정책관리편집기의왼쪽창에서컴퓨터설정 -> 정책 -> Windows 설정 -> 보안설정 -> 로컬정책 -> 사용자권한할당으로이동합니다. 1. 오른쪽창에서운영체제의일부로작동항목을두번클릭합니다. 2. 창이열리면이정책설정정의체크박스를선택합니다. 3. 사용자또는그룹추가...; 를클릭합니다. 4. 대화상자가열리면찾아보기...; 를클릭합니다. 5. 사용자, 컴퓨터, 서비스계정또는그룹선택대화상자가열리면이전에만든 "Splunk Accounts" 그룹의이름을입력한후이름확인...; 창을클릭합니다. 유효한이름에밑줄이표시됩니다. 이름이유효하지않으면개체를찾을수없음을알리고개체이름을다시요청합니다. 6. 확인을클릭하여 " 사용자선택...;" 대화상자를닫습니다. 7. 확인을다시클릭하여 " 사용자또는그룹추가 " 대화상자를닫습니다. 8. 확인을다시클릭하여권한속성대화상자를닫습니다. 3. 다음과같은추가권한에대해 2.1-2.8 단계를반복합니다. 트래버스검사무시일괄작업으로로그온서비스로로그온프로세스수준토큰바꾸기 4. 그룹정책관리편집기에계속있습니다. GPMC에서다음절에추가작업을수행할것입니다. 각호스트에서 Administrators 그룹구성원변경 다음은호스트의 Administrators 그룹구성원을이 GPO 가적용되는호스트로제한하는절차입니다. 각호스트에서 Administrators 그룹에액세스해야하는모든계정이제한된그룹정책설정에추가되었는지확인하십시오. 그렇지않으면이 GPO 를적용할호스트에대한관리액세스권한을잃을수있습니다! 1. 그룹정책관리편집기창에계속있는동안왼쪽창에서컴퓨터설정 -> 정책 -> Windows 설정 -> 보안설정 -> 제한된그룹으로이동합니다. 1. 오른쪽창에서팝업메뉴가나타나면그룹추가...; 를마우스오른쪽단추로클릭하고선택합니다. 2. 대화상자가나타나면 Administrators 를입력하고확인을클릭합니다. 3. 속성대화상자가나타나면이그룹구성원옆의추가단추를클릭합니다. 4. 구성원추가대화상자가나타나면찾아보기...;" 를클릭합니다. 5. 사용자, 컴퓨터, 서비스계정또는그룹선택대화상자가열리면이전에만든 "Splunk Accounts" 그룹의이름을입력한후이름확인...; 창을클릭합니다. 유효한이름에밑줄이표시됩니다. 이름이유효하지않으면개체를찾을수없음을알리고개체이름을다시요청합니다. 6. 확인을클릭하여사용자선택...; 대화상자를닫습니다. 7. 확인을다시클릭하여 " 사용자또는그룹추가 " 대화상자를닫습니다. 8. 확인을다시클릭하여그룹속성대화상자를닫습니다. 2. 다음추가사용자또는그룹에대해 1.1-1.8 단계를반복합니다. 도메인관리자 GPO를적용할모든호스트에서 Administrators 그룹의구성원이어야하는추가사용자 3. 그룹정책관리편집기창을닫아서 GPO를저장합니다. 4. GPMC에계속있습니다. GPMC에서다음절에추가작업을수행할것입니다. GPO 애플리케이션을선택된컴퓨터로제한 이절차에서는새 GPO 를실제로수신하여 Splunk Enterprise 를실행할수있도록사용자권한할당이변경될컴퓨터를관리합니다. 1. GPMC 에계속있는동안 GPMC 왼쪽창에서이전에만들고권한을추가했던 GPO 를선택합니다 ( 아직선택하지않 19
은경우 ). GPMC에는 GPO에대한정보가오른쪽창에표시됩니다. 2. 오른쪽창의보안필터링에서추가...; 를클릭합니다. 3. 사용자, 컴퓨터또는그룹선택대화상자가나타나면 "Splunk Enabled Computers"( 또는이전에만든 Splunk 사용컴퓨터를나타내는그룹이름 ) 를입력합니다. 4. 이름확인을클릭합니다. 그룹이유효하면이름에밑줄이표시됩니다. 그룹이유효하지않으면개체를찾을수없음을알리고개체이름을다시요청합니다. 5. 확인을클릭하여 GPO 정보창으로돌아갑니다. 6. 2-5단계를반복하여 "Splunk Accounts" 그룹 ( 이전에만든 Splunk 사용자계정을나타내는그룹 ) 을추가합니다. 7. 보안필터링에서인증된사용자항목을클릭하여강조표시합니다. 8. 제거를클릭합니다. GPMC는 "Splunk Accounts" 와 "Splunk Enabled Computers" 만남기고 " 인증된사용자 " 항목을 " 보안필터링 " 필드에서제거합니다. 9. GPMC에계속있습니다. GPMC에서다음절에추가작업을수행할것입니다. GPO 적용 Active Directory 는그룹정책이업데이트되고 GPO 가도메인에속한호스트에적용되는시기를제어합니다. 정상적인상황에서는복제가 90-120 분마다실행됩니다. 이시간이지날때까지기다린후에 Splunk 를도메인사용자로설치하거나그룹정책을업데이트할호스트의명령어프롬프트에서 GPUPDATE /FORCE 를실행하여그룹정책업데이트를적용해야합니다. 1. GPMC에계속있는동안 GPMC 왼쪽창에서이전에만든 GPO를적용할도메인을선택합니다. 2. 도메인을마우스오른쪽단추로클릭하고팝업메뉴가나타나면기존 GPO 연결...; 을선택합니다. GPO 가이전에만든 OU 에만영향을미치도록할경우대신 OU 를선택하고마우스오른쪽단추를클릭하여팝업메뉴를표시합니다. 3. GPO 선택대화상자가나타나면이전에만들고편집한 GPO를선택한후확인을클릭합니다. GPO가선택한도메인에적용됩니다. 4. GPMC 메뉴에서파일 > 종료를선택하여 GPMC를닫습니다. 관리시스템계정으로 Splunk 설치 대신관리시스템계정 (MSA) 으로 Splunk Enterprise 를설치할수있습니다. 이항목의앞부분에있는 "Splunk Enterprise 서비스를도메인계정으로실행하기위해 Active Directory 준비 " 에설명된대로 MSA 에적절한보안정책권한과그룹구성원자격을할당할수있습니다. 설치후 MSA 에파일권한을부여하는경우 Splunk Enterprise 설치디렉터리의상위디렉터리에서 NTFS 권한상속을끊고해당디렉터리와모든하위디렉터리에서권한을명시적으로할당해야할수있습니다. Windows 에서서비스제어판을사용하여 Splunk 서비스에변경사항을적용하면 MSA 에 " 서비스로로그온 " 권한이자동으로부여됩니다. 1. Windows 데이터를모니터링하기위해사용할 MSA 를만들고설정합니다. 2. 명령줄을사용하여 Splunk 를설치하고 LAUNCHSPLUNK=0 플래그를사용하여설치가완료된후에 Splunk Enterprise 가시작되지않도록합니다. 3. 설치가완료된후 Windows 탐색기또는 ICACLS 명령줄유틸리티를사용하여 Splunk Enterprise 설치디렉터리와모든하위디렉터리에대한 " 모든권한 " 을 MSA 에부여합니다. 4. Windows 설치중에선택한사용자변경항목의설명에따라 splunkd 및 splunkweb 서비스계정의기본사용자를변경합니다. MSA 를사용하려면이절차를완료할때사용자이름끝에달러기호 ($) 를추가해야합니다. 예를들어 MSA 가 SPLUNKDOCS\splunk1 인경우서비스속성대화상자의해당필드에 SPLUNKDOCS\splunk1$ 를입력해야합니다. 이작업은 splunkd 및 splunkweb 서비스에대해모두수행해야합니다. 5. MSA에 " 서비스로로그온 " 권한이있는지확인합니다. 6. Splunk Enterprise를시작합니다. Splunk Enterprise가위에서설정한 MSA로실행되고 MSA가액세스할수있는모든데이터에대한액세스권한을갖습니다. PowerShell을사용하여 AD 도메인설정 PowerShell 을사용하여 Active Directory 환경을 Splunk Enterprise 서비스에맞게설정할수있습니다. GUI 기반관리애플리케이션을사용하지않으려면이옵션을사용할수있습니다. Splunk 사용자계정만들기 1. PowerShell 창을엽니다. 2. ActiveDirectory PowerShell 모듈이필요한경우가져옵니다. > Import-Module ActiveDirectory 20
3. 새사용자를만듭니다. > New-ADUser -Name <user> ` -SamAccountName <user> ` -Description "Splunk Service Account" ` -DisplayName "Service:Splunk" ` -Path "<organizational unit LDAP path>" ` -AccountPassword (Read-Host -AsSecureString "Account Password") ` -CannotChangePassword $true ` -ChangePasswordAtLogon $false ` -PasswordNeverExpires $true ` -PasswordNotRequired $false ` -SmartcardLogonRequired $false ` -Enabled $true ` -LogonWorkstations "<server>" ` 이예제에서는 명령어를통해암호를변경할수없고, 처음로그온한후강제로변경하지않아도되며, 만료되지않는계정이작성됩니다. <user> 는만들사용자의이름입니다. <organizational unit LDAP path> 는새로운사용자를배치할 OU 의이름으로, X.500 형식으로지정됩니다 ( 예 : CN=Managed Service Accounts,DC=splk,DC=com. <server> 는단일호스트이거나계정이로그인할수있는호스트를지정하는쉼표로구분된리스트입니다. LogonWorkstations 는필수인수가아니지만, 이인수를통해관리서비스계정이도메인에로그인하기위해사용할수있는워크스테이션을제한할수있습니다. Splunk Enterprise 서버설정 사용자계정을설정한후 PowerShell 을사용하여계정이 Splunk Enterprise 를실행할수있는올바른권한으로서버를설정하십시오. 이것은고급절차입니다. AD 를잘못변경하면사용하지못하게될수있습니다. 이러한절차에익숙하고철자오류및부적절한형식의파일때문에발생할수있는문제점등이러한절차를활용하는결과에대해잘알고있는경우에만이절차를수행하십시오. 다음예제에서 <user> 는 Splunk Enterprise 를실행하기위해만든사용자의이름입니다. <domain> 은사용자가위치하는도메인입니다. <computer> 는변경사항을적용하기위해연결할원격컴퓨터입니다. PowerShell 에서로컬보안정책을설정하려면 : 1. 설정할컴퓨터에연결합니다. 로컬컴퓨터를사용하는경우로그인한후 PowerShell 프롬프트를여십시오 ( 아직하지않은경우 ). 원격컴퓨터에연결하는경우아래예에나와있는것처럼원격호스트에새 PSSession 을만듭니다. 원격연결을작성하려면먼저 Windows 방화벽을비활성화해야할수도있습니다. 이작업을수행하려면 MS TechNet 에서 Need to Disable Windows Firewall 을참조하십시오. Windows Server 2008 R2 이하의 Windows Server 버전의경우 MS TechNet 에서 Firewall with Advanced Security Administration with Windows PowerShell 을참조하십시오. > Enter-PSSession -Computername <computer> 2. 서비스계정을로컬 Administrators 그룹에추가합니다. > $group = [ADSI]"WinNT://<server>/Administrators,group" > $group.add("winnt://<domain>/<user>") 3. 로컬컴퓨터에서사용자권한설정의현재상태를포함하는백업파일을작성합니다. > secedit /export /areas USER_RIGHTS /cfg OldUserRights.inf 4. 백업본을사용하여 Splunk Enterprise 사용자고급권한을가져올때해당권한을할당하는새로운사용자권한정보파일을만듭니다. > Get-Content OldUserRights.inf ` Select-String -Pattern ` "(SeTcbPrivilege SeChangeNotify SeBatchLogon SeServiceLogon SeAssignPrimaryToken SeSystemProfile)" ` %{ "$_,<domain>\<user>" } Out-File NewUserRights.inf 21
5. 새로운정책정보파일의헤더를작성하고헤더를새로운정보파일과함께연결합니다. > ( "[Unicode]", "Unicode=yes" ) Out-File Header.inf > ( "[Version]", "signature=`"`$chicago`$`"", "Revision=1") Out-File -Append Header.inf > ( "[Privilege Rights]" ) Out-File -Append Header.inf > Get-Content NewUserRights.inf Out-File -Append Header.inf 6. 정책정보파일을검토하여헤더가올바로작성되었는지, 그리고파일에구문오류가없는지검토합니다. 7. 파일을호스트의로컬보안정책데이터베이스로가져옵니다. > secedit /import /cfg Header.inf /db C:\splunk-lsp.sdb > secedit /configure /db C:\splunk-lsp.sdb 로컬컴퓨터또는 AD가아닌네트워크에 Splunk Enterprise 설치준비 Active Directory 를사용하지않는경우아래설명에따라 Splunk Enterprise 를설치할호스트에서 Splunk Enterprise 를실행할사용자에게관리자권한을부여하십시오. 1. Splunk Enterprise를실행할사용자를로컬 Administrators 그룹에추가하여해당사용자에게관리자권한을부여합니다. 2. 시작 > 관리도구 > 로컬보안정책을선택하여로컬보안정책을시작합니다. 3. 왼쪽창에서로컬정책을확장한후사용자권한할당을클릭합니다. 1. 오른쪽창에서운영체제의일부로작동항목을두번클릭합니다. 2. 사용자또는그룹추가...; 를클릭합니다. 3. 찾아보기...; 를클릭합니다. 4. 앞에서만든 "Splunk Computers" 그룹의이름을입력하고이름확인... 을클릭합니다. Windows의경우유효한이름에밑줄이표시됩니다. 이름이유효하지않으면개체를찾을수없음을알리고개체이름을다시요청합니다. 5. 확인을클릭합니다. 6. 확인을클릭합니다. 7. 확인을클릭합니다. 4. 다음과같은추가권한에대해 3.1-3.7 단계를반복합니다. 트래버스검사무시일괄작업으로로그온서비스로로그온프로세스수준토큰바꾸기 위절차를완료한후원하는사용자로 Splunk Enterprise 를설치할수있습니다. Windows에설치 Windows 에서는 Splunk Enterprise 를그래픽사용자인터페이스 (GUI) 기반설치프로그램을사용하여설치하거나명령줄을통해설치할수있습니다. 명령줄에서설치하는경우자동설치같은더많은옵션을사용할수있습니다. 명령줄설치절차에대해서는명령줄을사용하여 Windows 에설치를참조하십시오. 64 비트 Windows 컴퓨터에서는 Splunk Enterprise for Windows 의 32 비트버전을설치하거나실행할수없습니다. 또한지원되지않는 OS 를구동하는컴퓨터에 Splunk Enterprise 를설치할수없습니다. 예를들어 Windows Server 2003 을구동하는컴퓨터에 Splunk Enterprise 를설치할수없습니다. 시스템요구사항을참조하십시오. 이러한방식으로설치프로그램을실행하려고하면경고가표시되고설치를계속할수없습니다. 유니버설포워더설치 Splunk 유니버설포워더를설치하려면유니버설포워더매뉴얼의 ' 설치프로그램으로 Windows 유니버설포워더설치 ' 를참조하십시오. 유니버설포워더는 Splunk Enterprise 설치프로그램과다른별도의설치프로그램입니다. 업그레이드시 Splunk Enterprise 를업그레이드하려면계속하기전에 Splunk Enterprise 업그레이드방법의설명과마이그레이션에대한고려사항을참조하십시오. 설치하기전에 Splunk 실행 Windows 사용자선택 설치하기전에 Splunk 실행 Windows 사용자선택을참조하여구체적인요구사항을충족하려면 Splunk 를어떤사용자계정으로실행해야하는지결정하십시오. 이과정에서선택된사용자는소프트웨어를설치하기전에수행해야하는작업에영향을미칠수있으며, 해당항목에서더자세한내용을확인할수있습니다. 22
가능한경우바이러스백신소프트웨어비활성화또는제한 Splunk Enterprise 의인덱싱하위시스템에는많은디스크처리량이필요합니다. Splunk Enterprise 와운영체제사이를중개하는장치드라이버가있는소프트웨어는 Splunk Enterprise 에제공되는처리성능을제한하므로, 속도가저하되거나심할경우시스템이응답하지않을수도있습니다. 여기에는바이러스백신소프트웨어가포함됩니다. Splunk 설치를시작하기전에해당소프트웨어가 Splunk Enterprise 설치디렉터리및프로세스를액세스시에스캔하지않도록설정해야합니다. Splunk 소프트웨어를경로이름이단축된디렉터리에설치하는방법고려 Splunk MSI 파일을사용하면소프트웨어가기본적으로시스템드라이브 (Windows 컴퓨터의부팅드라이브 ) 의 \Program Files\Splunk 에설치됩니다. 이디렉터리는여러 Splunk 소프트웨어설치에무난하게사용할수있지만, 분산환경에서실행되거나검색헤드또는인덱서클러스터링같은고급 Splunk 기능을사용하는설치에는문제가될수있습니다. Windows API 에는 MAX_PATH 경로제한이있으며, Microsoft 는이제한을드라이브문자, 콜론, 백슬래시, 256 자경로, null 종료문자를포함해 260 자로정의합니다. Windows 는이보다더긴파일경로를지원할수없으며, Splunk 소프트웨어에서경로길이가 MAX_PATH 보다긴파일을만들경우이파일을나중에검색할수없습니다. 이설정은변경할수없습니다. 이문제를우회하려면해당인스턴스가검색헤드또는인덱서클러스터의구성원이될것임을알경우소프트웨어를예를들어 C:\Splunk 또는 D:\SPL 처럼경로길이가짧은디렉터리에설치하는방법을고려하십시오. GUI 설치프로그램을통한 Splunk Enterprise 설치 Windows 설치프로그램은 MSI 파일입니다. 설치시작 1. Splunk 다운로드페이지에서 Splunk 설치프로그램을다운로드합니다. 2. 설치프로그램을시작하려면 splunk.msi 파일을두번클릭합니다. 설치프로그램이실행되고 Splunk Enterprise 설치프로그램패널이표시됩니다. 3. 설치를계속하려면 " 이상자를선택하여라이선스계약에동의합니다." 체크박스를선택합니다. 그러면 " 설치사용자지정 " 및 " 다음 " 단추가활성화됩니다. 4. ( 선택사항 ) 라이선스계약을보려면라이선스계약보기를클릭합니다. 설치옵션 Windows 설치프로그램에는기본설치설정을사용하여설치하거나, 설치하기전에모든설정을구성할수있는두가지옵션이있습니다. 기본설정을사용하여설치하는옵션을선택하면다음작업이수행됩니다. Windows 컴퓨터를부팅한드라이브의 \Program Files\Splunk 에 Splunk Enterprise 를설치합니다. 기본관리및웹네트워크포트를사용하여 Splunk Enterprise 를설치합니다. 로컬시스템사용자로실행되도록 Splunk Enterprise 를설정합니다. Splunk 관리자암호를만들라는메시지가표시됩니다. 설치를계속할수있으려면이작업을먼저수행해야합니다. 소프트웨어에대한시작메뉴바로가기를만듭니다. 기본설치설정을변경하려면옵션사용자지정을클릭하고이항목의 " 옵션사용자지정 " 에설명된지침에따라계속진행합니다. 그렇지않으면다음을클릭합니다. Splunk admin 사용자의암호를입력하라는메시지가표시됩니다. 암호를입력한후에설치가시작되고, 이항목의뒷부분에있는 " 설치완료 " 지침에따라계속진행할수있습니다. 사용자지정설치옵션 설치중에여러옵션을사용자지정할수있습니다. 사용자지정설치옵션을선택하면 "Splunk Enterprise 설치대상 " 패널 23
이표시됩니다.. "Splunk Enterprise " 설치프로그램에서는기본적으로시스템드라이브의 \Program Files\Splunk 에 Splunk Enterprise 를설치합니다. 이매뉴얼세트에서 Splunk Enterprise 설치디렉터리는 $SPLUNK_HOME 또는 %SPLUNK_HOME% 입니다. Splunk Enterprise 는 splunkd 및 splunkweb 이라는두가지 Windows 서비스를설치하고실행합니다. splunkd 서비스는모든 Splunk Enterprise 작업을처리하고, splunkweb 서비스는기존모드에서만실행되도록설치됩니다. 각서비스는 "Splunk Enterprise 실행사용자선택 " 패널에서지정하는사용자로설치및실행됩니다. Splunk Enterprise 를로컬시스템사용자로실행할것인지다른사용자로실행할것인지선택할수있습니다. Splunk Enterprise 를어떤사용자로설치하겠냐는질문이나오면사용자이름을 domain\username 형식으로지정해야합니다. 해당보안컨텍스트에서 Active Directory 도메인의활성구성원인유효한사용자를지정해야합니다. 로컬시스템계정또는유효한암호및로컬관리자권한을가진유효한사용자계정으로 Splunk Enterprise 가실행되어야합니다. 사용자와함께도메인이름을포함시키지않으면설치에실패합니다. 1. 변경... 을클릭하여 Splunk Enterprise를설치할다른위치를지정하거나다음을클릭하여기본값을사용합니다. "Splunk Enterprise 실행사용자선택 " 패널이표시됩니다. 2. 사용자유형을선택하고다음을클릭합니다. 3. 로컬시스템사용자를선택한경우 5단계로진행하십시오. 그렇지않으면설치프로그램에로그온정보 : 사용자이름및암호지정패널이표시됩니다. 4. Splunk Enterprise가컴퓨터에서실행되기위해사용하는 Windows 자격증명을입력한후다음을클릭합니다. 이자격증명은다음단계에만드는 Splunk 관리자자격증명과다릅니다. 24
5. 그림과같이최소자격요건을충족하는암호를패널에입력하여 Splunk admin 암호를만든후다음을클릭합니다. 이작업을완료하지않으면설치를진행할수없으므로반드시수행해야합니다. 6. 설치요약패널이표시됩니다. 7. " 설치 " 를클릭하여설치를계속합니다. 설치완료 설치프로그램이실행되고소프트웨어설치가진행된후설치완료패널이표시됩니다. 설치절차중에사용자를잘못지정한경우에는이에대해설명하는팝업오류창이 2 개나타납니다. 그러면 Splunk Enterprise 가기본적으로로컬시스템사용자로자동설치됩니다. 이경우 Splunk Enterprise 가자동으로시작되지않습니다. 마지막설치패널까지진행할수는있지만 "Splunk 로브라우저실행 " 체크박스의선택을취소하여브라우저가실행되지않도록하십시오. 그런다음이설명에따라 Splunk 를시작하기전에올바른사용자로전환하십시오. 1. ( 선택사항 ) Splunk로브라우저실행및시작메뉴바로가기만들기체크박스를선택합니다. 2. 마침을클릭합니다. 설치가완료되고, 해당체크박스를선택한경우지원되는브라우저에서 Splunk Enterprise가실행됩니다. Splunk Web에서 Internet Explorer 보안강화팝업방지 Internet Explorer 를사용하여 Splunk Web 에액세스하는경우다음 URL 을허용된인트라넷그룹또는완전히신뢰할수있는그룹에추가하여 " 보안강화 " 팝업이나타나지않도록하십시오. quickdraw.splunk.com Splunk Enterprise 인스턴스의 URL 라이선스설치또는업그레이드 Splunk Enterprise 를새로설치하는경우, 또는라이선스유형을다른유형으로변경하려는경우에는라이선스를설치하거 25
나업데이트해야합니다. 라이선스설치를참조하십시오. 다음단계 Splunk Enterprise 설치를완료하였으면이제는 Splunk Enterprise 를사용하는방법에대해알아볼차례입니다. 다음단계를참조하십시오. 데이터가져오기의다음항목에서 Windows 데이터추가에대한도움말을대신확인할수도있습니다. Windows 이벤트로그데이터모니터링 Windows 레지스트리데이터모니터링 WMI 기반데이터모니터링원격 Windows 데이터를모니터링하는방법을결정할때고려할사항 명령줄을사용하여 Windows에설치 명령줄을사용하여 Splunk Enterprise 를 Windows 에설치할수있습니다. 64 비트시스템에서 32 비트설치프로그램을실행하지마십시오. 실행하려고하면설치프로그램에서경고를표시하고설치를차단합니다. Splunk 유니버설포워더를명령줄에서설치하려면유니버설포워더매뉴얼의 " 명령줄에서 Windows 유니버설포워더설치 " 를참조하십시오. 명령줄에서설치해야하는경우 Splunk Enterprise 를명령어프롬프트또는 PowerShell 창에서개별컴퓨터에수동으로설치할수있습니다. 명령줄에서설치하는방법이유용한시나리오는다음과같습니다. Splunk Enterprise 를설치하지만바로시작하고싶지않은경우스크립트를사용하여 Splunk Enterprise 설치를자동화하려는경우 Splunk Enterprise 를나중에복제할시스템에설치하려는경우 Group Policy 또는 System Center Configuration Manager 와같은배포도구를사용하려는경우 Windows Server Core 버전을실행하는시스템에 Splunk Enterprise 를설치하려는경우 PowerShell을사용하여설치 PowerShell 창에서 Splunk Enterprise 를설치할수있습니다. 이렇게설치하는절차는명령어프롬프트에서설치하기위해사용하는절차와동일합니다. 업그레이드시 Splunk Enterprise 를업그레이드하려면 Splunk 업그레이드방법에서지침과마이그레이션에대한고려사항을참조하십시오. 업그레이드중에는관리또는 Splunk Web 포트변경이지원되지않습니다. Windows에 Splunk Enterprise를설치하기위한전제조건 Splunk Enterprise 실행 Windows 사용자선택 설치하기전에 Splunk Enterprise 실행 Windows 사용자선택을참조하여데이터컬렉션요구사항을충족하려면 Splunk Enterprise 를어떤사용자계정으로실행해야하는지결정하십시오. 선택하는사용자에따라소프트웨어를설치하기전에수행하는작업이달라집니다. Splunk Enterprise를도메인사용자로설치하기위해도메인준비 Splunk Enterprise 설치를지원하도록 Windows 네트워크를설정해야합니다. 설치하기전에 Splunk Enterprise 를네트워크또는도메인사용자로설치하기위해 Windows 네트워크준비에서 Splunk Enterprise 를실행하기위해도메인을설정하는방법에대한지침을참조하십시오. 가능한경우바이러스백신소프트웨어비활성화또는제한 Splunk Enterprise 의인덱싱하위시스템에는많은디스크처리량이필요합니다. Splunk Enterprise 와운영체제사이를중개하는장치드라이버가있는모든소프트웨어는 Splunk Enterprise 에제공되는처리성능을제한할수있습니다. 이로인해시스템이느려지고심할경우응답하지않을수있습니다. 여기에는바이러스백신소프트웨어가포함됩니다. 26
Splunk 설치를시작하기전에해당소프트웨어가 Splunk Enterprise 설치디렉터리및프로세스를액세스시에스캔하지않도록설정해야합니다. Splunk admin 사용자암호준비 Splunk Enterprise 를설치하는경우 Splunk admin 사용자암호를만들어야합니다. 설치프로그램이사용자암호를자동으로생성하지않습니다. 암호를생각해놓고설치작업을수행할때입력할수있게준비하십시오. 자동설치중에암호를입력하지않으면 Splunk Enterprise 가정의된사용자없이설치되어로그인이불가능할수있습니다. 이경우 user-seed.conf 파일을만들어문제를고친후에소프트웨어를다시시작해야합니다. Splunk 소프트웨어를경로이름이단축된디렉터리에설치하는방법고려 Splunk MSI 파일을사용하면소프트웨어가기본적으로시스템드라이브 (Windows 컴퓨터의부팅드라이브 ) 의 \Program Files\Splunk 에설치됩니다. 이디렉터리는여러 Splunk 소프트웨어설치에무난하게사용할수있지만, 분산환경에서실행되거나검색헤드또는인덱서클러스터링같은고급 Splunk 기능을사용하는설치에는문제가될수있습니다. Windows API 에는 MAX_PATH 경로제한이있으며, Microsoft 는이제한을드라이브문자, 콜론, 백슬래시, 256 자경로, null 종료문자를포함해 260 자로정의합니다. Windows 는이보다더긴파일경로를지원할수없으며, Splunk 소프트웨어에서경로길이가 MAX_PATH 보다긴파일을만들경우이파일을나중에검색할수없습니다. 이설정은변경할수없습니다. 이문제를우회하려면해당인스턴스가검색헤드또는인덱서클러스터의구성원이될것임을알경우소프트웨어를예를들어 C:\Splunk 또는 D:\SPL 처럼경로길이가짧은디렉터리에설치하는방법을고려하십시오. 명령줄에서 Splunk Enterprise 설치 Splunk Enterprise 를명령줄이나 PowerShell 프롬프트에서설치하려면 msiexec.exe 를실행하십시오. 32 비트플랫폼에서는 splunk-<...>-x86-release.msi 를사용하십시오. msiexec.exe /i splunk-<...>-x86-release.msi [<flag>]... [/quiet] 64 비트플랫폼에서는 splunk-<...>-x64-release.msi 를사용하십시오. msiexec.exe /i splunk-<...>-x64-release.msi [<flag>]... [/quiet] <...> 값은특정릴리스에따라다릅니다 ( 예 : splunk-6.3.2-aaff59bb082c-x64-release.msi). 명령줄플래그를사용하여설치시에 Splunk Enterprise 를설정할수있습니다. 명령줄플래그를사용하면다음을비롯한여러설정을지정할수있습니다. 인덱싱할 Windows 이벤트로그모니터링할 Windows 레지스트리하이브수집할 WMI(Windows Management Instrumentation) 데이터 Splunk Enterprise 실행사용자. Splunk 인스턴스를어떤사용자유형을사용하여설치해야하는지에대한내용은 Splunk Enterprise 실행 Windows 사용자선택을참조하십시오. Splunk 가활성화할기본애플리케이션설정 ( 라이트포워더등 ) 설치완료후 Splunk Enterprise 를자동으로시작할것인지여부 지원되는플래그 다음은명령줄을통해 Splunk Enterprise for Windows 를설치할때사용할수있는플래그의리스트입니다. Splunk 유니버설포워더는자체적인설치플래그가있는별도의실행파일입니다. 유니버설포워더에서지원되는설치플래그는유니버설포워더매뉴얼의명령줄에서 Windows 유니버설포워더설치를참조하십시오. 플래그 용도 기본값 AGREETOLICENSE=Yes No INSTALLDIR="<directory_path>" SPLUNKD_PORT=<port number> 이플래그는 EULA 동의에사용됩니다. 자동으로설치하려면이플래그를 Yes 로설정해야합니다. 이플래그는설치할디렉터리를지정하기위해사용합니다. 이매뉴얼세트전체에서 Splunk 설치디렉터리는 $SPLUNK_HOME 또는 %SPLUNK_HOME% 입니다. 이플래그는 splunkd 및 splunkweb 이사용할대체포트를지정하기위해사용합니다. 포트를지정했지만해당포트를사용할수없는경우 Splunk 가사용가능한다음포트를자동으로선택합니다. 27 No C:\Program Files\Splunk 8089
WEB_PORT=<port number> 이플래그는 splunkd 및 splunkweb 이사용할대체포트를지정하기위해사용합니다. 포트를지정했지만해당포트를사용할수없는경우 Splunk 가사용가능한다음포트를자동으로선택합니다. 8000 WINEVENTLOG_APP_ENABLE=1/0 WINEVENTLOG_SEC_ENABLE=1/0 WINEVENTLOG_SYS_ENABLE=1/0 WINEVENTLOG_FWD_ENABLE=1/0 WINEVENTLOG_SET_ENABLE=1/0 이플래그는 Splunk 가다음과같은특정 Windows 이벤트로그를인덱싱할지여부를지정하기위해사용합니다. 플래그를여러개지정할수있습니다. 애플리케이션로그 보안로그 시스템로그 포워더로그 설정로그 0 ( 해제 ) REGISTRYCHECK_U=1/0 REGISTRYCHECK_BASELINE_U=1/0 이플래그는 Splunk 가 Windows 레지스트리사용자하이브에서 이벤트를인덱싱하고 해당하이브의기준스냅샷을캡처할지여부를 지정하기위해사용합니다 (HKEY_CURRENT_USER). 참고 : 두개의플래그를모두동시에설정할수있습니다. 0 ( 해제 ) REGISTRYCHECK_LM=1/0 REGISTRYCHECK_BASELINE_LM=1/0 이플래그는 Splunk 가 Windows 레지스트리사용자하이브에서 이벤트를인덱싱하고 해당하이브의기준스냅샷을캡처할지여부를 지정하기위해사용합니다 (HKEY_LOCAL_MACHINE). 참고 : 두개의플래그를모두동시에설정할수있습니다. 0 ( 해제 ) WMICHECK_CPUTIME=1/0 WMICHECK_LOCALDISK=1/0 WMICHECK_FREEDISK=1/0 WMICHECK_MEMORY=1/0 이플래그는 Splunk 가어떤인기 WMI 기반성능메트릭을인덱싱해야하는지지정하기위해사용합니다. CPU 사용량 로컬디스크사용량 사용가능한디스크공간 메모리통계 참고 : 이 Splunk 인스턴스로원격 Windows 데이터를모니터링해야하는경우 LOGON_USERNAME 및 LOGON_PASSWORD 설치플래그도지정해야합니다. Splunk는명시적인액세스권한이없는원격데이터를수집할수없습니다. 또한지정된사용자에게는특정권한및관리자권한과설치전에설정해야하는추가권한이필요합니다. 필요한자격증명에대한자세한내용은이매뉴얼의 "Splunk 실행 Windows 사용자선택 " 을참조하십시오. Splunk 가인덱싱할수있는 WMI 기반메트릭은훨씬더많습니다. 자세한내용은데이터가져오기매뉴얼의 "WMI 데이터모니터링 " 을참조하십시오. 0 ( 해제 ) LOGON_USERNAME="<domain\username>" LOGON_PASSWORD="<pass>" 이플래그는 Splunk 실행사용자의도메인 / 사용자이름및암호정보를제공하기위해사용합니다. splunkd 및 splunkweb 서비스는이자격증명을사용하여설정됩니다. 28 none
LOGON_USERNAME 플래그에는도메인을사용자이름과함께 "domain\username" 형식으로지정해야합니다. 이런플래그는현재 Splunk Enterprise 설치로원격데이터를모니터링하려는경우필수입니다. 사용할자격증명에대한자세한내용은이매뉴얼의 "Splunk 실행 Windows 사용자선택 " 을참조하십시오. SPLUNK_APP="<SplunkApp>" 이플래그는이 Splunk 설치에대해활성화할기본 Splunk 애플리케이션설정을지정하기위해사용합니다. <SplunkApp> 의현재지원옵션은 SplunkLightForwarder 및 SplunkForwarder 결과 2 개를반환합니다. 각옵션은현재 Splunk 인스턴스가라이트포워더또는헤비포워더로작동할것임을지정합니다. 자세한내용은데이터전달매뉴얼의 " 전달및수신 " 항목을참조하십시오. 여기서 Splunk 포워더또는라이트포워더중하나를지정하면 FORWARD_SERVER="<server:port>" 도지정해야합니다. Splunk Enterprise 를애플리케이션없이설치하려면이플래그를생략하십시오. 참고 : Splunk의전체버전은유니버설포워더를활성화하지않습니다. 유니버설포워더는자체적인설치플래그가있는다운로드가능한독립실행파일입니다. none FORWARD_SERVER="<server:port>" DEPLOYMENT_SERVER="<host:port>" LAUNCHSPLUNK=0/1 이플래그는 Splunk 헤비포워더또는라이트포워더를활성화하기위해 SPLUNK_APP 플래그도사용하는경우에만사용합니다. 서버와해당포워더에서데이터를전송할 Splunk 서버와포트를지정하십시오. 이플래그는설정업데이트를푸시하는데사용할배포서버를지정하기위해사용합니다. 배포서버이름 ( 호스트이름또는 IP 주소 ) 과포트를입력하십시오. 이플래그는 Splunk 소프트웨어를설치완료후에시작하고컴퓨터부팅시에자동으로시작할지여부를지정하기위해사용합니다. 참고 : SPLUNK_APP 플래그를사용하여 Splunk 포워더를활성화하면설치프로그램에서 Splunk가자동으로시작되도록설정하고이플래그를무시합니다. none none 1 ( 설정 ) INSTALL_SHORTCUT=0/1 SPLUNKPASSWORD=<password> MINPASSWORDLEN=<positive integer> MINPASSWORDDIGITLEN=<integer> 이플래그는설치프로그램이 Splunk 바로가기를바탕화면과시작메뉴에만들어야하는지지정하기위해사용합니다. Splunk admin 사용자암호를만듭니다. 암호는자격요건을충족해야합니다. /quiet 를사용하여자동설치를지정하고이설정을지정하지않으면유니버설포워더가사용자없이설치되고 user-seed.conf 설정파일을편집하여사용자를만들어야합니다. SPLUNKPASSWORD 플래그를사용하여암호를설정하는경우암호만들기및수정에대한암호자격요건도설정할수있습니다. SPLUNKPASSWORD 플래그는향후에이런자격요건을충족하기위한최소암호길이를지정합니다. 이플래그를 0 이나음의정수로설정할수없습니다. 이플래그를설정한후에새로만드는암호와기존암호를변경한암호는새로운요건을충족해야합니다. SPLUNKPASSWORD 플래그를사용하여암호를설정하는경우암호만들기및수정에대한암호자격요건도설정할수있습니다. MINPASSWORDDIGITLEN 플래그는향후에이런자격요건을충족하기위해암호에포함되어야하는숫자 (0~9) 문자의최소수를지정합니다. 이플래그를음의정수로설정할수없습니다. 이플래그를설정한후에새로만드는암호와기존암호를변경한암호는새로운요건을충족해야합니다. 29 1 ( 설정 ) 해당없음 > 1 0
MINPASSWORDLOWERCASELEN=<integer> MINPASSWORDUPPERCASELEN=<integer> MINPASSWORDSPECIALCHARLEN=<integer> GENRANDOMPASSWORD=1/0 SPLUNKPASSWORD 플래그를사용하여암호를설정하는경우암호만들기및수정에대한암호자격요건도설정할수있습니다. MINPASSWORDLOWERCASELEN 플래그는향후에이런자격요건을충족하기위해암호에포함되어야하는소문자 ('a'~'z') 의최소수를지정합니다. 이플래그를음의정수로설정할수없습니다. 이플래그를설정한후에새로만드는암호와기존암호를변경한암호는새로운요건을충족해야합니다. SPLUNKPASSWORD 플래그를사용하여암호를설정하는경우암호만들기및수정에대한암호자격요건도설정할수있습니다. MINPASSWORDUPPERCASELEN 플래그는향후에이런자격요건을충족하기위해암호에포함되어야하는대문자 ('A'~'Z') 의최소수를지정합니다. 이플래그를음의정수로설정할수없습니다. 이플래그를설정한후에새로만드는암호와기존암호를변경한암호는새로운요건을충족해야합니다. SPLUNKPASSWORD 플래그를사용하여암호를설정하는경우암호만들기및수정에대한암호자격요건도설정할수있습니다. MINPASSWORDSPECIALCHARLEN 플래그는향후에이런자격요건을충족하기위해암호에포함되어야하는특수문자의최소수를지정합니다. 이플래그를음의정수로설정할수없습니다. ':' ( 콜론 ) 문자를특수문자로사용할수없습니다. 이플래그를설정한후에새로만드는암호와기존암호를변경한암호는새로운요건을충족해야합니다. 임의 admin 사용자암호를생성하고암호를설치로그파일에기록합니다. /l*v <log file name> 플래그를사용하여 msiexec 에대해로그파일을지정해야합니다. 설치가완료된후에 findstr 유틸리티를사용하여 "PASSWORD" 라는안어를검색할수있습니다. 0 0 0 0 자동설치 설치를자동으로실행하려면 /quiet 을설치명령어문자열끝에추가하십시오. 시스템에사용자액세스제어가활성화된경우 ( 일부시스템에서는기본값 ), 설치를관리자로실행해야합니다. 이렇게하려면다음작업을수행하십시오. 예 명령어프롬프트나 PowerShell 창을열때앱아이콘을마우스오른쪽단추로클릭하고 " 관리자로실행 " 을선택합니다. 그런다음해당명령어창을사용하여자동설치명령어를실행합니다. 다양한플래그의일부용례는다음과같습니다. 로컬시스템사용자로실행되도록 Splunk Enterprise를자동으로설치하고관리자암호를 "MyNewPassword" 로설정 msiexec.exe /I Splunk.msi SPLUNKPASSWORD=MyNewPassword /quiet Splunk 헤비포워더를활성화하고 Splunk Enterprise 실행사용자의자격증명지정 msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" SPLUNKPASSWORD=MyNewPassword FORWARD_SERVER="<server:port>" LOGON_USERNAME="AD\splunk" LOGON_PASSWORD="splunk123" Splunk 헤비포워더를활성화하고 admin 사용자암호를임의로생성하고 Windows System 이벤트로그인덱싱을활성화한다음설치프로그램을자동모드로실행 msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" GENRANDOMPASSWORD=1 FORWARD_SERVER="<server:port>" WINEVENTLOG_SYS_ENABLE=1 /quiet 여기서 "<server:port>" 는서버와이컴퓨터에서데이터를전송해야하는 Splunk 서버의포트입니다. 상세로깅을사용하여 Splunk Enterprise를 C:\TEMP\SplunkInstall.log 에설치 30
msiexec.exe /I Splunk.msi /l*v C:\TEMP\SplunkInstall.log msiexec.exe 추가로깅및명령줄옵션에대해서는 Windows 개발자센터의명령줄옵션을참조하십시오. Internet Explorer(IE) 보안강화팝업방지 IE 보안강화팝업을방지하려면다음 URL 을 IE 의허용된인트라넷그룹또는신뢰할수있는그룹에추가하십시오. quickdraw.splunk.com Splunk 인스턴스의 URL 다음단계 이제 Splunk Enterprise가설치됐으니다음에는어떻게되는지알아보겠습니다. 데이터가져오기매뉴얼에서 Windows 데이터모니터링방법을결정할때고려할사항에대한항목도살펴볼수있습니다. Windows 설치중에선택한사용자변경 소프트웨어를처음시작하기전에 Splunk Enterprise 또는유니버설포워더가설치된 Windows 사용자를변경할수있습니다. 이러한변경을수행하면다음몇가지상황에서도움이됩니다. Splunk Enterprise 설치중에 " 도메인사용자 " 를선택했는데해당사용자가존재하지않거나정보를잘못입력한경우 Splunk Enterprise 인스턴스를관리시스템계정 (MSA) 으로설치해야하는경우 ZIP 파일로소프트웨어를설치했고 Splunk Enterprise 서비스의 Windows 기본 SYSTEM 사용자를변경하려는경우 Splunk Enterprise 를시작하기전에아래절차를수행해야합니다. Splunk Enterprise 가시작된경우중지하고제거한후다시설치하십시오. 1. 서비스도구를실행합니다. 시작메뉴에서제어판 > 관리도구 > 서비스를클릭합니다. 2. splunkd 및 splunkweb( 또는유니버설포워더의경우 splunkforwarder) 서비스를찾습니다. 이서비스는기본적으로로컬시스템사용자소유이므로시작하지않도록해야합니다. 3. 서비스를마우스오른쪽단추로클릭하고속성을선택합니다. 4. 로그온탭을클릭합니다. 5. 이계정단추를클릭합니다. 6. 올바른도메인 / 사용자이름및암호를입력합니다. 7. 적용을클릭합니다. 8. 확인을클릭합니다. 9. ( 선택사항 ) Splunk Enterprise를기존모드에서실행하는경우 2-6단계를반복하여추가서비스를설정합니다. 10. 서비스관리자또는명령줄인터페이스에서 Splunk Enterprise 서비스를시작합니다. 31
Linux 또는 Mac OS X에 Splunk Enterprise 설치 Linux에설치 호스트에서실행하는 Linux 버전에따라 RPM 또는 DEB 패키지나 tar 파일을사용하여 Splunk Enterprise 를 Linux 에설치할수있습니다. Splunk 유니버설포워더를설치하려면유니버설포워더매뉴얼의 *nix 유니버설포워더설치를참조하십시오. 유니버설포워더는설치패키지가다르고일련의자체적인설치절차가있는별도의실행파일입니다. Splunk Enterprise 업그레이드 업그레이드하는경우업그레이드하기전에 Splunk Enterprise 업그레이드방법의지침과마이그레이션에대한고려사항을참조하십시오. tar 파일설치 tar 파일로설치하기전에알아야할사항 다음사항을알면 tar 파일로성공적으로설치하는데유용합니다. 설치절차 GNU 가아닌일부 tar 버전에는사용가능한 -C 인수가없을수있습니다. 이경우 /opt/splunk 에설치하려면 tar 명령어를실행하기전에 /opt 로 cd 하거나 tar 파일을 /opt 에저장하십시오. 이방법은호스트파일시스템에서액세스가능한모든디렉터리에대해사용할수있습니다. Splunk Enterprise 는 splunk 사용자를만들지않습니다. Splunk Enterprise 가특정사용자로실행되도록하려면설치전에해당사용자를수동으로만들어야합니다. 디스크파티션에계속인덱싱할데이터의압축을해제한볼륨을저장할공간이충분한지확인하십시오. 1. tar 명령을사용하여 tar 파일을해당디렉터리에풉니다. tar xvzf splunk_package_name.tgz 기본설치디렉터리는현재작업디렉터리의 splunk 입니다. /opt/splunk 에설치하려면다음명령어를사용하십시오. tar xvzf splunk_package_name.tgz -C /opt RedHat RPM 설치 Red Hat 및 CentOS 와유사 Linux 버전에사용가능한 RPM 패키지가제공됩니다. rpm 패키지를업그레이드에사용할경우안전장치가제공되지않습니다. --prefix 플래그를사용하여다른디렉터리에설치할수는있지만, 소프트웨어를처음설치한디렉터리와플래그를사용하여지정한디렉터리가일치하지않으면업그레이드문제가발생할수있습니다. 설치프로세스중에중간파일이삭제되기때문에설치후에소프트웨어패키지유효성검사명령어 (rpm -Vp <rpm_file> 등 ) 가실행되지않을수있습니다. Splunk 설치패키지가유효한지확인하려면 splunk validate files CLI 명령어를대신사용하십시오. 1. 원하는 RPM 패키지를대상호스트에서로컬로사용할수있는지확인합니다. 2. Splunk 서비스를실행할 Splunk Enterprise 사용자계정이파일을읽고파일에액세스할수있는지확인합니다. 3. 필요한경우파일의권한을변경합니다. chmod 744 splunk_package_name.rpm 4. 다음명령어를호출하여 Splunk Enterprise RPM 을기본디렉터리인 /opt/splunk 에설치합니다. rpm -i splunk_package_name.rpm 5. ( 선택사항 ) Splunk 를다른디렉터리에설치하려면 --prefix 플래그를사용합니다. rpm -i --prefix=/opt/new_directory splunk_package_name.rpm 기존에설치한 Splunk Enterprise를 RPM 패키지로대체 --prefix 플래그를사용하여 rpm 을실행하고기존 Splunk Enterprise 디렉터리를참조합니다. rpm -i --replacepkgs --prefix=/splunkdirectory/ splunk_package_name.rpm 32
Red Hat Linux Kickstart로 RPM 설치자동화 Kickstart 로 RPM 설치를자동화하려면 kickstart 파일을편집하고다음을추가합니다../splunk start --accept-license./splunk enable boot-start enable boot-start 줄은선택사항입니다. Debian.DEB 설치 설치전제조건 Splunk Enterprise Debian 패키지는기본위치인 /opt/splunk 에만설치할수있습니다. 이위치는일반디렉터리여야하며, 바로가기링크일수없습니다. 패키지를설치하려면루트사용자에대한액세스권한이있거나 sudo 권한이있어야합니다. 패키지는 Splunk Enterprise 설치디렉터리에액세스하기위한환경변수를만들지않으므로환경변수를직접설정해야합니다. Splunk Enterprise 를다른위치에설치해야하거나 /opt/splunk 의바로가기링크를사용하는경우 tar 파일을사용하여소프트웨어를설치하십시오. 설치절차 Splunk Enterprise Debian 패키지이름을인수로사용하여 dpkg 설치프로그램을실행합니다. dpkg -i splunk_package_name.deb 설치상태를표시하는 Debian 명령어 Splunk 패키지상태 : dpkg --status splunk 모든패키지나열 : dpkg --list 예상기본쉘에대한정보와 Debian 쉘의단점 Splunk Enterprise 는명령어가 bash 쉘에서실행될것이라고예상합니다. 그리고 bash 가 /bin/sh 에제공될것이라고기대합니다. 후기 Debian Linux 버전 ( 예 : Debian Squeeze) 에서, 기본쉘은 dash 쉘입니다. dash 쉘을사용하면좀비프로세스 ( 실행이완료되었지만프로세스테이블에계속남아있고제거할수없는프로세스 ) 가발생할수있습니다. Debian Linux 를실행하는경우, 기본쉘을 bash 로변경하는방법을고려하십시오. 다음단계 이제 Splunk Enterprise 를설치했으므로, Splunk Enterprise 를시작하고관리자자격증명을만듭니다. Splunk Enterprise 처음시작을참조하십시오. 부팅시에시작하도록설정하십시오. 부팅시시작하도록 Splunk 소프트웨어설정을참조하십시오. 다음단계에대해알아보십시오. 다음단계를참조하십시오. Splunk Enterprise 제거 Splunk Enterprise 를제거하는방법을알아보려면 Splunk Enterprise 제거를참조하십시오. Mac OS X에설치 DMG 패키지또는 tar 파일을사용해 Splunk Enterprise 를 Mac OS X 에설치할수있습니다. 33
Splunk 유니버설포워더를설치하려면유니버설포워더매뉴얼의 *nix 유니버설포워더설치를참조하십시오. 유니버설포워더는일련의자체적인설치절차가있는별도의실행파일입니다. 업그레이드시 업그레이드하려면계속하기전에 "Splunk Enterprise 업그레이드방법 " 의설명과마이그레이션에대한고려사항을참조하십시오. 설치옵션 Mac OS 설치패키지는두가지형태 (DMG 패키지와 tar 파일 ) 로제공됩니다. 동일한호스트에서서로다른위치에두번설치해야하는경우 tar 파일을사용하십시오. DMG 설치프로그램으로는추가인스턴스를설치할수없습니다. 추가인스턴스가설치되는즉시기존인스턴스 ( 있는경우 ) 가설치프로그램에의해제거됩니다. 그래픽설치 1. DMG 파일을두번클릭합니다. splunk.pkg를포함한파인더창이열립니다. 2. 파인더창에서 splunk.pkg를두번클릭합니다. 설치프로그램이열리고버전및저작권정보가나열된소개화면이표시됩니다. 3. 계속을클릭합니다. 대상선택창이열립니다. 4. Splunk Enterprise를설치할위치를선택합니다. 기본디렉터리인 /Applications/splunk 에설치하려면하드드라이브아이콘을클릭합니다. 다른위치를선택하려면폴더선택... 을클릭합니다. 5. 계속을클릭합니다. 사전설치요약이표시됩니다. 변경작업을수행하려면다음과같이하십시오. 설치위치변경을클릭하여새폴더를선택합니다. 또는뒤로를클릭하여한단계되돌아갑니다. 6. 설치를클릭합니다. 설치가시작됩니다. 완료될때까지시간이몇분정도걸릴수있습니다. 텍스트창에자격증명요청이표시됩니다. 이자격증명을사용하여나중에 Splunk에로그인합니다. 7. 설치가완료되면마침을클릭합니다. 설치프로그램이바탕화면에바로가기를생성합니다. 명령줄설치 명령줄에서 Mac OS X에 Splunk Enterprise를설치하려면루트사용자를사용하거나 sudo 명령어를사용하여권한을높여야합니다. sudo를사용하는경우계정이관리자수준계정이어야합니다. 1. DMG 파일을마운트하려면다음을실행합니다. sudo hdid splunk_package_name.dmg 파인더가디스크이미지를바탕화면에마운트합니다. 이미지는 /Volumes/SplunkForwarder <version>( 공백주의 ) 에있습니다. 2. 소프트웨어를설치합니다. 루트볼륨에설치 : cd /Volumes/SplunkForwarder\ <version> sudo installer -pkg.payload/splunk.pkg -target / 디스크이미지이름에공백이있습니다. 백슬래시를사용하여공백을이스케이프하거나, 디스크이미지이름을따옴표로묶으십시오. 다른디스크파티션에설치 : cd /Volumes/SplunkForwarder\ <version> sudo installer -pkg.payload/splunk.pkg -target /Volumes\ Disk 디스크이미지이름에공백이있습니다. 백슬래시를사용하여공백을이스케이프하거나, 디스크이미지이름을따옴표로묶으십시오. -target 은 Splunk 를 /Applications/splunk 에설치할대상볼륨 ( 예 : 다른디스크 ) 을지정합니다. 볼륨의 /Applications/splunk 가아닌다른디렉터리에설치하려면그래픽설치지침을참조하십시오. tar 파일설치 tar 파일은수동설치파일입니다. tar 파일을사용하여 Splunk Enterprise 를설치할경우 : Splunk Enterprise 는 splunk 사용자를자동으로만들지않습니다. Splunk Enterprise 가특정사용자로실행되도록하 34
려면설치전에사용자를수동으로만들어야합니다. 디스크파티션에서계속인덱싱할데이터의압축을해제한볼륨을저장할공간이충분한지확인하십시오. Splunk Enterprise 를 Mac OS X 에설치하려면 tar 명령어를사용하여 tar 파일을적절한디렉터리에푸십시오. tar xvzf splunk_package_name.tgz 기본설치디렉터리는현재작업디렉터리의 splunk 입니다. /Applications/splunk 에설치하려면다음명령어를사용하십시오. tar xvzf splunk_package_name.tgz -C /Applications 다음단계 이제 Splunk Enterprise 를설치했으므로, Splunk Enterprise 를아직시작하지않았다면지금시작하십시오. 부팅시에시작하도록설정하십시오. 부팅시시작하도록 Splunk 소프트웨어설정을참조하십시오. 다음단계에대해알아보십시오. Splunk Enterprise 제거 Splunk Enterprise 를제거하는방법은이매뉴얼의 Splunk Enterprise 제거를참조하십시오. 다른사용자나루트가아닌사용자로 Splunk Enterprise 실행 *nix 기반시스템에서는 Splunk Enterprise 를루트가아닌다른사용자로실행할수있습니다. Splunk 에서는이방법을권장하며, 가능한경우소프트웨어를루트가아닌사용자로실행하도록시스템을설정해야합니다. Splunk 소프트웨어를루트가아닌사용자로실행하는경우소프트웨어가다음작업을수행할수있는지확인하십시오. 모니터링하도록설정한파일및디렉터리읽기. 일부로그파일및디렉터리를인덱싱하려면루트또는 superuser 액세스권한이필요할수있습니다. Splunk Enterprise 디렉터리에쓸수있는권한과경고또는스크립트기반입력과함께작동하도록설정된모든스크립트를실행할수있는권한경고매뉴얼의경고작업에대한스크립트설정또는데이터가져오기의스크립트기반입력을통해 API 및기타원격데이터인터페이스에서데이터가져오기를참조하십시오. 수신대기하는네트워크포트에바인딩할수있는권한. 1024 미만의네트워크포트는루트사용자만바인딩할수있는예약된포트입니다. 1024 미만인네트워크포트는루트액세스전용으로예약되어있기때문에 Splunk 소프트웨어가루트로실행되는경우포트 514(syslog 기본수신대기포트 ) 에서만수신대기할수있습니다. 그러나다른유틸리티 (syslog-ng 등 ) 를설치하여 syslog 데이터를파일에기록하고 Splunk 가해당파일을대신모니터링하도록할수있습니다. 루트가아닌사용자로실행되도록 Splunk 소프트웨어설정 1. 루트액세스권한이있는경우 Splunk 소프트웨어를루트사용자로설치합니다. 그렇지않은경우 Splunk 소프트웨어를실행할사용자에게쓰기액세스권한이있는디렉터리에소프트웨어를설치합니다. 2. $SPLUNK_HOME 디렉터리의소유자를 Splunk 소프트웨어를실행할사용자로변경합니다. 3. Splunk 소프트웨어를시작합니다. Splunk 소프트웨어를루트가아닌사용자로설치하는방법설명예 이예에서 $SPLUNK_HOME 은 Splunk Enterprise 설치디렉터리경로를나타냅니다. 1. Splunk 소프트웨어를루트로설치할컴퓨터에로그인합니다. 2. splunk 사용자와그룹을만듭니다. Linux에서 : useradd splunk groupadd splunk Mac OS에서 : 시스템기본설정 > 계정시스템기본설정패널을사용하여사용자및그룹을추가할수있습니다. 3. 플랫폼별설치지침의설명에따라 Splunk 소프트웨어를설치합니다. [Chooseyourplatform Installation instructions] 을참조하십시오. 아직 Splunk Enterprise 를시작하지마십시오. 4. chown 명령어를실행하여 splunk 디렉터리와모든하위디렉터리의소유자를소프트웨어를실행할사용자로변경합니 35
다. chown -R splunk:splunk $SPLUNK_HOME 시스템의 chown 바이너리가파일의그룹소유권변경을지원하지않는경우 chgrp 명령어를대신사용할수있습니다. 그룹소유권변경에대한자세한내용은시스템의 man 페이지를참조하십시오. 5. 루트가아닌사용자가됩니다. su - <user> 루트계정에서로그아웃하고해당사용자로로그인할수도있습니다. 6. Splunk 소프트웨어를시작합니다. $SPLUNK_HOME/bin/splunk start sudo를사용하여다른사용자로 Splunk 소프트웨어시작또는중지 다른사용자로로그인되어있을때 Splunk Enterprise 를 splunk 사용자로시작하려면 sudo 명령어를사용할수있습니다. sudo -H -u splunk $SPLUNK_HOME/bin/splunk start sudo -H -u splunk $SPLUNK_HOME/bin/splunk stop 이명령어예에서는다음과같다고가정합니다. Splunk Enterprise 가기본설치디렉터리에설치되었음. Splunk Enterprise 가다른위치에있는경우, 명령에서경로를적절히수정하십시오. 시스템에서 sudo 명령어를사용할수있음. 사용할수없는경우, su 또는 get 를사용하거나 sudo 를설치하십시오. Splunk 소프트웨어를실행할사용자를이미만들었음 splunk 사용자가 /dev/urandom 장치에액세스하여제품인증서를생성할수있음 추가참고자료 Splunk 소프트웨어가부팅시에루트가아닌사용자로실행되도록설정하는방법은관리자매뉴얼의루트가아닌사용자로부트시작허용을참조하십시오. 관리자가아닌사용자를사용하여 Splunk Enterprise 를 Windows 에설치하는방법에대해알아보려면 Splunk Enterprise 실행사용자선택을참조하십시오. Splunk Enterprise 서비스에서사용하는 Windows 사용자를변경하는방법에대해알아보려면 Windows 설치중에선택한사용자변경을참조하십시오. 36
Splunk Enterprise 사용시작 Splunk Enterprise 처음시작 새로업그레이드하거나설치한 Splunk Enterprise 를사용하기전에잠시시간을내서소프트웨어와데이터가안전한지확인하십시오. 자세한내용은 Splunk Enterprise 보안매뉴얼의강화표준을참조하십시오. --no-prompt CLI 인수로 Splunk Enterprise 를시작하면소프트웨어에서관리자암호를만들라는프롬프트가표시되지않습니다. 암호를만들지않으면로그인후에사용자가없고 Splunk Enterprise 에로그인할수없다는메시지가표시됩니다. 수동으로자격증명을만들어야로그인할수있습니다. 자격증명만들기에대한자세한내용은이항목뒷부분의 " 수동으로관리자자격증명만들기 " 를참조하십시오. Windows의경우 명령줄또는서비스제어판을사용하여 Splunk Enterprise 를 Windows 에서시작할수있습니다. 명령줄을사용하면선택권이더많습니다. 명령프롬프트또는 PowerShell 창에서다음명령어를실행합니다. cd <Splunk Enterprise installation directory>\bin splunk start Splunk 를기본위치에설치한 Windows 사용자의경우이후예제와설명에서 $SPLUNK_HOME 을 C:\Program Files\Splunk 로변경하십시오. 시스템속성대화상자의고급탭을사용하여 %SPLUNK_HOME% 을시스템전역환경변수로추가할수도있습니다. UNIX의경우 1. Splunk Enterprise 명령줄인터페이스 (CLI) 를사용하십시오. cd <Splunk Enterprise installation directory>/bin./splunk start 2. 관리자자격증명을만듭니다. This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: 3. 기본관리및 Splunk Web 포트가이미사용중이거나다른이유로사용할수없는경우 Splunk Enterprise 가사용가능한다음포트를사용할것을제안합니다. 이옵션에동의하거나사용할포트를지정할수있습니다. 4. 원할경우 SPLUNK_HOME 환경변수를 Splunk Enterprise 설치디렉터리로설정할수있습니다. 환경변수를설정하면변수의정확한위치를기억하지않아도나중에설치디렉터리를참조할수있습니다. export SPLUNK_HOME=<Splunk Enterprise installation directory> cd $SPLUNK_HOME/bin./splunk start 5. 시작시퀀스가계속되기전에 Splunk Enterprise 가라이선스계약을표시하고이에동의할것을요청합니다. Mac OS X의경우 파인더에서 Splunk Enterprise 시작 1. 바탕화면에서 Splunk 아이콘을두번클릭하여 "Splunk's Little Helper" 라는도우미애플리케이션을실행합니다. 2. 평가판라이선스를초기화하고설정하려면확인을클릭하십시오. 3. ( 선택사항 ) Splunk 시작및표시를클릭하여 Splunk Enterprise를시작하고웹브라우저페이지에 Splunk Web을열도록설정합니다. 4. ( 선택사항 ) Splunk 시작만을클릭하여 Splunk Enterprise를시작하되 Splunk Web을브라우저에서열지않습니다. 5. ( 선택사항 ) 취소를클릭하여도우미애플리케이션을종료합니다. 이는 Splunk Enterprise 인스턴스자체가아닌도우미애플리케이션에만영향을미칩니다. 옵션을선택하면도우미애플리케이션이선택한애플리케이션을수행하고종료됩니다. 도우미애플리케이션을다시실행하여 Splunk Web 을표시하거나 Splunk Enterprise 를중지할수있습니다. 도우미애플리케이션은이미실행중인 Splunk Enterprise 를종료하는데사용될수도있습니다. 37
명령줄에서 Splunk Enterprise 시작 1. macos 기본 Splunk Enterprise 설치디렉터리는 /Applications/splunk 입니다. cd <Splunk Enterprise installation directory>/bin./splunk start 2. 관리자자격증명을만듭니다. This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: 기타시작옵션 처음시작할때 Splunk 라이선스계약에자동으로동의 1. --accept-license 옵션을 start 명령어에추가합니다. $SPLUNK_HOME/bin/splunk start --accept-license 2. 관리자자격증명을만듭니다. This appears to be your first time running this version of Splunk. An Admin password must be set before installation proceeds. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: 3. 시작시퀀스에서다음을표시합니다. Splunk> All batbelt. No tights. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking appserver port [127.0.0.1:8065]: open Checking kvstore port [8191]: open Checking configuration... Done. Checking critical directories... Done Checking indexes... Validated: _audit _blocksignature _internal _introspection _thefishbucket history main msad msexchange perfmon sf_food_health sos sos_summary_daily summary windows wineventlog winevents Done Checking filesystem compatibility... Done Checking conf files for problems... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available... Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://localhost:8000 메시지를표시하지않고또는메시지에 " 예 " 라고답하는방법으로시작 그외에 2 개의 start 옵션인 no-prompt 및 answer-yes 결과 2 개를반환합니다. $SPLUNK_HOME/bin/splunk start --no-prompt 를실행하면 Splunk Enterprise 가시작절차를계속진행하다가질문에답할것을요구합니다. 이때 Splunk 는질문과종료하는이유를표시하고종료됩니다. 로그인하기전에관리자자격증명 38
을수동으로만들어야합니다. SPLUNK_HOME/bin/splunk start --answer-yes 를실행하면 Splunk Enterprise 가시작절차를계속진행하고시작중에표시되는모든예 / 아니요질문에자동으로 " 예 " 라고답합니다. 계속진행하는동안각질문과답변이표시됩니다. --answer-yes 또는 --no-prompt 를사용하여 Splunk Enterprise 를시작한후에는로그인하기전에관리자자격증명을수동으로만들어야합니다. 절차는이항목뒷부분의 " 수동으로관리자자격증명만들기 " 를참조하십시오. 예를들어다음과같이한줄에옵션 3 개를모두포함하여시작을실행하면 $SPLUNK_HOME/bin/splunk start --answer-yes --no-prompt --accept-license Splunk 는라이선스에동의할것을요청하지않습니다. Splunk 는모든예 / 아니요질문에예라고답합니다. 예 / 아니요질문이아닌질문이표시되면 Splunk 가종료됩니다. Splunk Enterprise 시작위치및방법변경 Splunk Enterprise 시작및작동방법을제어하는시스템환경변수의변경방법에대해알아보려면관리자매뉴얼에서 " 환경변수설정또는변경 " 을참조하십시오. 수동으로관리자자격증명만들기 처음으로 Splunk Enterprise 를시작하면서 --no-prompt CLI 인수를사용하면 Splunk Enterprise 가관리자없이시작될수있으며이경우로그인이되지않습니다. 이문제를해결하려면먼저자격증명을만들고 Splunk Enterprise 를다시시작해야합니다. 1. Splunk Enterprise 를중지합니다../splunk stop 2. 텍스트편집기로 $SPLUNK_HOME/etc/system/local/user-seed.conf 를작성하고소프트웨어를설치한곳의 $SPLUNK_HOME 을대체합니다. 3. 파일내에서다음줄을추가하고 your new password 의암호를대체합니다. [user_info] USERNAME = admin PASSWORD = <your new password> 4. 파일을저장하고닫습니다. 5. 이항목의앞부분에명시된지침에따라 Splunk Enterprise 를다시시작합니다. 자동설치를위한암호관리등관리자자격증명만들기에대한자세한내용은 Splunk Enterprise 보안의안전한관리자암호만들기를참조하십시오. Splunk Enterprise가처음에시작되지않는문제해결 특히업그레이드후에 Splunk Enterprise 가시작되지않는상황이발생하는경우시작프로세스의일부로불법적인인수를 Splunk CLI 에전달하지않았는지확인하십시오. 불법적인인수를전달한경우 splunk start 명령어를인수없이다시실행하십시오. Splunk Web 실행 지원되는웹브라우저를사용하여다음으로이동합니다. http://<host name or ip address>:8000 설치할때선택한호스트와포트를사용합니다. 다음단계 이제 Splunk Enterprise 를서버한대에설치했으므로다음관련링크를참조하여시작하십시오. Splunk Enterprise 의정의및기능과특징에대해알아봅니다. Splunk Enterprise 에데이터를추가하는방법에대해알아봅니다. 데이터가져오기의 Splunk 소프트웨어에서모니터링할수있는대상을참조하십시오. Splunk 사용자및역할을추가하는방법에대해알아봅니다. Splunk Enterprise 보안에서사용자및역할을참조하십시오. 데이터저장에필요한저장소용량을추산하는방법에대해알아봅니다. 용량계획의저장소요구사항평가를참조하십시오. 하루처리량이수기가바이트에서수테라바이트에이르는 Splunk Enterprise 배포를계획하는방법에대해알아봅니 39
다. 용량계획매뉴얼을참조하십시오. 검색, 모니터링및보고방법등에대해알아봅니다. 검색튜토리얼을참조하십시오. 기존기술과비교한 Splunk Enterprise의가장큰차이점중하나는검색시데이터를분류하고해석한다는데있습니다. Splunk 지식이란무엇입니까? 를참조하십시오. Splunk Enterprise 를앱과함께패키지 ( 예 : Splunk + WebSphere) 로다운로드한경우에는 Splunk Web 으로이동하고시작관리자에서앱을선택하여앱설정페이지로바로이동하십시오. 패키지앱의설치및배포에대한자세한내용을보려면 Splunkbase 에서앱이름을검색하십시오. Splunk Enterprise의접근성에대해알아보기 Splunk 는 1973 년미국재활법 508 조와사용편리성베스트프랙티스에따라 AT( 보조과학기술 ) 사용자를위한접근성과사용편리성을유지및개선하기위해노력하고있습니다. 이항목에서는 Splunk 가 AT 사용자를위해제품의접근성을개선하는방법에대해설명합니다. Splunk Web과 CLI의접근성 Splunk Enterprise 명령줄인터페이스 (CLI) 는완전한접근성을제공하며, Splunk Web 에서사용가능한일부기능을지원합니다. CLI 는모든사용자가접근성요구에관계없이쉽게사용할수있도록설계되었으며, 따라서 Splunk 는 AT 사용자 ( 특히시각장애인또는이동에불편이있는사용자 ) 에게 CLI 사용을권장합니다. 또한 Splunk 는시각장애인과같은사용자들이 GUI 사용을선호하는것을이해합니다. 따라서 Splunk Web 은다음과같은접근성기능을포함하도록설계되었습니다. 양식필드와대화상자에는웹브라우저에서지원되는화면초점표시가있습니다. 브라우저에의해구현되는시각적초점이없는링크또는단추나기타요소에대해추가적으로화면초점을구현하지않았습니다. 양식필드에레이블이일관적으로적절하게지정되며, ALT 텍스트를사용하여기능적요소와이미지에대해설명합니다. Splunk Web 은사용자정의스타일시트를재정의하지않습니다. Splunk Web 의데이터시각화에는색상으로전달되는정보를색상없이사용할수있도록마우스를위로이동하여확인할수있거나데이터테이블로출력되는내부데이터가있습니다. HTML 로구현되는대부분의데이터테이블에는필요할때데이터를식별하기위해헤더와마크업이사용됩니다. Flash 를사용하여표시되는데이터테이블에는헤더가시각적으로표시됩니다. CSV( 쉼표구분값 ) 형식으로출력되는기본데이터에는적절한데이터식별헤더가있습니다. 접근성과실시간검색 Splunk Web 에는깜박이거나점멸하는구성요소가포함되어있지않습니다. 그러나실시간검색을사용하면페이지가업데이트됩니다. 실시간검색은배포또는사용자 / 역할수준에서쉽게비활성화할수있습니다. AT 사용자는편의와사용편리성을극대화하기위해실시간기능을비활성화한상태에서 CLI 를사용하는것이좋습니다. 실시간검색비활성화에대한자세한내용은검색매뉴얼의실시간검색의사용을제한하는방법을참조하십시오. Firefox 및 Mac OS X를사용한키보드탐색 Mac OS X 에서 Firefox 의 Tab 키탐색기능을활성화하려면브라우저기본설정대신시스템기본설정을사용하십시오. 키보드탐색을활성화하려면 : 1. 메뉴모음에서 [Apple 아이콘 ] > 시스템기본설정 > 키보드를클릭하여키보드기본설정대화상자를엽니다. 2. 키보드기본설정대화상자의상단에있는키보드바로가기단추를클릭합니다. 3. 대화상자하단의전체키보드액세스부분에서모든컨트롤라디오단추를클릭합니다. 4. 키보드기본설정대화상자를닫습니다. 5. Firefox가이미실행중이면브라우저를종료하고다시시작합니다. 40
Splunk Enterprise 라이선스설치 Splunk Enterprise 라이선스 Splunk Enterprise는지정한원본으로부터데이터를가져와서분석할수있도록데이터를처리합니다. 이프로세스를인덱싱이라고합니다. 인덱싱프로세스에대한내용은데이터가져오기에서 Splunk Enterprise의데이터작업을참조하십시오. Splunk Enterprise 라이선스는하루에인덱싱할수있는데이터의양을지정합니다. Splunk 라이선스에대한자세한내용은다음을참조하십시오. 관리자매뉴얼의 Splunk 라이선싱방식관리자매뉴얼의 Splunk Enterprise 라이선스유형관리자매뉴얼의 Splunk Free 추가정보 라이선스설치 제품의모든기능을계속사용하려면 Splunk Enterprise 를설치한지 60 일이내에라이선스를설치해야합니다. 계속하기전에라이선스에대한다음항목을참조하십시오. Splunk 라이선싱에대해알아보려면관리자매뉴얼의 Splunk 라이선싱방식을참조하십시오. Splunk 라이선스용어에대한자세한내용을알아보려면관리자매뉴얼의그룹, 스택, 풀및기타용어를참조하십시오. 라이선스유형을비교하고각라이선스의결합가능여부를알아보려면관리자매뉴얼의 Splunk 소프트웨어라이선스유형을참조하십시오. 새라이선스추가 Enterprise 라이선스를사용하여개발자 / 평가판라이선스를설치하면 Enterprise 라이선스파일이대체됩니다. 1. 설정 > 라이선싱으로이동합니다. 2. 라이선스추가를클릭합니다. 3. 파일선택을클릭하고라이선스파일을찾아서선택하거나, 라이선스 XML을직접복사하여붙여넣습니다. 를클릭하여라이선스파일내용을제공된필드에붙여넣습니다. 4. 설치를클릭합니다. Splunk Enterprise가라이선스를설치합니다. 5. Enterprise 라이선스를처음설치하는경우 Splunk Enterprise를다시시작합니다. 라이선스위반 라이선스에허용되는최대일일인덱스볼륨을초과하면라이선스위반이발생합니다. 역일 ( 자정에서다음자정까지의 24 시간 ) 의라이선스일별볼륨을초과할경우위반경고가발생합니다. 이경고는 14 일간나타납니다. 30 일기간동안 Enterprise 라이선스에서경고가 5 개이상계속발생하거나 Free 라이선스에서경고가 3 개연속발생할경우라이선스위반에해당됩니다. Splunk Enterprise 6.5.0 버전이상의 "no-enforcement" 라이선스가있는경우를제외하면위반라이선스풀을검색할수없게됩니다. 이전 30 일동안경고가 5 개보다적거나 (Enterprise), 3 개보다적을때 (Free) 또는임시 Reset 라이선스 (Enterprise 만해당됨 ) 를적용할경우에는검색기능을다시사용할수있습니다. Reset 또는 "no-enforcement" 라이선스를받으려면판매담당자에게문의하십시오. 요약인덱싱볼륨은라이선스용량에서차감되지않습니다. 위반경고가표시되는경우자정 ( 라이선스마스터의시간기준 ) 까지이경고를해결하면 30 일기간내총경고수에포함되지않습니다. 라이선스위반기간중에는다음에유의하십시오. Splunk 는데이터인덱싱을멈추지않습니다. 라이선스를초과할경우에만검색이차단됩니다. Splunk 는 _internal 인덱스에대한검색을비활성화하지않습니다. 즉, 인덱싱상태대시보드에는계속액세스할수있으며 _internal 에대한검색을통해라이선스문제를진단할수도있습니다. 라이선스위반이발생할경우관리자매뉴얼의라이선스위반또는 Splunk 커뮤니티위키의인덱스데이터볼륨문제해결을참조하십시오. 라이선싱에대한자세한내용은관리자매뉴얼의 "Splunk 라이선스관리 " 장에서확인할수있습니다. 41
Splunk Enterprise 업그레이드또는마이그레이션 Splunk Enterprise 업그레이드방법 단일 Splunk Enterprise 인스턴스를업그레이드하는방법은간단합니다. 대부분의경우최신패키지를기존설치된패키지에설치하여소프트웨어를업그레이드합니다. Windows 시스템에서업그레이드하는경우설치프로그램패키지가이전에설치된버전을인식하고자동업그레이드를제안합니다. 관리자권한이있고인스턴스디렉터리와모든하위디렉터리에대한쓰기권한이있는사용자계정으로 Splunk Enterprise 를업그레이드해야합니다. 7.1의새로운기능과개선된기능 7.1 버전에서사용가능한모든새로운기능리스트는릴리스노트의 Splunk Enterprise 7.1 소개를참조하십시오. 이릴리스의문제및해결방법이나열된리스트는릴리스노트의알려진문제를참조하십시오. 기존배포환경백업 업그레이드또는마이그레이션작업을수행하기전에기존 Splunk Enterprise 배포환경을항상백업하십시오. Splunk Enterprise 설치본과데이터를업그레이드하기전의상태로복원할수있는기술 ( 외부백업, 디스크또는파일시스템스냅샷이나다른방법 ) 을사용하여업그레이드에따른위험을관리할수있습니다. Splunk Enterprise 데이터를백업할때 $SPLUNK_HOME 디렉터리와해당디렉터리밖에있는모든인덱스를고려하십시오. Splunk Enterprise 배포백업에대한자세한내용은관리자매뉴얼의설정정보백업및인덱서및인덱서클러스터관리의인덱스데이터백업을참조하십시오. 환경을기반으로적절한업그레이드절차선택 단일 Splunk Enterprise 인스턴스와서로연결된다중인스턴스에서 Splunk Enterprise 를업그레이드하는방법은서로다릅니다. 인스턴스의클러스터를설정한경우그차이가상당히큽니다. 분산환경업그레이드 검색헤드풀이하나이상인환경등분산 Splunk Enterprise 환경을업그레이드하려면분산 Splunk Enterprise 배포환경업그레이드방법을참조하십시오. 클러스터된환경업그레이드 인덱서클러스터나검색헤드클러스터를업그레이드하는경우에특별히고려해야하는사항이있습니다. 다음항목에는이매뉴얼의지침에우선하는업그레이드지침이있습니다. 인덱서클러스터를업그레이드하는방법은인덱서및인덱서클러스터관리의인덱서클러스터업그레이드를참조하십시오. 검색헤드클러스터를업그레이드하는방법은분산검색의검색헤드클러스터업그레이드를참조하십시오. 중요한업그레이드정보및변경사항 7.1 업그레이드 : 먼저읽을내용에서업그레이드시에영향을미칠수있는마이그레이션팁과정보를확인하십시오. 6.5 이상에서업그레이드 Splunk Enterprise 6.5 버전이상에서 7.1 버전으로바로업그레이드할수있습니다. *nix 에서 7.1 로업그레이드 Windows 에서 7.1 로업그레이드 6.4 이전에서업그레이드 Splunk Enterprise 6.4 이전버전에서 7.1 버전으로바로업그레이드할수없습니다. 6.0, 6.1, 6.2, 6.3, 6.4 버전에서업그레이드 Splunk Enterprise 6.0, 6.1, 6.2, 6.3, 또는 6.4 버전을실행하는경우 7.1 버전으로업그레이드하기전에 6.5 버전으로먼저업그레이드하십시오. 42
5.0 버전에서업그레이드 Splunk Enterprise 5.0 버전을실행하는경우 7.1 버전으로업그레이드하기전에 6.5 버전으로먼저업그레이드하십시오. "no-enforcement" 라이선스다운로드및설치 라이선스위반이발생한후에도검색을차단하지않는 Splunk 라이선스를사용할수있습니다. 이라이선스는모든신규 Splunk Enterprise 설치본에기본적으로포함됩니다. 업그레이드후에이라이선스유형을사용하려면라이선스를다운로드하여 Splunk Enterprise 인스턴스에별도로설치해야합니다. 해당인스턴스에서는 Splunk Enterprise 6.5.0 이상을실행해야합니다. 분산배포를사용하는경우라이선스마스터역할을하는 Splunk Enterprise 인스턴스에서 6.5.0 이상을실행해야합니다. No-enforcement 라이선스를사용하기위해배포의나머지인스턴스를 6.5.0 으로업그레이드하지않아도됩니다. 이새로운유형의라이선스를이용하려면기존 Splunk 계약에위반등의문제가없어야합니다. 신규라이선스에대한자세한내용은관리자매뉴얼의 Splunk 소프트웨어라이선스유형을참조하십시오. 새라이선스동작활성화 : 1. Splunk Enterprise 환경 ( 최소한단일인스턴스또는라이선스마스터 ) 을 6.5.0 이상으로업그레이드합니다. 2. 판매담당자에게문의하면담당자가고객신상정보를확인하고 Splunk 서포트와함께 no-enforcement 라이선스키를발급해드릴수있습니다. 3. Splunk Enterprise 인스턴스나분산배포의경우라이선스마스터인스턴스에키를적용합니다. 4. 신규라이선스가적용되도록개별호스트또는라이선스마스터에서 Splunk Enterprise 를다시시작합니다. 유니버설포워더업그레이드 유니버설포워더의업그레이드프로세스는전체 Splunk Enterprise 업그레이드프로세스와다릅니다. 유니버설포워더를업그레이드하기전에사용중인운영체제의유니버설포워더매뉴얼에서해당업그레이드항목을참조하십시오. Windows 유니버설포워더업그레이드 *nix 시스템유니버설포워더업그레이드 인덱서와포워더의상호운용성및호환성에대해알아보려면데이터전달에서포워더와인덱서호환성을참조하십시오. 잃어버린패키지매니페스트파일대체 Splunk 설치패키지에는 Splunk 소프트웨어를실행하는데필요한매니페스트파일이있습니다. 매니페스트파일은 Splunk 설치본의루트에있고 -manifest 로끝납니다. 파일이없는경우 ( 예를들어파일을삭제한경우 ) Splunk 소프트웨어가유효한설치본인지확인할수없으므로소프트웨어를실행할수없습니다. 업그레이드하는중에매니페스트파일을삭제하는경우, 이유에관계없이다음절차에따라파일을복원할수있습니다. 1. 이전에다운로드했던 Splunk 설치프로그램과동일한복사본을다운로드합니다. 이복사본은버전과아키텍처가동일해야합니다. 매니페스트파일은버전마다다르기때문입니다. 2. 파일을기존 Splunk 설치디렉터리와다른디렉터리에추출합니다. 3. 파일을이디렉터리에서 Splunk 설치루트디렉터리로복사합니다. 4. Splunk Enterprise 를시작하고정상적으로시작되는지확인합니다. 7.1 업그레이드 : 먼저읽을내용 업그레이드하기전에이항목을읽고이전버전에서 7.1 버전으로업그레이드하는절차에대한중요한정보와팁에대해알아보십시오. Splunk 앱및추가기능호환성 모든 Splunk 앱및추가기능이 Splunk Enterprise 7.1 버전과호환되지는않습니다. Splunkbase 를방문하여앱이 Splunk Enterprise 7.1 버전과호환되는지확인하십시오. Enterprise Security 버전 5.0.x 이전버전을사용하는경우 Splunk Enterprise version 7.1 로업그레이드하지마십시오. 이버전의 Splunk Enterprise 는 Splunk Enterprise Security 버전 5.0.x 이전버전과호환되지않습니다. 클러스터된환경업그레이드 인덱서클러스터를업그레이드하는방법은인덱서및인덱서클러스터관리의인덱서클러스터업그레이드를참조하십시오. 해당지침은이매뉴얼의업그레이드지침을대체합니다. 검색헤드클러스터를업그레이드하는방법은분산검색의검색헤드클러스터업그레이드를참조하십시오. 해당지침은이매뉴얼의업그레이드지침을대체합니다. 43
업그레이드경로 Splunk Enterprise 는다음과같은경로를통해 7.1 버전소프트웨어로업그레이드할수있습니다. 전체 Splunk Enterprise 에서 6.5 이상버전을 7.1 로업그레이드 Splunk 유니버설포워더에서 6.5 이상버전을 7.1 로업그레이드 Splunk Enterprise 6.5 이전버전을실행하는경우 : 1. 현재버전을 6.5 버전으로업그레이드하십시오. 2. 7.1 버전으로업그레이드하십시오. 인스턴스를 6.5 버전으로마이그레이션하는방법에대한내용은 6.5 업그레이드 - 먼저읽을내용을참조하십시오. 중요한업그레이드정보및변경사항 아래에는새버전을설치할때알아야하는내용이몇가지나와있습니다. 새로운 Splunk 암호체계가스크립트기반업그레이드에영향을미칠수있음 Splunk Enterprise 7.1 부터 Splunk 소프트웨어사용자를위한새로운암호체계가도입됩니다. 이암호체계에는스크립트를사용하여업그레이드프로세스를자동화하는경우업그레이드방법에영향을미칠수있는추가설정및구성옵션이포함되어있습니다. 스크립트기반업그레이드를수행하기전에업그레이드스크립트를변경해야할수있습니다. 구체적으로설명하면, 업그레이드중에 Splunk Enterprise 를시작하거나다시시작하기위한불법인수가 Splunk CLI 에전달되지않는지확인해야합니다. 이경우업그레이드완료후에 Splunk Enterprise 가시작되지않는상황이발생할수있기때문입니다. 새로운 Splunk 암호체계가새로운스크립트기반설치및암호사용에영향을미칠수있음 소프트웨어업그레이드중에기존암호가유지되지만, 스크립트기반설치를수행하는경우새암호체계가설치에중대한영향을미칠수있습니다. 7.1.0 이상의소프트웨어버전을스크립트로설치하기전에스크립트를수정해야할수있습니다. 다음항목을주의깊게읽고업데이트된설치프로세스를숙지하십시오. 설치매뉴얼의 Linux 에설치설치매뉴얼의명령줄을사용하여 Windows 에설치 업데이트된암호정책에대한자세한내용은관리자를위한암호베스트프랙티스를참조하십시오. 또한업그레이드후에암호를변경하는경우에영향을미칠수있는암호자격요건을 Splunk 관리자가도입할수도있습니다. 자세한내용은 Splunk Enterprise 보안의 Splunk 암호정책설정을참조하십시오. Splunk Web 사용자인터페이스가크게업데이트됨 Splunk Web 의외양을새롭게개선하여재단장했습니다. 여러사용자인터페이스컨트롤은이전버전과동일하게유지되었지만인터페이스의외양이전과다르고일부항목이이동되었습니다. 이변경사항으로인해이전인터페이스에익숙했던사용자는혼란을겪을수있습니다. 데이터모델검색에서는이제데이터모델안에서정의된필드만사용함 Splunk Enterprise 7.1 버전으로업그레이드하면데이터모델검색에데이터모델안에서정의된필드만사용할수있습니다. Splunk Enterprise 에서필드를더이상자동으로추출하지않습니다. 또한공백이포함된자동추출된필드를참조하는데이터모델검색이있는경우데이터모델이공백을포함하는필드를허용하지않는문제를우회해야합니다. 예약된뷰리퍼로인해시작시에디스크 I/O 및 CPU 사용량이증가할수있음 Splunk Enterprise 7.1 버전으로업그레이드하면상위개체가없는예약된뷰 ( 일정에따라 PDF 를생성하는저장된검색또는보고서 ) 를확인하고제거하는새로운프로세스가실행됩니다. 이작업은 Splunk Enterprise 가시작될때수행되어시작시에디스크 I/O 및 CPU 사용량이증가할수있습니다. 단계구분도의기본색구성표변경됨 단계구분도및단일값시각화의색구성표가 Splunk Enterprise 7.1 에서변경되었습니다. 기존시각화는업그레이드후에도유지되지만, 업그레이드후에새로만드는시각화에는새로운색구성표가사용됩니다. HTTP Event Collector에서이제유휴인덱서 ACK 채널을기본적으로정리함 Splunk Enterprise 7.1 버전으로업그레이드한후 HTTP Event Collector 에서는이제검색된인덱서 ACK 채널중유휴시 44
간이 inputs.conf 의해당설정을통해정의되는 'maxidletime' 보다긴채널을기본적으로정리합니다. 그결과궁극적으로 HEC 성능은개선되지만, 정리중에네트워크및 CPU 활동이약간증가할수있습니다. 업그레이드후기본 Splunk 앱에서수정된탐색메뉴가제거됨 Splunk Enterprise 7.1 버전으로업그레이드한후에는기본 Splunk 앱의탐색메뉴에적용한수정사항이제거됩니다. 기본앱또는설정을수정해서는안됩니다. 거의모든경우에수정사항이업그레이드후에제거되기때문입니다. Splunk 기본설정및앱을수정하지말고로컬설정을대신수정하십시오. Stats 백분위수결과가몇퍼센트변경될수있음 (7.0 버전에서처음도입됨 ) Splunk 소프트웨어는 stats 및관련명령어 (tstats, streamstats, eventstats, chart, timechart, sistats, sichart, sitimechart) 의백분위수와중간값을근사알고리즘을사용하여계산합니다 (exactperc 집계함수를사용하는경우제외 ). Splunk Enterprise 7.0 전에는이런명령어에서 rdigest 라는근사알고리즘을사용했습니다. 업그레이드후에는경우에따라 ( 특히메트릭데이터 ) rdigest 보다성능이더우수한것으로나타난 tdigest 로기본다이제스트동작이변경됩니다. Splunk Enterprise 7.0 으로업그레이드하면백분위수와중간값을사용하는보고서에서출력되는결과가약간달라질수있습니다. 차이는일반적으로작지만 (1% 미만 ) 데이터집합이약간비대칭인경우차이가더클수있습니다. 첫변화후에 stats 는새로운다이제스트방법을계속사용하고, rdigest 방법을다시사용하지않는한변화가다시발생하지않습니다. 원할경우 limits.conf 에서다이제스트동작을전역으로되돌릴수있습니다. stats, tstats, streamstats, eventstats, chart 및 timechart 의동작은 stats 스탠자에있는설정으로제어됩니다. sistats, sichart 및 sitimechart 의동작은 sistats 스탠자에있는설정으로제어됩니다. 관리자매뉴얼의 limits.conf.spec 을참조하십시오. 비활성화된룩업을검색이나다른룩업에서더이상사용할수없음 (7.0 버전에서처음도입됨 ) 비활성화된룩업을더이상검색이나다른룩업의일부로사용할수없습니다. 업그레이드후에비활성화된룩업을사용하려고하면 The lookup table '<lookup name>' is disabled 라는오류메시지가수신됩니다. 검색된보고서수를사용자지정하는기능을사용하면브라우저성능이저하될수있음 (7.0 버전에서처음도입됨 ) 이제는 web.conf 에서항목을수정하여 Splunk Web 에서한번에검색할수있는보고서수를늘리거나줄일수있습니다. 업그레이드후에검색할수있는보고서수를늘리면사용가능한보고서수로인해브라우저성능문제가발생할수있습니다. 새로운포워더부하분산방식사용가능 (6.6 버전에서처음도입됨 ) 모든유형의포워더는이제부하를새로운방식으로수신인덱서간에분산시킬수있습니다. 시간에따른부하분산외에, 전송된데이터의양에따라부하를분산시킬수도있습니다. 이설정은 outputs.conf 의 autolbvolume 설정에서제어합니다. 자세한내용은데이터전달의부하분산방법선택을참조하십시오. 7.0 버전과 5.0 이전버전의 SSL을통한연결이기본적으로비활성화됨 (6.6 버전에서처음도입됨 ) Splunk Enterprise 7.0 버전의보안암호화에적용된변경사항으로인해, 5.0 이전버전에서실행되는 Splunk 소프트웨어인스턴스는기본적으로 7.0 이후버전인스턴스에연결할수없습니다. 업그레이드하면 5.0 이전버전을실행하는인스턴스가더이상업그레이드된인스턴스와 SSL 을통해통신하지않습니다. 이문제는전송인스턴스에서 inputs.conf 와 outputs.conf 를편집하여인스턴스간통신을허용하는암호화를활성화하는방법으로해결할수있습니다. 자세한내용은 Splunk Enterprise 6.6.0 릴리스노트의알려진문제 - 업그레이드문제페이지를참조하십시오. 디스크상의데이터모델가속크기가증가하는것처럼보일수있음 (6.6 버전에서처음도입됨 ) 45
사용자지정데이터모델을만들고가속한경우, Splunk 소프트웨어에서보고하는디스크상의크기가증가합니다. 업그레이드하면데이터모델가속요약크기가최대 2 배증가하는것처럼보일수있습니다. 이렇게디스크사용량이증가하는것처럼보이는이유는 Splunk 소프트웨어가데이터모델가속요약의디스크사용량을계산하는방법이변경되었기때문입니다. Splunk 소프트웨어가 7.0 버전에서수행하는계산은이전버전보다더정확합니다. 잠재적인데이터모델가속검색수증가 (6.6 버전에서처음도입됨 ) 데이터모델가속에사용되는기본동시검색수가 2 개에서 3 개로증가했습니다. 아직가속되지않은데이터모델을사용하는환경이있는경우 Splunk 소프트웨어는데이터모델을가속하기위해검색을 3 개까지실행할수있습니다. 그러면데이터모델을가속하는검색헤드의 CPU, 메모리및디스크사용량이증가할수있으며, 검색헤드가클러스터되지않은환경에서는동시검색이전체적으로더많아질수있습니다. SSL 및 TLS 보안변경사항이 LDAP 사용고객에게영향을미칠수있음 (6.6 버전에서처음도입됨 ) LDAP(Lightweight Directory Access Protocol) 을사용하여인증하도록 Splunk 소프트웨어를설정한경우, 업그레이드후에 SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security) 보안설정이변경되어소프트웨어가 LDAP 서버에연결하지못할수있습니다. 이경우다음작업을수행하여업데이트된설정을롤백할수있습니다. 1. $SPLUNK_HOME/etc/openldap/ldap.conf 를텍스트편집기로편집할수있도록엽니다. 2. 다음으로시작되는줄에주석을추가합니다. #TLS_PROTOCOL_MIN... #TLS_CIPHER_SUITE... 3. ldap.conf 파일을저장하고닫습니다. 4. Splunk 소프트웨어를다시시작합니다. outputs.conf에서 'autolb' 유니버설포워더설정을더이상설정할수없음 (6.6 버전에서처음도입됨 ) 유니버설포워더에서인덱서로데이터를전송하는방법을제어하고유효한설정이 true 뿐이었던 autolb 설정이 true 값으로고정되었습니다. 자동부하분산이포워더에서데이터를전송할수있는유일한방법이므로, 더이상이설정을변경할수있게할이유가없습니다. 유니버설포워더는이제설정을 true 이외의다른값으로설정하려는시도를무시합니다. 시작검사중에잘못된 autolb 설정에대한오류메시지가나타날수있습니다. 이오류는무시해도안전합니다. 인스턴스간에통신하기위해포워더와수신인덱서의 ' 압축됨 ' 설정이더이상일치하지않아도됨 (6.6 버전에서처음도입됨 ) 포워더와인덱서는이제연결을자동협상합니다. 업그레이드후에는포워더 - 수신기연결을위해더이상포워더의 outputs.conf 스탠자에있는 compressed 설정이수신기의 inputs.conf 에있는 splunktcp:// 스탠자의해당 compressed 설정과일치하지않아도됩니다. 분산 Splunk 환경의인덱서는이제검색헤드의 fields.conf에있는 INDEXED 설정만인정함 (6.6 버전에서처음도입됨 ) 인덱서에서 fields.conf 의 INDEXED 설정을처리하는방법이문서화된베스트프랙티스와더유사하게변경되었습니다. 이제인덱서는검색헤드에서설정된설정만인정합니다. 업그레이드하면이설정을인덱서의 fields.conf 에서만설정한경우검색헤드에서도설정해야합니다 ( 설정이검색헤드에없는경우 ) 부하분산포워더설정에서다른설정을사용하여인덱서간데이터분산개선 (6.6 버전에서처음도입됨 ) 부하분산방식에서유니버설포워더가인덱서로데이터를전송하도록설정된경우, forcetimebasedautolb 가있는설정을 EVENT_BREAKER_ENABLE 및 EVENT_BREAKER 를사용하는설정으로대체해야합니다. 이새로운설정에대한내용은유니버설포워더매뉴얼의 Splunk Enterprise 부하분산설정을참조하십시오. 46
'/server/info' REST endpoint 보호가이제기본적으로켜져있음 (6.6 버전에서처음도입됨 ) Splunk Enterprise 6.5 버전에는 server/info REST endpoint 에액세스하려면인증이요구되는설정이도입되었습니다. 업그레이드후에는이보호기능이기본적으로활성화됩니다. 인덱싱작업중인덱서의메모리사용량증가 (6.5 버전에서처음도입됨 ) Splunk Enterprise 7.0 버전으로업그레이드하면인덱싱작업중에인덱서의메모리사용량이증가합니다. 인덱서를병렬화 ( 다중인덱싱파이프라인 ) 방식으로설정한경우메모리사용량이크게증가할수있습니다. Splunk Enterprise 설치본의기본설정인단일인덱싱파이프라인으로설정된인덱서의메모리사용량은최대 10% 까지증가합니다. 파이프라인집합이 2 개인인덱서에서는최대 15% 증가합니다. 인덱싱파이프라인 4 개로설정된인덱서에서는최대 25% 증가합니다. 업그레이드를실행하기전에인덱서가용량계획매뉴얼에자세히나와있는최소하드웨어사양을충족하거나초과하는지확인하십시오. 각호스트의메모리사용량에대한세부정보는참조하드웨어를참조하십시오. Splunk 무료버전에앱 Key Value 스토어포함 (6.5 버전에서처음도입됨 ) Splunk Enterprise 7.0 버전으로업그레이드하면 Splunk Enterprise 무료버전에서도앱 Key Value 스토어기능에액세스할수있습니다. 이변경사항으로인해앱 Key Value 스토어를지원하는호스트에서실행되는프로세스가발생합니다. 이프로세스로인해메모리또는디스크공간이추가로사용될수있습니다. 계측기능으로인해내부인덱스가추가되고이로인해디스크공간사용량이증가할수있음 (6.5 버전에서처음도입됨 ) 동의후에 Splunk Enterprise 성능통계를 Splunk 와공유할수있는 Splunk Enterprise 의계측기능에포함된새로운내부인덱스로인해, 업그레이드한호스트에서사용하는디스크공간이증가할수있습니다. 관리자매뉴얼의성능데이터공유에나와있는지침에따라성능데이터공유를취소할수있습니다. 특정 JSChart 한도가상향되어오래된브라우저에서성능이저하될수있음 (6.5 버전에서처음도입됨 ) JSChart 차트요소가표시할수있는열, 결과및데이터점수가증가했습니다. 열수는 50 개에서 100 개로 2 배증가했습니다. 표시할수있는결과수는 1,000 개에서 10,000 개로증가했습니다. 총데이터점수는 20,000 개에서 50,000 개로증가했습니다. 해당 JSChart 요소의기본값을아직변경하지않은경우업그레이드후에더많은데이터점이 JSChart 요소에표시됩니다. 오래된브라우저를사용하여 Splunk Enterprise 와상호작용하는경우성능이약간저하될수도있습니다. 인덱스삭제를금지하는신규기능 'deleteindexesallowed' 추가 (6.5 버전에서처음도입됨 ) 새로운사용자기능인 deleteindexesallowed 가추가되었습니다. 관리자가아닌사용자역할은이기능이있어야만인덱스를삭제할수있습니다. 업그레이드후에는인덱스를삭제할수있도록관리자가아닌사용자역할에이기능을할당할수있습니다. 인덱스를삭제하려면사용자역할에 "delete_by_keyword" 기능도있어야합니다. Windows 관련변경사항 7.1 버전의 TLS(Transport Layer Security) 및 SSL(Secure Sockets Layer) 암호화스위트는 Windows Server 2008 R2에서지원되지않음 (6.6 버전에서처음도입됨 ) Splunk Enterprise 7.0 버전과함께제공되는 TLS 및 SSL 암호화스위트는기본적으로 Windows Server 2008 R2 를지원 47
하지않습니다. SSL 과 TLS 를사용해포워더와인덱서간통신이나경고작업을처리한경우, 업그레이드하면 Windows 및 Splunk Enterprise 설정을모두업데이트할때까지해당작업을수행할수없습니다. 새암호화수트를사용하도록 Windows Server 2008 R2 와 Splunk Enterprise 를설정하는방법에대한설명은 Splunk Enterprise 보안의 TLS 암호화및암호화수트를참조하십시오. Windows 이벤트로그모니터링입력성능개선, 새설정, 동작변경 (6.6 버전에서처음도입됨 ) 이제 Windows 이벤트로그모니터링입력의성능이개선되었습니다. 입력에서이벤트를검색하고처리하는방법의효율이개선되어이전버전보다성능이최대 2 배까지향상되었습니다. 성능을더개선하기위해새로운입력설정이몇개추가되었습니다. 또한입력에서는이제이벤트로그모니터링스탠자의 checkpointinterval 설정이인정됩니다. 변경사항에대한자세한내용은데이터가져오기의 Windows 이벤트로그데이터모니터링을참조하십시오. 업그레이드하기전에 : 이벤트로그모니터링입력스탠자를검토하고 checkpointinterval 설정이매우크게설정되지않았는지확인하십시오. 설정값이크면 Splunk Enterprise 가작동중단으로인해다시시작한후다수의중복이벤트가발생할수있습니다. checkpointinterval 을아직설정하지않은경우지금설정하지않아도됩니다. Windows 이벤트로그데이터를검색하는컴퓨터가 Splunk Enterprise 사내사용을위한시스템요구사항에설명된최소요구사항을충족하거나초과하는지확인하십시오. 특히조직에서이벤트로그이벤트가제때도착하는것을중시하는경우, 입력을사용하는컴퓨터가해당요구사항을준수해야합니다. Windows 유니버설포워더설치패키지에 Windows용 Splunk 추가기능이더이상포함되지않음 (6.5 버전에서처음도입됨 ) 유니버설포워더설치패키지에 Windows 용 Splunk 추가기능이더이상포함되지않습니다. 추가기능이필요한경우별도로다운로드하고설치해야합니다. 설치프로그램이기존추가기능설치본을삭제하지않습니다. Internet Explorer 9 및 10 버전지원중단 (6.5 버전에서처음도입됨 ) Microsoft 는 2016 년 1 월 12 일부로 Internet Explorer 11 미만의모든버전에대한지원을중단한다고발표했습니다. 이발표에따라 Splunk 는해당버전에대한 Splunk Web 지원을중단했습니다. 이로인해 Internet Explorer 구버전에서는최적의인터넷브라우징환경을구현하지못할수도있습니다. 업그레이드하는경우사용하는 Internet Explorer 버전도 11 이상으로업그레이드하십시오. 아니면 Splunk 에서지원하는다른브라우저를사용할수도있습니다. 알려진업그레이드문제에대해알아보기 Splunk Enterprise 업그레이드문제에대해더알아보려면릴리스노트의알려진문제 - 업그레이드문제페이지를참조하십시오. 분산 Splunk Enterprise 환경업그레이드방법 분산 Splunk Enterprise 환경은매우다양합니다. 여러인덱서또는검색헤드가있거나검색헤드풀이있거나인덱서및검색헤드클러스터가있는다양한환경이있습니다. 이런유형의환경에서업그레이드하는작업은단일인스턴스설치본업그레이드작업보다어려울수있습니다. 각환경의유형에적합한업그레이드절차결정 배포환경의유형에따라업그레이드를완료하기위해따라야하는지침이다를수있습니다. 이항목에서는인덱스또는검색헤드클러스터처럼클러스터된요소가없는분산환경을업그레이드하는방법에대해설명합니다. 이항목에는지원이중단된검색헤드풀기능을사용하는환경을업그레이드하는방법에대한내용도수록되어있습니다. 인덱서클러스터와검색헤드클러스터처럼클러스터된요소가있는환경을업그레이드하는절차는다른항목에서별도로설명합니다. 검색헤드풀이있거나클러스터된요소가없는분산환경으로업그레이드하려면이항목의절차를따르십시오. 인덱스클러스터가있는환경을업그레이드하려면인덱서및인덱서클러스터관리에서인덱서클러스터업그레이드를참조하십시오. 검색헤드클러스터가있는환경을업그레이드하려면분산검색에서검색헤드클러스터업그레이드를참조하십시오. 분산 Splunk Enterprise 환경업그레이드에대해궁금한사항이더있는경우 Splunk 서포트포털을통해문의를접 48
수하십시오. 분산구성요소간버전호환성 여러 Splunk 소프트웨어구성요소는서로어느정도호환되지만, 각각특정버전에서가장효과적입니다. 분산배포구성요소를하나이상업그레이드해야하는경우업그레이드하는구성요소가업그레이드하지않는구성요소와계속호환되는지확인해야합니다. 버전이서로다른검색헤드와검색피어 ( 인덱서 ) 의상호호환성에대한내용은분산검색에서분산검색에대한시스템요구사항및기타배포고려사항을참조하십시오. 인덱서및포워더의호환성에대한내용은데이터전달에서포워더와인덱서호환성을참조하십시오. 업그레이드전앱테스트 분산환경을업그레이드하기전에모든 Splunk 앱이업그레이드할 Splunk Enterprise 버전에서작동하는지확인하십시오. 검색헤드풀이있는분산환경을업그레이드하려면앱을테스트해야합니다. 검색헤드풀은공유저장공간을사용하여앱과설정을저장하기때문입니다. 업그레이드할때마이그레이션유틸리티는업그레이드시풀링된검색헤드용공유저장소로복사해야하는앱에대해알립니다. 이때유틸리티가앱을자동으로복사하지는않으므로, 업그레이드프로세스중에검색앱처럼 Splunk Enterprise 와함께제공되는앱을포함하는업데이트된앱을수동으로공유저장소로복사해야합니다. 그러지않으면업그레이드가완료된후사용자인터페이스에문제가발생할수있습니다. 1. 참조컴퓨터에현재실행중인 Splunk Enterprise 의전체버전을설치합니다. 2. 이인스턴스에앱을설치합니다. 3. 앱에액세스하여앱이올바로작동하는지확인합니다. 4. 인스턴스를업그레이드합니다. 5. 앱에다시액세스하여계속작동하는지확인합니다. 앱이올바르게작동하면분산환경을업그레이드하는도중에앱을적절한위치로옮기십시오. 풀링되지않은검색헤드를사용하는경우앱을검색헤드업그레이드프로세스도중에각검색헤드의 $SPLUNK_HOME/etc/apps 로옮깁니다. 풀링된검색헤드를사용하는경우앱을풀링된검색헤드가앱을찾는공유저장소위치로옮깁니다. 여러인덱서와풀링되지않은검색헤드가있는분산환경업그레이드 이절차에서는가용성을유지하기위해검색헤드계층과인덱싱계층을차례로업그레이드합니다. 업그레이드준비 1. 풀링되지않은검색헤드가사용하는모든앱이업그레이드된 Splunk 버전에서작동할것인지확인합니다. 이항목의 " 업그레이드전앱테스트 " 를참조하십시오. 2. ( 선택사항 ) 배포서버를사용하는환경의경우해당서버를임시로비활성화합니다. 이경우서버가유효하지않은설정을다른구성요소에배포하지않습니다. 3. ( 선택사항 ) 배포서버를업그레이드하고, 다시시작하지는않습니다. 검색헤드업그레이드 1. 검색헤드하나를비활성화합니다. 2. 해당검색헤드를업그레이드합니다. 검색헤드가다시시작되지않도록합니다. 3. 검색헤드를업그레이드한후작동테스트를완료한앱을검색헤드의 $SPLUNK_HOME/etc/apps 디렉터리에둡니다. 4. 검색헤드를다시활성화하고다시시작합니다. 5. 검색헤드에서앱의작동과기능을테스트합니다. 6. 검색헤드에문제가없으면나머지검색헤드를하나씩비활성화하고업그레이드합니다. 환경의마지막검색헤드에도달할때까지이단계를반복합니다. 7. ( 선택사항 ) 각검색헤드를다시시작한후에작동및기능을테스트합니다. 8. 마지막검색헤드를업그레이드한후모든검색헤드의작동및기능을테스트합니다. 인덱서업그레이드 1. 인덱서를하나씩비활성화하고업그레이드합니다. 인덱서를업그레이드한후즉시다시시작할수있습니다. 2. 검색헤드를테스트하여모든인덱서에서데이터를찾는지확인합니다. 3. 인덱서를모두업그레이드한후배포서버를다시시작합니다. 여러인덱서와풀링된검색헤드가있는분산환경업그레이드 분산환경에풀링된검색헤드가있을경우에는환경업그레이드프로세스가훨씬더복잡해집니다. 조직에서가동중단시 49
간에대해정한제한조건이있는경우, 유지관리시간에이업그레이드를진행하십시오. 이런환경의업그레이드와관련된주요개념은다음과같습니다. 풀링된검색헤드는풀단위로한꺼번에활성화하고비활성화해야합니다. 모든풀링된검색헤드의 Splunk Enterprise 버전이동일해야합니다. 검색헤드풀을업그레이드하기전에검색헤드가사용하는앱과설정을테스트해야합니다. 여기에서설명한내용에대해궁금한사항이더있으면 Splunk 서포트포털을통해문의를접수할수있습니다. 여러인덱서와풀링된검색헤드가있는분산 Splunk 환경을업그레이드하려면다음과같이수행하십시오. 업그레이드준비 각검색헤드에서검색헤드풀링을활성화하고비활성화하는방법에대한설명은분산검색매뉴얼에서 " 검색헤드풀링설정 " 을참조하십시오. 1. 풀링된검색헤드가사용하는모든앱이업그레이드된 Splunk Enterprise 버전에서작동할것인지확인합니다. 이항목의 " 업그레이드전앱테스트 " 를참조하십시오. 2. 환경에서배포서버를사용하는경우에는해당서버를임시로비활성화합니다. 이경우서버가유효하지않은설정을다른구성요소에배포하지않습니다. 3. 배포서버를업그레이드하지만아직다시시작하지않습니다. 4. 검색헤드풀에서기능및작동을테스트하기위해업그레이드할검색헤드를지정합니다. 5. 이지침의나머지부분에서는이검색헤드를 " 검색헤드 1번 " 이라고지칭합니다. 참고 : 검색헤드를검색헤드풀에서임시로제거한후에업그레이드해야합니다. 이렇게해야하는몇가지이유가있습니다. 검색헤드풀의공유저장소에서호스트되는앱과사용자개체가변경되지않도록하기위해로컬앱및시스템설정이업그레이드도중에공유저장소로잘못마이그레이션되지않도록하기위해업그레이드도중에문제가발생할경우백업으로사용할수있는유효한로컬설정을보존하기위해 업그레이드로인해문제가발생하면풀링되지않은설정의검색헤드를백업으로임시사용할수있습니다. 검색헤드풀업그레이드 주의 : 업그레이드하기전에각검색헤드를검색헤드풀에서제거하고업그레이드한후다시풀에추가하십시오. 각검색헤드의작동및기능을모두확인해야할필요는없지만업그레이드단계중에는검색헤드를한번에하나씩만사용할수있습니다. 1. 환경내모든검색헤드의작동을중지합니다. 이시점에검색기능을사용할수없게되고, 업그레이드후모든검색헤드를다시시작할때까지계속사용할수없습니다. 2. 작동을확인한앱을검색헤드풀의공유저장소영역에놓습니다. 3. 검색헤드 1 번을검색헤드풀에서제거합니다. 4. 검색헤드 1 번을업그레이드합니다. 5. 검색헤드 1 번을다시시작합니다. 6. 검색헤드의작동과기능을테스트합니다. 여기서 ' 작동과기능 ' 이란인스턴스가시작되고해당인스턴스에로그인할수있음을의미합니다. 공유저장소에서호스트되는앱또는개체를사용할수있다는의미가아니며, 분산검색이올바르게실행된다는의미도아닙니다. 7. 업그레이드된검색헤드 1 번이원하는대로작동할경우해당검색헤드를종료합니다. 8. 검색헤드에서공유저장소로앱및사용자기본설정을복사합니다. 9. 검색헤드를검색헤드풀에다시추가합니다. 10. 검색헤드를다시시작합니다. 11. 위의절차에따라풀의나머지검색헤드를하나씩업그레이드합니다. 검색헤드다시시작 1. 풀의마지막검색헤드를업그레이드한후모든검색헤드를다시시작합니다. 2. 검색헤드풀에서호스트되는모든앱및사용자개체에대해모든검색헤드의작동및기능을테스트합니다. 3. 모든인덱서의분산검색을테스트합니다. 인덱서업그레이드 검색헤드와인덱서의버전호환성에대한내용은분산검색에서분산검색에대한시스템요구사항및기타배포고려사항을참조하십시오. 1. ( 가동중단시간이중요하지않은경우선택사항 ) 환경이계속실행되도록하기위해사용할인덱서를선택하고 " 인덱서 1 번 " 으로지정합니다. 2. ( 가동중단시간이중요하지않은경우선택사항 ) 업그레이드할두번째인덱서를선택하고 " 인덱서 2 번 " 으로지정합니다. 50
. 3. 가동시간을유지해야하는경우인덱서 1 번을제외한모든인덱서를종료합니다. 그렇지않으면모든인덱서를종료하고 7 단계로진행하십시오. 4. 인덱서 2 번을업그레이드합니다. 5. 인덱서 2 번을다시시작하고작동및기능을테스트합니다. 6. 인덱서 2 번이올바르게작동하는지확인한후인덱서 1 번의작동을중지합니다. 7. 인덱서 1 번과나머지인덱서를모두하나씩업그레이드합니다. 인덱서를업그레이드한후즉시다시시작할수있습니다. 8. 모든인덱서의작동과기능을확인합니다. 9. 배포서버를다시시작하고해당서버의작동과기능을확인합니다. 포워더업그레이드 분산환경을업그레이드할때해당환경의모든유니버설포워더도업그레이드할수있습니다. 그러나반드시업그레이드해야하는것은아니며, 업그레이드의필요여부를고려해보는것이좋습니다. 포워더는항상이전버전의인덱서와호환됩니다. 유니버설포워더를업그레이드하려면유니버설포워더매뉴얼의다음항목을참조하십시오. Windows 유니버설포워더업그레이드 *nix 시스템유니버설포워더업그레이드 Splunk 앱개발자를위한변경사항 Splunk 플랫폼용앱개발자는이항목을읽고 7.0 버전에서소프트웨어가앱과함께작동하는방법에대한변경사항과기존앱을새버전과함께사용하기위해마이그레이션하는방법에대해알아보는것이좋습니다. 변경사항 Splunk Web 사용자인터페이스업데이트됨다른변경사항이나 Splunk 앱배포에대해자세히알아보려면 Splunk Dev 포털을방문하십시오. Splunk Dev 포털방문 Splunk 앱배포에대해자세히알아보려면 Splunk Dev 포털을방문하십시오. UNIX에서 7.1로업그레이드 업그레이드하기전에 업그레이드하기전에 7.1 로업그레이드 : 먼저읽을내용에서기존버전을업그레이드할경우에사용자에게영향을미칠수있는새버전의변경사항에대한내용을확인하십시오. Splunk Enterprise 는이전버전으로다운그레이드할수있는방법을제공하지않습니다. 이전 Splunk 릴리스로되돌려야하는경우업그레이드된버전을제거한후에원하는버전을다시설치하십시오. 파일백업 업그레이드하기전에 Splunk Enterprise 설정, 인덱스데이터및바이너리를포함한모든파일을백업하십시오. 데이터백업에대한내용은인덱서및클러스터관리매뉴얼의인덱스데이터백업을참조하십시오. 설정백업에대한내용은관리자매뉴얼의설정정보백업을참조하십시오. 업그레이드적용방법 Splunk Enterprise 설치본을업그레이드하려면새버전을이전버전위에 ( 동일한설치디렉터리에 ) 직접설치해야합니다. 업그레이드후에 Splunk Enterprise 가시작되면변경된파일을인식한후업그레이드를실행하기전에마이그레이션변경사항을미리볼것인지물어보는메시지가나타납니다. 계속하기전에변경사항을확인하기로선택한경우업그레이드스크립트가제안된변경사항을 $SPLUNK_HOME/var/log/splunk/migration.log.<timestamp> 파일에작성합니다. Splunk Enterprise 를다시시작할때까지설정이변경되지않습니다. Splunk Enterprise 업그레이드 1. 업그레이드할인스턴스가있는컴퓨터에서쉘프롬프트를엽니다. 2. $SPLUNK_HOME/bin 디렉터리로이동합니다. 51
3. $SPLUNK_HOME/bin/splunk stop 명령어를실행하여인스턴스를중지합니다. 4. Splunk Enterprise 를자동으로시작할수있는다른프로세스가없는지확인합니다. 5. 업그레이드하고마이그레이션하려면 Splunk Enterprise 패키지를기존배포위에직접설치합니다..tar 파일을사용하는경우기존 Splunk Enterprise 인스턴스와동일한소유권을사용하여동일한디렉터리에파일을푸십시오. 이경우일치하는파일을덮어쓰고대체하지만고유파일은제거되지않습니다. tar xzf splunk-7.x.x-<version-info>.tgz -C /splunk/parent/directory RPM 같은패키지관리자를사용하는경우다음을입력하십시오. rpm -U splunk_package_name.rpm Mac OS X 에서.dmg 파일을사용하는경우해당파일을두번클릭하고지침을따르십시오. 기존설치와동일한설치디렉터리를지정하십시오. 6. $SPLUNK_HOME/bin/splunk start 명령어를실행합니다. 다음출력이표시됩니다. This appears to be an upgrade of Splunk. -------------------------------------------------------------------------------- Splunk has detected an older version of Splunk installed on this machine. To finish upgrading to the new version, Splunk's installer will automatically update and alter your current configuration files. Deprecated configuration files will be renamed with a.deprecated extension. You can choose to preview the changes that will be made to your configuration files before proceeding with the migration and upgrade: If you want to migrate and upgrade without previewing the changes that will be made to your existing configuration files, choose 'y'. If you want to see what changes will be made before you proceed with the upgrade, choose 'n'. Perform migration and upgrade without previewing configuration changes? [y/n] 7. 마이그레이션미리보기스크립트를실행하여기존설정파일에대해제안된변경사항을확인할것인지아니면마이그레이션과업그레이드를바로진행할것인지선택합니다. 변경사항을볼경우스크립트에서리스트가표시됩니다. 8. 변경사항을검토한후마이그레이션및업그레이드를진행할준비가되면 $SPLUNK_HOME/bin/splunk start 를다시실행합니다. 동시에업그레이드하고라이선스계약에동의 새파일을 Splunk Enterprise 설치디렉터리에넣은후명령어하나로라이선스계약에동의하고업그레이드를실행할수있습니다. 업그레이드를계속하기전에라이선스계약에동의하고예상되는변경사항을보려면 ('n' 으로답변 ) 다음명령어를사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license --answer-no 라이선스계약에동의한후변경사항을보지않고업그레이드를시작하려면 ('y' 로답변 ) 다음명령어를사용하십시오. $SPLUNK_HOME/bin/splunk start --accept-license --answer-yes Windows에서 7.1로업그레이드 GUI 설치프로그램을사용하거나 " 명령줄을통해 Windows 에설치 " 의설명에따라명령줄에서 msiexec 유틸리티를사용하여업그레이드할수있습니다. Splunk 는이전버전으로다운그레이드할수있는방법을제공하지않습니다. Splunk Enterprise 를업그레이드한후다시다운그레이드해야하는경우업그레이드한버전을제거한후기존에사용하던 Splunk Enterprise 의이전버전을다시설치해야합니다. 이전버전의설치프로그램을사용하여업그레이드된설치본위에설치하려고하지마십시오. 인스턴스가손상되고데이터손실이발생할수있습니다. 업그레이드하기전에 업그레이드하기전에 7.1 로업그레이드 : 먼저읽을내용에서기존버전을업그레이드할경우에사용자에게영향을미칠수있는새버전의변경사항에대한내용을확인하십시오. Splunk Enterprise 는이전버전으로다운그레이드할수있는방법을제공하지않습니다. 이전 Splunk 릴리스로되돌려야하는경우업그레이드된버전을제거한후에원하는버전을다시설치하십시오. Windows 도메인사용자가설치시에지정한사용자와일치해야함 Splunk Enterprise 를도메인사용자로설치한경우업그레이드중에같은도메인사용자를명시적으로지정해야합니다. 그러지않으면 Splunk Enterprise 가로컬시스템사용자로업그레이드를설치합니다. 업그레이드중에이작업을수행하지않거나실수로사용자를잘못지정할경우 Splunk Enterprise 를시작하기전에설치중에선택한사용자수정을참조하여올바른사용자로전환하십시오. 52
업그레이드중 Splunk Enterprise 포트변경이지원되지않음 업그레이드시에는관리또는 Splunk Web 포트변경이지원되지않습니다. 해당포트를변경해야하는경우업그레이드전이나후에변경하십시오. 파일백업 업그레이드하기전에 Splunk Enterprise 설정, 인덱스데이터및바이너리를포함한모든파일을백업하십시오. 데이터백업에대한내용은인덱서및클러스터관리매뉴얼의인덱스데이터백업을참조하십시오. 설정백업에대한내용은관리자매뉴얼의설정정보백업을참조하십시오. 사용자지정인증기관 (CA) 인증서의복사본보관 Windows 에서업그레이드하면 %SPLUNK_HOME%\etc\auth 에만든모든사용자지정인증기관 (CA) 인증서를설치프로그램이덮어씁니다. 사용자지정 CA 파일이있는경우업그레이드하기전에해당파일을백업하십시오. 업그레이드후파일을 %SPLUNK_HOME%\etc\auth 에복원할수있습니다. 인증서를복원한후 Splunk Enterprise 를다시시작하십시오. GUI 설치프로그램을사용한 Splunk Enterprise 업그레이드 1. Splunk 다운로드페이지에서새 MSI 파일을다운로드합니다. 2. MSI 파일을두번클릭합니다. 설치프로그램이실행되어컴퓨터에설치된기존 Splunk Enterprise 버전을탐지하려고시도합니다. 이전버전을찾으면라이선스계약에동의할지묻는창이표시됩니다. 3. 라이선스계약에동의합니다. 그러면설치프로그램이업데이트된 Splunk Enterprise 를설치합니다. 이방법으로업그레이드하면기존설치본의매개변수가모두보존됩니다. 기본적으로업그레이드가완료되면설치프로그램이 Splunk Enterprise 를다시시작하고, 업그레이드중에는설정파일에변경된사항을기록한로그를 %TEMP% 에저장합니다. 명령줄을사용한업그레이드 1. Splunk 다운로드페이지에서새 MSI 파일을다운로드합니다. 2. 명령줄을통해 Windows 에설치에나와있는설명에따라소프트웨어를설치합니다. Splunk 가로컬시스템사용자가아닌다른사용자로실행되는경우, 명령줄지침에서 LOGON_USERNAME 및 LOGON_PASSWORD 플래그를사용해사용자의자격증명을지정합니다. LAUNCHSPLUNK 플래그를사용하여업그레이드가완료되면 Splunk Enterprise 가자동으로시작되도록할지여부를지정할수있지만다른설정은변경할수없습니다. 이때네트워크포트 (SPLUNKD_PORT 와 WEB_PORT) 를변경하지마십시오. 3. 설치가완료되면지정된설정에따라 Splunk Enterprise 가자동으로다시시작될수있습니다. Splunk Enterprise 인스턴스를다른물리적컴퓨터로마이그레이션 중요 : 아래지침은사내 Splunk Enterprise 인스턴스에만해당됩니다. Splunk Cloud 고객이거나데이터를 Splunk Enterprise 에서 Splunk Cloud 로마이그레이션하려는경우아래지침을따르지마십시오. 프로페셔널서비스에연락하여도움을요청하십시오. Splunk Enterprise 인스턴스를서버, 운영체제, 아키텍처또는파일시스템간에마이그레이션하면서인덱스데이터, 설정및사용자를유지할수있습니다. Splunk Enterprise 인스턴스마이그레이션은단순히새버전을이전버전위에설치하는업그레이드와는다릅니다. 이지침을사용하여 Splunk Enterprise 설치본을 Splunk Cloud 로마이그레이션하려고하지마십시오. 데이터가손실될수있습니다. 자세한내용과지침에대해서는프로페셔널서비스또는 Splunk Cloud 담당자에게문의하십시오. 마이그레이션해야하는상황 설치된 Splunk Enterprise 를마이그레이션해야하는이유는다음과같습니다. 사용을중단하거나다른용도로재사용하려는호스트에 Splunk Enterprise 가설치되어있는경우 Splunk Enterprise 가사용자의조직이나 Splunk 에서더이상지원하지않는운영체제에설치되어있고 Splunk Enterprise 를지원되는운영체제로옮기려는경우운영체제를전환하는경우 ( 예 : *nix 에서 Windows 로또는그반대 ) 설치된 Splunk Enterprise 를다른파일시스템으로옮기려는경우 Splunk Enterprise 가 32 비트아키텍처에설치되어있고더나은성능을얻기위해 Splunk Enterprise 를 64 비트아키텍처로옮기려는경우 Splunk Enterprise 가지원을중단할계획인시스템아키텍처에설치되어있어서 Splunk Enterprise 를지원하는아키텍처로옮기려는경우 53
Splunk Enterprise 마이그레이션에대한고려사항 Splunk Enterprise 인스턴스는쉽게마이그레이션할수있는경우가많지만이때주의해야할몇가지고려사항이있습니다. 마이그레이션과연관된시스템의유형및버전과아키텍처에따라여러가지사항을동시에고려해야할수있습니다. Splunk Enterprise 인스턴스를마이그레이션하는경우다음을주의하십시오. Windows와 Unix 경로구분기호의차이점 *nix 와 Window 의경로구분기호 ( 경로의개별디렉터리요소를구분하는데사용되는문자 ) 는서로다릅니다. 이러한운영체제간에인덱스파일을옮길때는대상운영체제에맞는경로구분자를사용해야합니다. 모든 Splunk 설정파일 ( 특히 indexes.conf) 도올바른경로구분자를사용하도록업데이트해야합니다. 경로구분자가 Splunk Enterprise 설치에영향을미칠수있는방법에대한자세한내용은관리자매뉴얼의 Splunk 작업에서 *nix 와 Windows 의차이점을참조하십시오. Windows 권한 Splunk Enterprise 인스턴스를 Windows 호스트간에이동하는경우대상호스트에원본호스트와동일한권한이할당되었는지확인하십시오. 다음과같은사항을확인해야합니다. 대상호스트의파일시스템및공유권한이올바르고 Splunk Enterprise 를실행하는사용자의액세스를허용하는지확인합니다. Splunk Enterprise 가로컬시스템사용자가아닌다른계정으로실행될경우, 해당사용자가로컬 Administrators 그룹의구성원이고그룹정책개체에의해사용자에게적절한로컬보안정책또는도메인정책권한이할당되었는지확인합니다. 아키텍처변경 Splunk Enterprise 인스턴스가실행되는아키텍처를 ( 예를들어 64 비트에서 32 비트로 ) 다운그레이드하면 64 비트운영체제와 Splunk Enterprise 인스턴스에서만든더큰파일로인해새로운호스트의검색성능이저하될수있습니다. 배포및클러스터된 Splunk 환경 분산된 Splunk 인스턴스 ( 즉검색피어그룹에속한인덱서또는인덱서에서데이터를검색하도록설정된검색헤드 ) 에서데이터를마이그레이션하려면인스턴스를마이그레이션하기전에분산환경에서제거해야합니다. 버킷 ID와잠재적인버킷충돌 Splunk Enterprise 인스턴스를이름이동일한기존인덱스가이미있는다른 Splunk 인스턴스로마이그레이션하는경우해당인덱스의개별버킷중에서 ID 가서로충돌하는버킷이없는지확인해야합니다. ID 가충돌하는버킷이있는인덱스가있으면 Splunk Enterprise 가시작되지않습니다. 인덱스데이터를복사할때는이런상황을방지하기위해복사한버킷파일의이름을변경해야할수있습니다. 마이그레이션방법 *nix 시스템에서마이그레이션하는경우다운로드한 tar 파일을새시스템에복사한파일위에직접풀어서덮어쓰거나패키지관리자를통해다운로드한패키지를사용하여업그레이드할수있습니다. Windows 시스템에서는설치프로그램이 Splunk 파일을자동으로업데이트합니다. 1. 마이그레이션할원본호스트에서 Splunk Enterprise 를중지합니다. 2. $SPLUNK_HOME 디렉터리의전체콘텐츠를이전호스트에서새호스트로복사합니다. 3. 대상플랫폼에적합한 Splunk Enterprise 버전을설치합니다. 4. 인덱스설정파일 (indexes.conf) 에모든비기본인덱스에대한올바른위치및경로사양이포함되어있는지확인합니다. 5. 새인스턴스에서 Splunk Enterprise 를시작합니다. 6. 기존자격증명을사용하여 Splunk Enterprise 에로그인합니다. 7. 로그인한후검색을통해데이터가온전한지확인합니다. 인덱스버킷을호스트간에이동하는방법 Splunk Enterprise 인스턴스사용을중단하고데이터를다른인스턴스로즉시이동하려면다음조건을충족하는한인덱스의개별버킷을호스트간에이동할수있습니다. 개별버킷파일을복사할때는새로운시스템에서로충돌하는버킷 ID 가없는지확인해야합니다. 충돌하는 ID 가있으면 Splunk Enterprise 가시작되지않습니다. 개별버킷디렉터리를원본시스템에서대상시스템으로이동한후각디렉터리의이름을변경해야할수있습니다.</code> 54
1. 원본호스트의모든 hot 버킷을 hot 에서 warm 으로롤링합니다. 2. 이전호스트의 indexes.conf 파일을검토하여해당호스트의인덱스리스트를가져옵니다. 3. 대상호스트에서원본시스템과동일한인덱스를만듭니다. 4. 인덱스버킷을원본호스트에서대상호스트로복사합니다. 5. Splunk Enterprise 를다시시작합니다. 55
Splunk Enterprise 제거 Splunk Enterprise 제거 이항목의절차에따라 Splunk Enterprise 를호스트에서제거하는방법을알아보십시오. 전제조건 1. 부팅시에 Splunk Enterprise 를시작하도록설정한경우제거하기전에이설정을부트스크립트에서삭제합니다../splunk disable boot-start 2. Splunk Enterprise 를중지합니다. $SPLUNK_HOME/bin 으로이동하고./splunk stop 을 (Windows 에서는 splunk stop 만 ) 입력합니다. 패키지관리유틸리티를사용하여 Splunk Enterprise 제거 로컬패키지관리명령어를사용하여 Splunk Enterprise 를제거합니다. 대부분의경우처음에패키지에의해설치되지않은파일은보존됩니다. 여기에는설치디렉터리에있는설정및인덱스파일이해당됩니다. 이지침에서 $SPLUNK_HOME 은 Splunk 설치디렉터리입니다. Windows 에서기본디렉터리는 C:\Program Files\Splunk 입니다. 대부분의 Unix 플랫폼에서기본설치디렉터리는 /opt/splunk 입니다. Mac OS X 에서는 /Applications/splunk 입니다. RedHat Linux rpm -e splunk_product_name Debian Linux dpkg -r splunk 설정파일을포함한모든 Splunk 파일삭제 dpkg -P splunk 기타삭제할항목 Windows 인덱스를만들고 Splunk Enterprise 기본경로를사용하지않은경우에는해당디렉터리도삭제해야합니다. Splunk Enterprise 실행을위한사용자또는그룹을만든경우에는해당사용자또는그룹도삭제해야합니다. 제어판에서프로그램추가또는제거옵션을사용합니다. Windows 7, 8.1 및 10과 Windows Server 2008 R2 및 2012 R2에서는해당옵션이프로그램및기능에있습니다. ( 선택사항 ) Splunk 설치프로그램패키지에대해 msiexec 실행파일을사용하여 Splunk Enterprise를명령줄에서제거할수도있습니다. msiexec /x splunk-<version>-x64.msi 상황에따라제거프로세스중에 Microsoft 설치프로그램에서재부팅을요청할수있습니다. 이요청을무시하고재부팅하지않아도안전합니다. Splunk Enterprise 수동제거 패키지관리명령어를사용할수없을경우에는아래설명에따라 Splunk Enterprise 를제거하십시오. 1. Splunk Enterprise 를중지합니다. $SPLUNK_HOME/bin/splunk stop 2. 이름에 "splunk" 가포함된나머지프로세스를찾아서 kill 합니다. Linux 56
kill -9 `ps -ef grep splunk grep -v grep awk '{print $2;}'` Mac OS kill -9 `ps ax grep splunk grep -v grep awk '{print $1;}'` 3. Splunk Enterprise 설치디렉터리인 $SPLUNK_HOME 을제거합니다. rm -rf /Applications/splunk 폴더를휴지통으로끌어옮겨설치디렉터리를제거할수도있습니다. 4. 최상위디렉터리밖에있는 Splunk Enterprise 데이터저장소또는인덱스가있을경우모두제거합니다. rm -rf /opt/splunkdata 5. splunk 사용자및그룹이있는경우삭제합니다. Linux userdel splunk groupdel splunk Mac OS 시스템기본설정 > 계정패널을사용하여사용자및그룹을관리하십시오. Windows의경우명령어프롬프트를열고 Splunk Enterprise를설치하는데사용한 msi 패키지에대해 msiexec /x 명령어를실행합니다. 이패키지가없으면다운로드페이지에서올바른버전을받으십시오. 57
참조 PGP 공개키 이항목에는 PGP 공개키및설치지침이포함되어있습니다. HTTPS 를사용하여파일을다운로드할수도있습니다. -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.1 (GNU/Linux) mqgibebe21qrbademonuxcv2kq2oxsjtjyxrycwcth5/onmhk5lt2tqae9quts+w nm3svinqqwrwbdh2qshgqjjs0pie867n+lvuk0gsvzs5solyzqjnsrisvyn452mf 2PgetHq8Lb884cPJnxR6xoFTHqOQueKEOXCovz1eVrjrjfpnmWKa/+5X8wCg/CJ7 pt7oxhfn4xosevqabetebwceaiuaazf2i2x9qdj+6twtalx2oqaquqtbzjx5qahn OyRdBEU2g4ndiE3QAKybuq5f0UM7GXqdllihVUBatqafySfjlTBaMVzd4ttrDRpq Wya4ppPMIWcnFG2CXf4+HuyTPgj2cry2oMBm2LMfGhxcqM5mpoyHqUiCn7591Ra/ J2/FA/0c2UAUh/eSiOn89I6FhFOicT5RPtRpxMoEM1Di15zJ7EXY+xBVF9rutqhR 5OI9kdHibYTwf4qjOOPOA7237N1by9GiXY/8s+rDWmSNKZB+xAaLyl7cDhYMv7CP qftutve8bxtsf0mgruzihfjqe2quuxkjfs9lksfguzhvruwrcrqgs2ltifdhbgxh Y2UgPHJlbGVhc2VAc3BsdW5rLmNvbT6IXgQTEQIAHgUCRsTbVAIbAwYLCQgHAwID FQIDAxYCAQIeAQIXgAAKCRApYLH9ZT+xEhsPAKDimP8sdCr2ecPm8mre/8TK3Bha pqcg3/xeickirkklpknysunlr/zbh3m5ag0erstbbraiaidfwiobecj8bqrctxxm 6MMvdEkjdJCr4xmwaQpYmS4JKK/hJFfpyS8XUgHjBz/7zfR8Ipr2CU59Fy4vb5oU HeOecK9ag5JFdG2i/VWH/vEJAMCkbN/6aWwhHt992PUZC7EHQ5ufRdxGGap8SPZT iiky0orx6km6usovwmtyknm/v7my8dj2f46yj7wibf7arg/vomog1cbn7pcwcatg johgjdpxrjuezzp3aflic3t5iq5n5fylgaopt7oirom5akgbvlfj+cjkagd5uzw7 SO0akWhTbVHSCDJoZAGJrvJs5DHcEnCjVy9AJxTNMs9GOwWaixfyQ7jgMNWKHJp+ EyMAAwYH/RLNK0HHVSByPWnS2t5sXedIGAgm0fTHhVUCWQxN3knDIRMdkqDTnDKd qcqyfseljazi2kx1zlwdugmvu+zb8fch90ej8o6jdflkjaq50/i/oy0+/+drbzjg 3oKu/CK2NH2VnK1KLzAYnd2wZQAEja4O1CBV0hgutVf/ZxzDUAr/XqPHy5+EYg96 4Xz0PdZiZKOhJ5g4QjhhOL3jQwcBuyFbJADw8+Tsk8RJqZvHfuwPouVU+8F2vLJK if2hbkoujvdh5gffuk6o5v8nnir7xsrvj4abfp4xa6rvum3htwod7t//75glcw77 kxdr8pmmnddm5vxnauk+gtpgacj98+eisqqyeqiacqucrstbbqibdaakcrapylh9 ZT+xEiVuAJ9INUCilkgXSNu9p27zxTZh1kL04QCg6YfWldq/MWPCwa1PgiHrVJng p4s= =Mz6T -----END PGP PUBLIC KEY BLOCK----- 키설치 1. 키를복사하여파일에붙여넣거나 HTTPS 를사용하여파일을다운로드합니다. 2. 다음을사용하여키를설치합니다. rpm --import <filename> 58