Splunk 5.0 관리자 매뉴얼 생성일: 2012년 10월 31일 오후 2시 44분 Copyright 2012 Splunk, Inc. All Rights Reserved Copyright (c) 2013 Splunk, Inc. All Rights Reserved
Table of Contents Splunk 관리 시작 Splunk 관리자용 매뉴얼 Splunk 관리 방법 Splunk 작업에서 *nix 및 Windows의 기능적 차이점 먼저 수행할 작업 Splunk 시작 및 중지 부팅 시 시작하도록 Splunk 구성 라이선스 설치 기본값 변경 Splunk를 IP에 바인드 IPv6용 Splunk 구성 Splunk Web 사용 Splunk Web 및 Splunk 관리자 정보 프록시 서버 지정 Windows 관리자용 시작 지침 Windows 관리자를 위한 지침 Splunk 시험 사용 Splunk 기능에 대해 알아보기 엔터프라이즈에 Splunk 통합 Splunk 최대한 활용하기 Splunk를 최고 성능으로 최적화하는 방법 시스템 이미지에 Splunk 배치 범용 전달기(Universal Forwarder)를 시스템 이미지에 통합 Splunk를 시스템 이미지에 통합 Windows에 Splunk 배포 Splunk 라이선스 관리 Splunk 라이선싱 방식 Splunk 라이선스 유형 그룹, 스택, 풀 및 기타 용어 라이선스 설치 라이선스 마스터 구성 라이선스 슬레이브 구성 라이선스 풀 만들기 또는 편집 라이선스 풀에 인덱스 추가 라이선스 관리 라이선스 위반에 대하여 새로운 Splunk 라이선서로 마이그레이션 Splunk Free 추가 정보 CLI를 통해 라이선스 관리 Splunk 앱 정보 앱 및 추가 기능 정의 더 많은 앱과 추가 기능 찾기 5 5 6 8 9 9 10 11 11 14 14 16 16 17 18 18 18 19 19 19 20 20 21 22 22 24 24 25 26 27 28 28 29 30 31 31 33 34 35 37 37 39
앱 아키텍처 및 개체 소유권 앱 및 추가 기능 개체 관리 앱 구성 및 속성 관리 Splunk 구성 Splunk 구성 방법 Splunk 관리자에 대하여 구성 파일에 대하여 구성 파일 리스트 구성 파일 우선 순위 단일 props.conf 파일 내의 속성 우선 순위 구성 매개 변수 및 데이터 파이프라인 구성 정보 백업 사용자 관리 사용자 및 역할에 대하여 사용자 언어 및 로케일 구성 사용자 Session timeout 구성 Splunk 명령줄 인터페이스(CLI) 사용 CLI에 대하여 CLI 도움말 보기 CLI 관리 명령 CLI를 사용하여 원격 Splunk 서버 관리 구성 파일 참조 alert_actions.conf app.conf audit.conf authentication.conf authorize.conf commands.conf crawl.conf default.meta.conf deploymentclient.conf distsearch.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf indexes.conf inputs.conf limits.conf literals.conf macros.conf multikv.conf outputs.conf pdf_server.conf perfmon.conf procmon-filters.conf props.conf pubsub.conf 40 41 42 43 43 44 45 47 48 52 53 54 55 55 55 56 57 57 58 59 61 62 62 66 70 73 79 83 86 88 89 92 96 97 98 100 101 112 127 145 146 147 150 159 163 165 166 180
regmon-filters.conf restmap.conf savedsearches.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf setup.xml.conf source-classifier.conf sourcetypes.conf splunk-launch.conf sysmon.conf tags.conf tenants.conf times.conf transactiontypes.conf transforms.conf user-seed.conf web.conf wmi.conf workflow_actions.conf viewstates.conf 181 183 186 193 196 197 210 214 216 218 219 220 222 224 225 226 228 230 237 238 245 249 252
Splunk 관리 시작 Splunk 관리자용 매뉴얼 이 관리자 매뉴얼은 Splunk 관리자를 위한 중요한 정보와 절차가 수록되어 있는 여러 문서 중 하나입니다. 본인이 직 접 사용하기 위해 또는 다른 사용자를 위해 Splunk를 서비스로 구성, 실행 및 유지 관리해야 할 경우에는 이 문서를 먼 저 읽어보십시오. Splunk 관리와 관련하여 특정 영역에 대한 자세한 내용은 다음 매뉴얼을 참조하십시오. 데이터 가져오기 인덱서 및 클러스터 관리 분산 배포 보안 문제 해결 설치 Splunk 관리에 필요한 매뉴얼에 대해 알아보기 이 테이블에서는 Splunk 관리자에게 기본적으로 필요한 문서를 소개합니다. 관리자 매뉴얼 데이터 가져오기 인덱서 및 클러스터 관리 분산 배포 내용 Splunk 관리 - Splunk 관리, 라이선스, 구성 파 일 및 CLI에 관한 기본적인 사항 데이터 입력 지정 및 Splunk에서 데이터를 처리 하는 방법 개선 Splunk 인덱서 및 인덱서의 클러스터 관리 엔터프라이즈의 요구에 맞춰 배포 조정 및 Forwarder, 검색 헤드, 배포 서버 등의 Splunk 분산 구성 요소에 대한 세부정보 제공 주요 항목 먼저 수행할 작업 Windows 관리자를 위한 시작 지침 Splunk 라이선스 관리 Splunk 구성 방법 사용자 관리 Splunk 명령줄 인터페이스 사용 파일 참조 구성 Splunk에 데이터를 가져오는 방법 이벤트 처리 구성 데이터 미리 보기 인덱싱 및 인덱서에 대하여 인덱스 관리 인덱스 백업 및 아카이브 클러스터 및 인덱스 복제에 대하여 클러스터 배포 분산 Splunk 개요 데이터 전달 다중 인덱서에서 검색 환경에 업데이트 배포 Splunk 보안 데이터 보안 및 사용자 인증 사용자 인증 및 역할 SSL을 사용하여 암호화 및 인증 감사 문제 해결 문제 해결 첫 단계 Splunk 로그 파일 일반 시나리오 설치 Splunk 설치 및 업그레이드 시스템 요구 사항 단계별 설치 절차 이전 버전에서 업그레이드 "Splunk 관리 방법" 항목에서는 관련 관리 작업에 대해 설명하는 문서에 대한 보다 상세한 가이드를 제공합니다. Splunk 관리자에게 유용한 기타 참조 문서 Splunk 설치 크기와 사용자가 담당하는 작업에 따라 주요 관리 작업에 대한 매뉴얼 외에도 다른 매뉴얼이 때때로 필 요할 수 있습니다. 다음은 Splunk 주요 매뉴얼에 포함되는 다른 매뉴얼입니다. Splunk 튜토리얼! 이 매뉴얼에서는 Splunk 사용에 대한 내용을 소개합니다. 지식 관리자. 이 매뉴얼에서는 event type, 태그, 룩업, 필드 추출, 워크플로 작업, 저장된 검색, 뷰 등의 Splunk Knowledge Object를 관리하는 방법에 대해 설명합니다. 경고. 이 매뉴얼에서는 Splunk 경고 및 모니터링 기능을 설명합니다. 데이터 시각화. 이 매뉴얼에서는 Splunk가 제공하는 시각화 범위를 설명합니다. 검색. 이 매뉴얼에서는 검색 방법과 Splunk 검색 언어 사용 방법을 설명합니다. 검색 참조. 이 참조에는 Splunk 검색 명령에 대한 상세 카탈로그가 포함되어 있습니다. Splunk Web용 뷰 및 앱 개발: 이 매뉴얼에서는 고급 XML을 사용하여 뷰 및 앱을 개발하는 방법에 대해 설명합 니다. 사용자 지정 스크립트와 Splunk 확장과 같은 기타 개발자 항목도 포함되어 있습니다. REST API 참조. 이 매뉴얼에서는 공개적으로 액세스 가능한 모든 REST API endpoint에 대한 정보를 제공합니 5
다. 릴리스 노트. 새로운 기능, 알려진 문제 및 해결된 문제에 대한 정보를 제공합니다. 전체 Splunk 매뉴얼 위에 나열한 매뉴얼을 포함한 Splunk 주요 매뉴얼 전체에 대한 링크는 Splunk 주요 매뉴얼에서 확인하십시오. 앱 매뉴얼을 포함한 모든 Splunk 매뉴얼에 액세스하려면 Splunk 설명서에 오신 것을 환영합니다 페이지를 참조하십 시오. PDF 만들기 이 매뉴얼의 PDF 버전을 원하는 경우 이 페이지 왼쪽의 목차 아래 빨간색 관리자 매뉴얼을 PDF로 다운로드 링크를 클릭하십시오. 해당 매뉴얼의 PDF 버전이 즉시 생성됩니다. 생성된 PDF는 나중에 볼 수 있도록 저장하거나 인쇄할 수 있습니다. Splunk 관리 방법 Splunk 관리에는 인덱스 관리, 데이터 입력 정의, 인증 구성, 데이터 보안 처리, 대규모 배포를 위한 Splunk 확장과 같 은 다양한 작업이 포함됩니다. Splunk 관리 작업은 규모가 크고 특성이 다양하기 때문에 매뉴얼 세트의 여러 매뉴얼 이 필요할 수 있습니다. 이 항목에서는 Splunk 관리자의 주요 작업에 대해 설명하고 관련 매뉴얼, 장 및 항목에 대한 링크를 제공합니다. Splunk 설치 및 업그레이드 설치 매뉴얼에서는 Splunk 설치 및 업그레이드 방법을 설명합니다. 관련 작업에 대한 내용은 다음을 참조하십시오. 작업 관련 항목 설치 요구 사항 이해 하드웨어 용량 요구 평가 Splunk 설치 Splunk 업그레이드 설치 계획 하드웨어 요구 사항 평가 Windows에 Splunk 설치 Unix, Linux 또는 MacOS에 Splunk 설치 이전 버전에서 업그레이드 기본적인 관리 작업 수행 현재 관리자 매뉴얼에서는 기본적인 관리 작업에 해당하는 거의 모든 정보를 제공합니다. 사용자 계정 설정과 같은 경 우 이 테이블에는 다른 매뉴얼(예: 보안 매뉴얼) 항목으로 연결되는 링크가 있습니다. 설치 후 첫 단계 Splunk Web 사용 작업 Windows에서 Splunk 시작하기 Splunk 라이선스 설치 및 관리 Splunk 앱 관리 Splunk 구성 사용자 관리 백업 수행 Splunk 명령줄 인터페이스(CLI) 사용 경고 정의 검색 작업 관리 먼저 수행할 작업 Splunk Web 사용 관련 항목 Windows 관리자용 시작 지침 Splunk 라이선스 관리 Splunk 앱 정보 Splunk 구성 사용자 관리 사용자 및 역할 기반 액세스 제어 사용자 설정 구성 정보 백업 인덱스된 데이터 백업 폐기 및 아카이브 정책 설정 CLI 사용 경고 정의 작업 관리자를 사용하여 검색 작업 감독 Splunk로 데이터 가져오기 데이터 가져오기에서는 외부 소스의 데이터를 사용하는 방법, 데이터의 가치를 향상시키는 방법 등과 같은 Splunk 데 이터 입력에 대한 정보를 설명합니다. 작업 6 관련 항목
외부 데이터 사용 방법에 대한 정보 파일 및 디렉터리 입력 구성 네트워크 입력 구성 Windows 입력 구성 기타 입력 구성 데이터 가치 향상 인덱싱 후 데이터가 어떻게 표시되는지 알아보기 프로세스 개선 Splunk로 데이터를 가져오는 방법 파일 및 디렉터리에서 데이터 가져오기 네트워크 이벤트 가져오기 Windows 데이터 가져오기 데이터를 가져오는 다른 방법 이벤트 처리 구성 타임스탬프 구성 인덱스된 필드 추출 구성 host 값 구성 source type 구성 이벤트 세그먼트화 관리 데이터 미리 보기 데이터 입력 프로세스 개선 인덱스 및 인덱서 관리 인덱서 및 클러스터 관리에서는 인덱스 구성 방법을 설명합니다. 또한 인덱스, 인덱서 및 인덱서의 클러스터를 유지 관리하는 구성 요소의 관리 방법에 대해서도 설명합니다. 작업 관련 항목 인덱싱에 대해 알아보기 인덱스 관리 인덱스 저장소 관리 인덱스 백업 인덱스 아카이브 클러스터 및 인덱스 복제에 대해 알아보기 클러스터 배포 클러스터 구성 클러스터 관리 클러스터 아키텍처에 대해 알아보기 인덱싱 개요 인덱스 관리 인덱스 저장소 관리 인덱스된 데이터 백업 폐기 및 아카이브 정책 설정 클러스터 및 인덱스 복제에 대하여 클러스터 배포 클러스터 구성 클러스터 관리 클러스터 작동 방식 Splunk 확장 분산 배포 매뉴얼에서는 Forwarder, 인덱서, 검색 헤드 등의 여러 구성 요소에 Splunk 기능을 분산하는 방법에 대해 설명합니다. 또한 배포 서버를 사용하여 배포를 관리하는 방법에 대해 설명합니다. 작업 관련 항목 분산 Splunk에 대해 알아보기 Splunk 배포를 위한 용량 계획 수행 데이터 전달 방법에 대해 알아보기 다중 인덱서에 검색 분산 배포 업데이트 분산 Splunk 개요 하드웨어 요구 사항 평가 데이터 전달 다중 인덱서에서 검색 환경에 구성 업데이트 배포 Splunk 보안 Splunk 보안에서는 Splunk 배포에 대한 보안 방법을 설명합니다. 작업 관련 항목 사용자 및 편집 역할 인증 SSL을 사용하여 Splunk 데이터 보안 Splunk 감사(Audit) 사용자 및 역할 기반 액세스 제어 보안 인증 및 암호화 Splunk 작업 감사(Audit) Splunk 문제 해결 문제 해결 매뉴얼에서는 Splunk 문제 해결에 대한 전체적인 가이드를 제공합니다. 또한 다른 매뉴얼의 항목에서도 특 7
정 문제에 대한 문제 해결 정보를 제공합니다. 작업 관련 항목 Splunk 문제 해결 도구에 대해 알아보기 Splunk 로그 파일에 대해 알아보기 Splunk 지원 작업 수행 일반적인 문제 해결 첫 단계 Splunk 로그 파일 Splunk 지원 문의 일반 시나리오 참조 및 기타 정보 Splunk 매뉴얼에는 Splunk 관리자에게 필요할 수 있는 다른 소스의 정보뿐만 아니라 여러 유용한 참조가 포함되어 있 습니다. 구성 파일 참조 REST API 참조 CLI 도움말 릴리스 정보 참조 관련 항목 관리자 매뉴얼의 구성 파일 참조 REST API 참조 매뉴얼 Splunk 인스턴스를 설치하면 제공됩니다. 이 도움말의 실행 방법에 대한 자세한 내용은 관리자 매뉴얼의 CLI 도움말 보기에서 확인하십시오. 릴리스 노트 Splunk 지식 관리에 대한 정보 지식 관리자 매뉴얼 Splunk 작업에서 *nix 및 Windows의 기능적 차이점 이 항목에서는 Splunk 작업에서 *nix와 Windows 운영 체제에서 발생하는 기능적 차이점에 대해 명확히 설명합니다. 두 OS에 대한 기술적 비교나 두 OS 중 한쪽을 옹호하는 것이 아니라 특정 OS 관련 Splunk 매뉴얼의 여러 페이지에 여러 방법으로 참조되는 이유에 대해 설명합니다. 경로 *nix 운영 체제에서 파일과 디렉터리를 처리하는 방식의 큰 차이점은 경로 이름의 파일 또는 디렉터리를 구분하기 위 해 사용하는 슬래시 유형입니다. *nix 시스템에서는 슬래시("/")를 사용하고, Windows에서는 백슬래시("\")를 사용합니 다. *nix 경로의 예: /opt/splunk/bin/splunkd Windows 경로의 예: C:\Program Files\Splunk\bin\splunkd.exe 환경 변수 운영 체제에 따라 환경 변수의 표시 방법이 다릅니다. 두 시스템은 모두 하나 이상의 환경 변수에 데이터를 일시적으 로 저장하는 방식을 사용합니다. *nix 시스템에서는 다음과 같이 환경 변수 이름 앞에 달러 기호("$")를 사용합니다. SPLUNK_HOME=/opt/splunk; export $SPLUNK_HOME Windows에서 환경 변수를 지정하는 방식은 약간 다릅니다. 퍼센트 기호("%")를 사용해야 합니다. 사용할 환경 변수 유형에 따라 환경 변수 이름 앞에, 또는 이름 앞이나 뒤에 한 두 개의 퍼센트 기호를 입력합니다. > set SPLUNK_HOME="C:\Program Files\Splunk" > echo %SPLUNK_HOME% C:\Program Files\Splunk > Windows 환경에서 %SPLUNK_HOME% 변수를 설정하려면 다음 두 가지 방법 중 하나를 사용하십시오. %SPLUNK_HOME%\etc에서 splunk-launch.conf를 편집합니다. "환경 변수" 창에 액세스하여 변수를 설정합니다. 탐색기 창을 열고 왼쪽 창에서 마우스 오른쪽 단추로 "내 컴퓨 터"를 클릭한 후 나타나는 창에서 "속성"을 선택합니다. 시스템 속성 창이 나타나면 "고급" 탭을 선택한 후 탭의 창 하단에 나타나는 "환경 변수" 단추를 클릭합니다. 8
먼저 수행할 작업 Splunk 시작 및 중지 이 항목에서는 Splunk를 시작하는 방법에 대해 간략히 설명합니다. Splunk를 처음 사용하는 경우 사용자 매뉴얼을 먼 저 읽어보는 것이 좋습니다. Windows에서 Splunk 시작 Windows에서 Splunk는 기본적으로 C:\Program Files\Splunk에 설치됩니다. Splunk 매뉴얼에 나오는 많은 예에서는 $SPLUNK_HOME을 사용하여 Splunk 설치 또는 홈, 디렉터리를 나타냅니다. Splunk를 기본 디렉터리에 설치한 경우 이 $SPLUNK_HOME(또는 Windows계열 %SPLUNK_HOME%) 문자열을 C:\Program Files\Splunk로 바꿀 수 있습니다. 다음 방법 중 하나를 사용하여 Windows에서 Splunk를 시작 및 중지할 수 있습니다. 1. Windows 서비스 제어판(Start -> Control Panel -> Administrative Tools -> Services에서 액세스)을 통해 Splunk 프 로세스를 시작 및 중지합니다. 서버 데몬: splunkd 웹 인터페이스: splunkweb 2. NET START <service> 또는 NET STOP <service> 명령을 사용하여 명령 프롬프트에서 Splunk 서비스를 시작 및 중지합 니다. 서버 데몬: splunkd 웹 인터페이스: splunkweb 3. %SPLUNK_HOME%\bin으로 이동하여 입력을 통해 두 프로세스를 동시에 시작, 중지 및 재시작합니다. > splunk [start stop restart] UNIX에서 Splunk 시작 Splunk 시작 Splunk 서버 호스트의 셸 프롬프트에서 다음 명령을 실행하십시오. splunk start 이 명령어를 입력하면 splunkd(인덱서 및 다른 백엔드 프로세스) 및 splunkweb(splunk Web 인터페이스)이 모두 시작됩 니다. 두 가지 프로세스를 각각 시작하려면 다음 명령어를 입력하십시오. splunk start splunkd 또는 splunk start splunkweb 참고: web.conf에서 startwebserver가 비활성화된 경우, splunkweb을 수동으로 시작하면 해당 설정이 무시되지 않습니 다. 구성 파일에서 해당 변수가 비활성화된 경우에는 시작되지 않습니다. Splunk(splunkd 또는 splunkweb)를 재시작하려면 다음 명령어를 입력하십시오. splunk restart splunk restart splunkd splunk restart splunkweb Splunk 중지 Splunk를 종료하려면 다음 명령을 실행하십시오. splunk stop splunkd 및 Splunk Web을 각각 중지하려면 다음 명령어를 입력하십시오. splunk stop splunkd 또는 splunk stop splunkweb Splunk가 실행 중인지 확인 9
Splunk가 실행 중인지 확인하려면 서버 호스트의 셸 프롬프트에서 다음 명령어를 입력하십시오. splunk status 다음과 같이 출력됩니다. splunkd is running (PID: 3162). splunk helpers are running (PIDs: 3164). splunkweb is running (PID: 3216). 참고: Unix 시스템에서는 Splunk를 실행하는 사용자로 로그인해야만 splunk status 명령을 실행할 수 있습니다. 다른 사용자는 상태 정보를 올바르게 보고하는 필요한 파일을 읽을 수 없습니다. 또한 ps를 사용하여 Splunk 프로세스가 실행 중인지 확인할 수 있습니다. ps aux grep splunk grep -v grep Solaris 사용자인 경우 aux 대신 -ef를 입력하십시오. ps -ef grep splunk grep -v grep Splunk Web에서 Splunk 재시작 Splunk Web에서 Splunk를 재시작할 수도 있습니다. 1. 관리자 > 서버 컨트롤로 이동합니다. 2. Splunk 재시작을 클릭합니다. 이렇게 하면 splunkd 및 splunkweb 프로세스가 모두 재시작됩니다. 부팅 시 시작하도록 Splunk 구성 Windows에서 Splunk는 기본적으로 컴퓨터를 시작할 때 시작됩니다. 이렇게 하지 않으려면 이 항목의 끝 부분에 나오 는 "Windows 부팅 시 시작 안 함"을 참조하십시오. *nix 플랫폼에서는 부팅 시 시작하도록 Splunk를 구성해야 합니다. *nix 플랫폼에서 부팅 시 시작 Splunk는 시스템 부팅 시 Splunk가 시작되도록 시스템 부팅 구성을 업데이트하는 유틸리티를 제공합니다. 이 유틸리 티는 적합한 init 스크립트를 생성하거나 OS에 따라 비슷한 구성 변경을 수행합니다. 루트로 다음 명령을 실행하십시오. $SPLUNK_HOME/bin/splunk enable boot-start Splunk를 루트로 시작하지 않으면 어떤 사용자가 Splunk를 시작하는지 지정하는 -user 매개 변수를 통과할 수 있습니 다. 예를 들어, Splunk를 사용자 bob으로 실행할 경우 다음을 루트로 실행하게 됩니다. $SPLUNK_HOME/bin/splunk enable boot-start -user bob 시스템을 시작할 때 Splunk를 실행하지 않으려면 다음 명령을 실행하십시오. $SPLUNK_HOME/bin/splunk disable boot-start 자세한 내용은 $SPLUNK_HOME/etc/init.d/README에서 확인할 수 있으며, 명령줄에서 help boot-start를 입력하여 도움말 을 볼 수도 있습니다. Mac 사용자 참고 사항 Splunk는 자동으로 스크립트 및 구성 파일을 /System/Library/StartupItems 디렉터리에 생성합니다. 이 스크립트는 시 스템 시작 시 실행되고, 시스템 종료 시 Splunk를 자동으로 중지합니다. 참고: Mac OS를 사용하는 경우 루트 레벨 권한이 있거나 sudo를 사용해야 합니다. sudo를 사용하려면 관리자 권한 이 필요합니다. 예: Mac OS에서 시스템 시작 시 Splunk를 시작하도록 다음과 같이 설정하십시오. 10
CLI만 사용:./splunk enable boot-start sudo를 사용하는 CLI 사용: sudo./splunk enable boot-start Windows에서 부팅 시 시작 안 함 기본적으로 Splunk는 Windows 컴퓨터를 시작할 때 자동으로 시작됩니다. Splunk 프로세스(SplunkWeb 및 Splunkd) 를 수동으로 시작하도록 Windows 서비스 관리자에서 구성할 수 있습니다. 라이선스 설치 Splunk를 처음 다운로드하면 등록하라는 메시지가 나타납니다. 등록하면 60일 동안 임시로 사용할 수 있는 Enterprise 평가판 라이선스가 제공되며, 이 라이선스로 사용할 수 있는 1 일 최대 인덱싱 볼륨은 500MB입니다. 이 라이선스는 다운로드에 포함되어 있습니다. Enterprise 라이선스는 다음 기능을 제공합니다. 다중 사용자 계정 및 액세스 제어 분산 검색 및 데이터 경로 설정 배포 관리 Splunk 라이선싱에 대한 자세한 내용은 이 매뉴얼의 Splunk 라이선싱 방식에서 확인하십시오. 새 라이선스는 어디에 있습니까? 새 라이선스를 요청하면 Splunk에서 보낸 이메일을 통해 라이선스를 받습니다. splunk.com 내 주문 페이지에서 새 라 이선스에 액세스할 수도 있습니다. Splunk Web을 통해 라이선스를 설치하고 업데이트하려면 관리자 > 라이선싱으로 이동한 후 해당 지침을 따르십시 오. 기본값 변경 현재 환경에 대한 Splunk 구성을 시작하기 전에 다음 기본값 설정을 자세히 확인하고 변경하려는 항목이 있는지 확인 하십시오. 관리자의 기본 암호 변경 Splunk Enterprise 라이선스의 기본 관리 계정 및 암호는 admin/changeme입니다. 이 기본값은 변경하는 것이 좋습니 다. Splunk CLI 또는 Splunk Web을 통해 이 작업을 수행할 수 있습니다. Splunk Web 사용 관리자의 기본 암호를 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에 있는 관리자를 클릭합니다. 3. 화면의 사용자 및 인증 섹션에서 액세스 제어를 클릭합니다. 4. 사용자를 클릭합니다. 5. 관리자 사용자를 클릭합니다. 6. 암호를 업데이트하고 저장을 클릭합니다. Splunk CLI 사용 Splunk CLI 명령어는 다음과 같습니다. splunk edit user 참고: 암호를 변경하려면 먼저 기존 암호를 인증해야 합니다. CLI를 통해 또는 -auth 매개 변수를 사용하여 Splunk에 로그인하십시오. 예를 들어, 이 명령은 관리자 암호 changeme를 foo로 변경합니다. 11
splunk edit user admin -password foo -role admin -auth admin:changeme 참고: 셸에 의해 해석될 수 있는 특수 문자(예: '$' 또는 '!')를 포함하는 암호는 이스케이프하거나 작은따옴표로 처리해 야 합니다. 예: splunk edit user admin -password 'fflanda$' -role admin -auth admin:changeme 또는 splunk edit user admin -password fflanda\$ -role admin -auth admin:changeme 네트워크 포트 변경 Splunk는 설치 시 다음 두 가지 포트를 구성합니다. HTTP/HTTPS 포트. 이 포트는 Splunk Web용 소켓을 제공합니다. 기본값은 8000입니다. 관리 포트: 이 포트는 splunkd 데몬과 통신하는 데 사용됩니다. Splunk Web은 명령줄 인터페이스 및 다른 서버 에서 분산된 연결과 마찬가지로 이 포트를 통해 splunkd와 통신합니다. 이 포트의 기본값은 8089입니다. 중요: 설치할 때 이러한 포트 값을 기본값과 다르게 설정했을 수도 있습니다. 참고: Forwarder에서 데이터를 수신하는 Splunk 인스턴스는 추가 포트인 수신기 포트로 구성되어야 합니다. Splunk 인스턴스는 이 포트를 사용하여 Forwarder에서 들어오는 데이터를 수신합니다. 이 구성은 설치 과정에서 나오지 않습 니다. 기본 수신기 포트는 9997입니다. 자세한 내용은 분산 배포 매뉴얼의 "수신기 활성화"를 참조하십시오. Splunk Web 사용 설치 설정에서 포트를 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에 있는 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. 관리 포트 또는 웹 포트 값을 변경하고 저장을 클릭합니다. Splunk CLI 사용 Splunk CLI를 통해 포트 설정을 변경하려면 CLI 명령어 set를 사용하십시오. 예를 들어, 이 명령은 Splunk Web 포트 를 9000으로 설정합니다. splunk set web-port 9000 이 명령은 splunkd 포트를 9089로 설정합니다. splunk set splunkd-port 9089 기본 Splunk 서버 이름 변경 Splunk 서버 이름 설정은 Splunk Web 내에서 표시되는 이름과 분산 설정으로 다른 Splunk 서버에 전송된 이름을 모 두 제어합니다. 기본 이름은 Splunk 서버 호스트의 DNS 또는 IP 주소에서 가져옵니다. Splunk Web 사용 Splunk 서버 이름을 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에 있는 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. Splunk 서버 이름 값을 변경하고 저장을 클릭합니다. 12
Splunk CLI 사용 CLI를 통해 서버 이름을 변경하려면 set servername 명령을 사용하십시오. 예를 들어, 이 명령은 서버 이름을 foo로 설 정합니다. splunk set servername foo 데이터 저장소 위치 변경 데이터 저장소는 Splunk 서버가 인덱스된 모든 데이터를 저장하는 최상위 레벨 디렉터리입니다. 참고: 이 디렉터리를 변경할 경우 Splunk 서버가 이전 데이터 저장소 파일을 마이그레이션하지 못합니다. 대신 새로 운 위치에서 다시 시작됩니다. 데이터를 다른 디렉터리로 마이그레이션하려면 "인덱스 이동"의 지침을 따르십시오. Splunk Web 사용 데이터 저장소 위치를 변경하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에 있는 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. 인덱스 경로에서 경로를 변경하고 저장을 클릭합니다. 6. CLI를 사용하여 Splunk를 재시작합니다. $SPLUNK_HOME/bin/(*nix) 또는 %SPLUNK_HOME%\bin(Windows)으로 이동한 후 다음 명령을 실행합니다. splunk restart 중요: 관리자 내에서 재시작 기능을 사용하지 마십시오. 이렇게 하면 인덱스 디렉터리로 인해 수행되는 작업이 변경되 지 않습니다. CLI를 통해 재시작해야 합니다. Splunk CLI 사용 CLI를 통해 데이터 저장소 디렉터리를 변경하려면 set datastore-dir 명령을 사용하십시오. 예를 들어, 이 명령은 데이 터 저장소 디렉터리를 /var/splunk/로 설정합니다. splunk set datastore-dir /var/splunk/ 사용 가능한 최소 디스크 공간 설정 사용 가능한 최소 디스크 공간 설정은 Splunk가 인덱싱을 중지하기 전 데이터 저장소 위치의 사용 가능한 최소 디스 크 공간을 제어합니다. 사용 가능한 공간이 확보되면 인덱싱이 다시 시작됩니다. Splunk Web 사용 사용 가능한 최소 디스크 공간을 설정하려면: 1. Splunk Web에 관리자로 로그인합니다. 2. 인터페이스의 오른쪽 상단에 있는 관리자를 클릭합니다. 3. 화면의 시스템 섹션에서 시스템 설정 링크를 클릭합니다. 4. 일반 설정을 클릭합니다. 5. 사용 가능한 디스크 공간이 부족할 경우 인덱스 중지 값을 변경하고 저장을 클릭합니다. Splunk CLI 사용 CLI를 통해 사용 가능한 최소 공간 값을 변경하려면 set minfreemb 명령을 입력하십시오. 예를 들어, 이 명령은 사용 가 능한 최소 공간을 2000MB로 설정합니다. 13
splunk set minfreemb 2000 기타 기본 설정 Splunk Web 관리자의 일반 설정 화면에는 변경할 수 있는 기타 기본 설정이 있습니다. 해당 기본 설정의 옵션 범위를 살펴 보십시오. Splunk를 IP에 바인드 지정된 IP 주소 포트에 Splunk를 강제로 바인드할 수 있습니다. 기본적으로 Splunk는 사용 가능한 모든 IP 주소를 의 미하는 IP 주소 0.0.0.0에 바인드합니다. Splunk의 바인드 IP 변경은 Splunk 데몬(splunkd)에만 적용되며 다음을 수신합니다. TCP 포트 8089(기본값) 다음에 대해 구성된 포트: SplunkTCP 입력 TCP 또는 UDP 입력 Splunk Web 프로세스(splunkweb)를 특정 IP에 바인드하려면 web.conf의 server.socket_host 설정을 사용하십시오. 임시 변경 이 값을 임시로 변경하려면 Splunk를 시작하기 전에 환경 변수 SPLUNK_BINDIP=<ipaddress>를 설정하십시오. 영구 변경 이 값을 현재 작동 환경에서 영구적으로 변경하려면 SPLUNK_BINDIP 속성과 <ipaddress> 값을 포함하도록 $SPLUNK_HOME/etc/splunk-launch.conf를 수정하십시오. 예를 들어, Splunk 포트를 127.0.0.1(로컬 루프백에만 해당)에 바 인드하려면 splunk-launch.conf가 다음과 같아야 합니다. Modify the following line to suit the location of your Splunk install. If unset, Splunk will use the parent of the directory this configuration file was found in SPLUNK_HOME=/opt/splunk SPLUNK_BINDIP=127.0.0.1 중요: web.conf에서 mgmthostport 속성의 기본값은 127.0.0.1:8089입니다. SPLUNK_BINDIP를 127.0.0.1과 다른 값으로 변경 하려면 동일한 IP 주소를 사용하도록 mgmthostport도 변경해야 합니다. 예를 들어, splunk-launch.conf에서 이렇게 변경 하려면: SPLUNK_BINDIP=10.10.10.1 web.conf에서도 다음과 같이 변경해야 합니다(관리 포트를 8089로 가정한 경우). mgmthostport=10.10.10.1:8089 mgmthostport 속성에 대한 자세한 내용은 web.conf를 참조하십시오. IPv6 고려사항 버전 4.3부터는 대괄호로 묶은 경우 IPv6 주소를 사용할 수 있도록 web.conf mgmthostport 설정이 확장되었습니다. 따라 서 (이 매뉴얼의 "IPv6용 Splunk 구성"에서 설명한 server.conf 설정을 통해) splunkd가 IPv6만 수신하도록 구성하려면 이 값을 127.0.0.1:8089에서 [::1]:8089로 변경해야 합니다. IPv6용 Splunk 구성 이 항목에서는 Splunk의 IPv6 지원과 IPv6을 위한 구성 방법에 대해 설명합니다. 이 항목의 절차를 수행하기 전에 다 음 매뉴얼을 읽어 보시면 도움이 됩니다. Splunk의 구성 파일 작동에 대해 알아보려면 이 매뉴얼의 "구성 파일에 대하여"를 읽어 보십시오. 데이터 가져오기 매뉴얼의 "TCP 및 UDP 포트에서 데이터 가져오기"를 읽어 보십시오. server.conf 구성 파일에서 사용 가능한 옵션 참조를 보려면 이 매뉴얼의 "server.conf"를 읽어 보십시오. inputs.conf 구성 파일에서 사용 가능한 옵션 참조를 보려면 이 매뉴얼의 "inputs.conf"를 읽어 보십시오. Splunk 버전 4.3부터 IPv6이 지원됩니다. IPv6 네트워크를 통해 Splunk Web에 연결하고 CLI를 사용하며 데이터를 전 달할 수 있습니다. 14
IPv6 플랫폼 지원 모든 Splunk 지원 OS 플랫폼(설치 매뉴얼의 "지원되는 OS" 참조)은 다음을 제외하고 IPv6 구성을 사용할 수 있도록 지원됩니다. HPUX PA-RISC Solaris 8 및 9 AIX IPv6 네트워크를 수신하도록 Splunk 구성 IPv6을 수신하도록 Splunk를 구성할 때 몇 가지 옵션이 있습니다. 다음과 같이 Splunk를 구성할 수 있습니다. IPv6 주소에만 연결하고 DNS의 모든 IPv4 결과는 무시 IPv4 및 IPv6 주소에 모두 연결 IPv6 주소 우선 연결 IPv4 주소 우선 연결 IPv4 주소에만 연결하고 DNS의 모든 IPv6 결과는 무시 Splunk가 IPv6을 수신하는 방법을 구성하려면 다음을 추가하도록 $SPLUNK_HOME/etc/system/local의 server.conf 복사본 을 편집하십시오. listenonipv6=[yes no only] yes는 splunkd가 IPv6 및 IPv4 둘 다로부터 연결을 수신함을 의미합니다. no는 splunkd가 IPv4만 수신함을 의미합니다. 이 값은 기본 설정입니다. only는 Splunk가 IPv6에서 들어오는 연결만 수신함을 의미합니다. connectusingipversion=[4-first 6-first 4-only 6-only auto] 4-first는 IPv4 주소에 우선 연결을 시도하고, 실패할 경우 IPv6을 시도함을 의미합니다. 6-first는 4-first와 반대입니다. 이것은 웹 브라우저와 같은 대부분의 IPv6 지원 클라이언트 앱에서 사용하는 정책입니다. 그러나 IPv6 배포의 초기 단계에서는 그 성능이 떨어질 수 있습니다. 4-only는 splunkd가 DNS의 모든 IPv6 결과를 무시함을 의미합니다. 6-only는 splunkd가 DNS의 모든 IPv4 결과를 무시함을 의미합니다. auto는 splunkd가 listenonipv6의 설정에 기반한 합리적인 정책을 선택함을 의미합니다. 이 값은 기본값입니다.. splunkd가 IPv4만 수신할 경우 이것은 4-only를 지정한 것처럼 작동합니다. splunkd가 IPv6만 수신할 경우 이것은 6-only를 지정한 것처럼 작동합니다. splunkd가 둘 다 수신 대기할 경우 이것은 6-first를 지정한 것처럼 작동합니다. 중요: 이 설정은 DNS 룩업에만 영향을 미칩니다. 예를 들어, connectusingipversion = 6-first를 설정하면 명시적 IPv4 주소(예: "server=10.1.2.3:9001")가 포함된 스탠자가 작동합니다. 입력이 몇 개 있지만 전체 배포에서 IPv6을 사용하지 않으려는 경우 IPv6을 통해 수신되는 몇 가지 데이터 소스가 있지만 전체 Splunk 배포에서 IPv6을 사용하지 않으려면 위에서 설명한 listenonipv6 설정을 inputs.conf의 모든 [udp], [tcp], [tcp-ssl], [splunktcp] 또는 [splunktcp-ssl] 스탠자에 추가하십 시오. 이 경우 특정 입력에 대한 server.conf의 동일한 이름 설정이 무시됩니다. IPv6을 통해 데이터 전달 Splunk Forwarder는 IPv6을 통해 전달할 수 있습니다. outputs.conf에서 다음과 같이 지원됩니다. [tcpout] 스탠자의 server 설정에는 표준 [host]:port 형식의 IPv6 주소가 포함될 수 있습니다. [tcpout-server] 스탠자는 표준 [host]:port 형식의 IPv6 주소를 사용할 수 있습니다. [syslog] 스탠자의 server 설정에는 표준 [host]:port 형식의 IPv6 주소가 포함될 수 있습니다. IPv6용 분산 검색 구성 Splunk 분산 검색 배포는 IPv6을 사용할 수 있습니다. distsearch.conf에서 다음과 같이 지원됩니다. servers 설정에는 표준 [host]:port 형식의 IPv6 주소가 포함될 수 있습니다. 그러나 heartbeatmcastaddr가 IPv6 주소를 지원하도록 업데이트되지 않았습니다. 이 설정은 Splunk 4.3에서 더 이상 사용되지 않아 이후 릴리스 제품부터 제거될 예정입니다. IPv6을 통해 Splunk Web에 액세스 네트워크 정책이 웹 브라우저에서 IPv6 연결을 허용하거나 요구할 경우 splunkd와 다르게 작동하도록 splunkweb 서 비스를 구성할 수 있습니다. web.conf는 4.3부터 listenonipv6 설정을 지원합니다. 이 설정은 위에서 설명한 server.conf의 설정과 동일하게 작동하지만, Splunk Web에만 적용됩니다. 대괄호로 묶어서 IPv6 주소를 사용할 수 있도록 기존 web.conf mgmthostport 설정이 확장되었습니다. 따라서 (앞에서 설 명한 server.conf 설정을 통해) splunkd가 IPv6만 수신하도록 구성할 경우 이 값을 127.0.0.1:8089에서 [::1]:8089로 변 경해야 합니다. 15
Splunk CLI 및 IPv6 Splunk CLI는 IPv6을 통해 splunkd와 통신할 수 있습니다. web.conf에 mgmthostport를 설정했거나 $SPLUNK_URI 환경 변 수를 정의했거나 -uri 명령줄 옵션을 사용한 경우 이렇게 작동합니다. -uri 옵션을 사용할 경우에는 IPv6 IP 주소를 대 괄호로 묶어야 하고 전체 주소와 포트는 큰따옴표로 묶으십시오. -uri "[2001:db8::1]:80". IPv6 및 SSO SSO과 함께 IPv6을 사용할 경우 아래 예와 같이 trustedip 속성에 대괄호 표기법을 사용하지 마십시오. 이 규칙은 web.conf 및 server.conf에 모두 적용됩니다. 다음 web.conf 예에서 mgmthostport 속성은 대괄호 표기법을 사용했지만 trustedip 속성은 대괄호 표기법을 사용하지 않 았습니다. [settings] mgmthostport = [::1]:8089 startwebserver = 1 listenonipv6=yes trustedip=2620:70:8000:c205:250:56ff:fe92:1c7,::1,2620:70:8000:c205::129 SSOMode = strict remoteuser = X-Remote-User tools.proxy.on = true SSO에 대한 자세한 내용은 이 매뉴얼의 "Splunk에서 SSO 사용"을 참조하십시오. Splunk Web 사용 Splunk Web 및 Splunk 관리자 정보 Splunk Web은 Splunk의 인터랙티브 동적 브라우저 기반 인터페이스입니다. Splunk Web은 문제를 조사하고, 결과 를 보고하고, Splunk 배포를 관리하는 기본 인터페이스입니다. 지원되는 운영 체제 및 브라우저 리스트는 해당 시스 템 요구 사항을 참조하십시오. Splunk Web 실행 다음으로 이동합니다. http://mysplunkhost:<port> 설치할 때 선택한 호스트와 포트를 사용합니다. Enterprise 라이선스를 사용하여 Splunk에 처음 로그인할 때 기본 로그인 정보는 다음과 같습니다. 사용자 이름 - admin 암호 - changeme 참고: 무료 라이선스를 사용하여 Splunk를 실행할 경우 액세스를 제어할 수 없으므로, 로그인 정보를 묻는 창이 나타 나지 않습니다. 참고: Splunk 버전 4.1.4부터 $SPLUNK_HOME/etc/local/server.conf를 편집하고 allowremotelogin을 Always로 설정하기 전 에는 원격 브라우저를 통해 Splunk Free에 액세스할 수 없습니다. Splunk Enterprise를 실행할 경우 기본 암호를 변경 하기 전까지 관리자의 원격 로그인을 기본적으로 사용할 수 없습니다(requireSetPassword로 설정되어 있음). Splunk 홈 Splunk에 처음 로그인하면 Splunk 홈으로 이동됩니다. 이 페이지의 맨 위에는 환영 탭과 Splunk 홈 탭의 두 가지 탭 이 있습니다. 환영 화면에는 데이터 추가 단추가 있습니다. 이 단추를 누르면 Splunk를 인덱스하도록 구성할 수 있는 데이터 유형 리스트 페이지로 이동됩니다. 설치된 앱을 보려면 Splunk 홈을 클릭하십시오. 16
이 페이지에서는 현재 사용 가능한 앱 리스트에서 앱을 선택할 수 있습니다. 더 많은 앱을 찾으려면 추가 앱 찾기 단추 를 클릭하십시오. 앱에 대해 자세히 알려면 계속 읽으십시오. Splunk 관리자 찾기 Splunk Web은 Splunk 작업의 대부분을 관리할 수 있는 편리한 인터페이스인 Splunk 관리자를 제공합니다. 관리자 에 액세스하려면 Splunk Web의 오른쪽 상단 모서리에 있는 링크를 클릭하십시오. 관리자를 사용하여 Splunk를 구성하는 방법은 "Splunk 관리자에 대하여"를 참조하십시오. 프록시 서버 지정 Splunk Web이 프록시 서버 뒤에 있을 경우 Splunk 웹 사이트에 액세스하는 Splunk Web 링크에 문제가 발생할 수 있 습니다. 예를 들어, 일부 관리자 페이지는 Splunk 앱 다운로드 사이트에 직접 연결됩니다. 이 문제를 해결하려면 http_proxy 환경 변수를 설정해야 합니다. 영구적인 결과를 얻기 위해 *nix 시스템의 경우 $SPLUNK_HOME/etc/, Windows의 경우 %SPLUNK_HOME%\etc\에 있는 splunk-launch.conf 구성 파일에서 해당 설정을 지정할 수 있습니다. splunk-launch.conf에서 다음 속성/값 쌍을 추가하십시오. http_proxy = <IP address or host name>:<port number> 예: http_proxy = 10.1.8.11:8787 중요: 프록시 서버가 HTTPS 요청만 처리할 경우 다음 속성/값 쌍을 사용하십시오. https_proxy = <IP address or host name>:<port number> 예: 17
https_proxy = 10.1.8.11:8888 Windows 관리자용 시작 지침 Windows 관리자를 위한 지침 환영합니다! 이 페이지는 Windows 관리자를 위한 시작하기 장으로, Splunk for Windows에 대한 정보를 확인할 수 있습니다. 이 장의 목적은 무엇입니까? Splunk는 Windows 관리자가 Windows 네트워크에서 발생하는 문제를 해결할 수 있는 효과적이고 강력한 도구입니 다. 즉시 사용이 가능한 기능 세트는 Windows 관리자에게 아주 유용합니다. 기능을 강화해주는 앱을 추가할 수 있는 기능을 통해 더 확장될 수 있습니다. 그리고 사용자 커뮤니티도 계속 늘어나고 있습니다. 이 페이지는 이 그룹의 사용자들을 대상으로 작성되었습니다. Splunk의 기능을 최대한 이용할 수 있도록 Windows 관 리자가 참고할 수 있는 중앙 리소스입니다. 이 장에서는 Splunk를 Windows에 설치하는 방법, Splunk 평가, 배포, 유 지 관리, 문제 해결 방법에 대한 매뉴얼과 링크를 제공합니다. 따라서 Windows 사용자들이 Splunk를 Windows 환경 에 맞게 구현하고 사용자 지정하는 방법에 관련된 참조 자료와 절차를 찾아보는 것이 훨씬 쉬워졌습니다. 이 장의 사용 방법 이 장은 Splunk를 학습 및 배포하고 Splunk 기능을 최대한 이용하는 데 유용한 항목으로 구성되어 있습니다. 각 항목 은 Windows 관리자에게 도움이 되는 다른 Splunk 매뉴얼을 참조합니다. Splunk 시험 사용에서는 Splunk 평가 방법에 대해 설명합니다. 이 장에서는 Splunk가 무엇인 지에 대해 알아봅니다. 또한 Splunk 설치 방법과 Splunk를 시험 사용하기 위해 필요한 시스템 요구 사항이 무엇인지 알아봅니다. 이 항목은 Windows에서 Splunk를 사용해본 경험이 없는 사용자나 제품을 평가하려는 초보 사용자에게 적합합니다. Splunk 기능에 대해 알아보기에서는 Splunk 기능에 대해 설명합니다. 이 항목에서는 Splunk로 들어오는 데이터 인 덱스, 검색, 보고 및 경고 방법에 대해 자세히 설명하는 여러 영역의 매뉴얼 링크를 제공합니다. 이 항목에서는 Splunk 가 Windows 플랫폼에서 어떻게 작동되고, 어떤 Windows 구성 요소를 모니터링할 수 있는지 알아봅니다. 이 항목은 Splunk의 내부 작동 원리를 이해하고자 하는 관리자에게 적합합니다. 엔터프라이즈에 Splunk 통합에서는 기존 Windows 네트워크에 Splunk를 추가하는 방법 또는 새 네트워크에 Splunk 를 통합하는 방법에 대한 가이드를 제공합니다. 이것은 선임 관리자 또는 IT 담당자에게 유용한 내용입니다. 이 항목 에는 시스템과 네트워크에 Splunk를 통합하는 방법에 대한 다양한 단계별 절차뿐만 아니라 Splunk 통합을 위한 높은 수준의 계획 시나리오도 포함되어 있습니다. Splunk 최대한 활용하기 항목은 현재 환경에 Splunk를 이미 통합하고 사용하면서 Splunk를 실행하는 데 유용한 참 고 자료나 팁을 원하는 관리자나 책임자에게 유용합니다. Splunk 사용 중에 발생할 수 있는 Windows 관련 문제를 해 결하는 방법에 대한 팁을 제공합니다. 현재 상황과 경험 수준에 따라 이 항목에 있는 여러 가지 내용을 하나씩 읽으면 도움이 됩니다. 순서대로 읽어도 되고 필요한 부분을 먼저 읽어도 됩니다. 나중에 필요할 때 이 항목을 참고 자료로 활용할 수 있습니다. Windows에서 Splunk를 처음 사용하는 경우에는 이 장을 처음부터 끝까지 읽어보시기 바랍니다. Splunk 사용 방법은 이미 알고 있지만 기술 정보나 참고 정보를 보고자 할 경우에는 이 항목의 뒷 부분을 읽어보시면 좋습니다. 도움이 필요한 경우 Splunk에 대해 상세히 알려는 경우 많은 교육 프로그램이 준비되어 있습니다. Splunk를 본격적으로 시작하게 되면 이용할 수 있는 대형 무료 지원 인프라가 제공됩니다. Splunk 응답 Splunk 커뮤니티 위키 Splunk IRC(Internet Relay Chat) 채널(EFNet splunk) (IRC 클라이언트 필수) 질문에 대한 답변이 여전히 없는 경우에는 Splunk 지원 팀에 연락하십시오. 지원 문의 페이지에 문의 방법이 자세히 나와 있습니다. 참고: 커뮤니티 레벨보다 높은 지원 레벨을 이용하려면 Enterprise 라이선스가 필요합니다. 이 라이선스를 받으려면 판매 팀에 문의해야 합니다. 읽어주셔서 감사합니다! Splunk 시험 사용 Splunk가 정확하게 어떻게 작동하고, 특히 사용자에게 어떤 이점이 있는 지에 대해 궁금할 것입니다. 가장 쉽고 빠른 방법은 직접 사용해 보는 것입니다. 사용자의 데스크톱이나 랩톱 컴퓨터를 사용하여 이 제품의 최초 평가를 수행할 수 18
있습니다. 다음은 처음에 수행해야 하는 단계입니다. 1. 시스템 요구 사항을 검토합니다. 이 단계는 Splunk를 실행하는 데 적합한 컴퓨터 유형을 확인하기 위한 중요한 첫 단계입니다. 참고: Splunk를 사용하여 수행할 작업에 따라 Splunk의 리소스 요구가 달라집니다. Splunk 평가를 위한 시스템 요구 사항은 Splunk의 어떤 부분을 평가하느냐에 따라 다릅니다. 로그 파일 수집 또는 성능 모니터링과 같은 기능을 평가 하는 것은 Splunk가 데스크톱이나 랩톱에 많은 부담을 주지 않습니다. 또한 이것은 가상 컴퓨터에서도 평가할 수 있 습니다. Splunk 사용 시 많은 데이터를 사용하는 경우에는 리소스가 집중적으로 사용됩니다. 평가 목적이더라도 서버에 소프트웨어를 설치하는 것이 좋습니다. 캡처를 원하는 데이터가 있는 서버에 소프트웨어 를 설치할 경우 평가 작업이 더 효율적으로 수행될 수 있습니다. 그리고 서버는 리소스가 집중적으로 사용되는 평가 작업을 처리할 수 있는 능력이 있어야 합니다. 프로덕션의 경우에는 하드웨어 계획을 더욱 세심히 고려해야 합니다. 관련 내용은 설치 매뉴얼에 나와 있습니다. 프로 덕션 레벨의 배포에는 어떤 종류의 하드웨어가 필요하며, 해당 배포에서 Splunk를 어떻게 분산해야 하는지 설명하는 관련 항목을 읽어 보시기 바랍니다. Splunk를 실행하기 전에 먼저 컴퓨팅 성능이 관련 요구를 충족할 수 있는지 항상 검토해야 합니다. 2. Splunk가 어떤 유형의 Windows 데이터에 액세스할 수 있는지 알아봅니다(데이터 가져오기 매뉴얼 참조). 3. 관련 사전 평가 정보 및 단계별 Windows 설치 지침은 사용자 매뉴얼의 "튜토리얼을 시작하기 전에" 항목에서 확인 합니다. 4. 평가 시스템에 Splunk를 설치합니다. 5. Splunk 튜토리얼을 참고합니다. 튜토리얼은 제품 평가를 시작하는 방법을 익히는 데 가장 효과적인 방법입니다. Splunk 기능에 대해 알아보기 Splunk를 시험 사용한 후에는 Windows 데이터를 어떻게 제어할 수 있는지 알아보십시오. Microsoft System Center 제품군과 같은 유틸리티와 Splunk를 비교하여 그 차이를 알고 싶거나, Splunk를 사용하여 일상적인 시스템 관리 작업 을 개선하는 방법이 궁금하다면 이 절에서 확인하십시오. 이벤트 로그, 레지스트리 등의 입력을 포함하여 Splunk가 제공하는 다양한 Windows 관련 데이터 입력을 사용하여 Splunk에 데이터를 가져오는 방법에 대해 알아보십시오. 또는 Splunk가 Active Directory에 대한 성능 또는 변경 사항 을 어떻게 모니터링하는지 알아보십시오. 추가 Windows 관심 항목: 설치된 모든 Splunk for Windows 서비스에 대한 개요(설치 매뉴얼 참조) Splunk의 모니터 대상(데이터 가져오기 매뉴얼 참조) 원격 Windows 데이터를 모니터링하는 방법을 결정할 때 고려할 사항(데이터 가져오기 매뉴얼 참조) 여러 컴퓨 터의 데이터를 원격으로 가져오는 방법에 대한 중요한 정보는 이 항목에서 확인하십시오. 여러 컴퓨터의 데이터 통합(분산 배포 매뉴얼 참조) 기타 유용한 정보: 내 데이터는 어디에 있습니까? (데이터 가져오기 매뉴얼 참조) Splunk 명령줄 인터페이스(CLI) 사용(데이터 가져오기 매뉴얼 참조) source, sourcetype 및 필드(데이터 가져오기 매뉴얼 참조) 필드 및 필드 추출(지식 관리자 매뉴얼 참조) 실시간 검색(사용자 매뉴얼 참조) 저장된 검색(사용자 매뉴얼 참조) 대시보드 생성(사용자 매뉴얼 참조) 엔터프라이즈에 Splunk 통합 앞에서 이 제품을 평가했으며 Windows 데이터에 대한 이해를 높이는 방법에 대해 알아 보았습니다. 이제 네트워크의 모든 컴퓨터에서 데이터를 가져올 수 있도록 제품을 배포해 보겠습니다. 통합은 Splunk 배포에서 매우 중요한 단계입니다. 이 절은 문제 없이 원활하게 통합하는 가장 좋은 방법을 결정하는 데 도움이 됩니다. 시작하는 방법은 다음과 같습니다. 일반적인 배포 시나리오에 대한 정보는 Windows에 Splunk 배포에서 이 항목을 찾아 보십시오. 시스템 이미지에 Splunk 배치 방법에 대해서는 계속 읽어 내려가십시오. Splunk 분산 배포 기능에 대해 알아보기 (분산 배포 매뉴얼 참조) Splunk를 Windows 컴퓨터에 설치했으면 다음과 같은 작업을 수행할 수 있습니다. 경고 구성 방법에 대해 알아보기 (관리자 매뉴얼 참조) 이 배포 모니터를 사용하여 Splunk 인스턴스에서 구성 파일 관리 Splunk 최대한 활용하기 19
네트워크에 Splunk를 설치 및 통합한 후에는 다음과 같은 작업을 비롯하여 여러 작업을 수행할 수 있습니다. 최고 성능으로 계속 실행하는 방법에 대해 알아보기 효율적으로 실행되지 않을 때 이 문제를 해결하는 방법에 대해 알아보기 Windows 앱(Microsoft Exchange용 앱)과 같은 플러그인과 Microsoft System Center Operations Manager에 대 한 추가 지원을 통해 Splunk의 기능 확장 Splunk를 최고 성능으로 최적화하는 방법 다른 많은 서비스와 마찬가지로 Windows에 설치된 Splunk 또한 최고 성능으로 실행하려면 적절한 유지 관리가 필요 합니다. 이 항목에서는 배포 과정에서 또는 배포 완료 후 Windows에 설치된 Splunk 배포를 올바르게 실행하기 위해 적용할 수 있는 방법에 대해 설명합니다. Splunk의 최고 성능을 유지하려면: 하나 이상의 컴퓨터를 Splunk 작업 전용으로 준비하십시오. Splunk는 수평적으로 확장됩니다. 즉, 단일 컴퓨터 에 더 많은 리소스를 지정하는 것이 아니라 Splunk 전용 물리적 컴퓨터를 더 많이 지정하기 때문에 더 나은 성능 을 발휘할 수 있습니다. 가능하다면 인덱싱 및 검색 작업을 여러 컴퓨터로 분할하고, 해당 컴퓨터에서는 기본 Splunk 서비스만 실행하십시오. 다른 서비스를 공유하는 서버에서 Splunk를 실행할 경우 범용 전달기 (Universal Forwarder)를 제외한 다른 성능이 저하됩니다. Splunk 인덱스 전용으로 가장 빠른 디스크를 지정하십시오. 시스템에서 Splunk 인덱싱에 사용 가능한 디스크 가 빠를수록 Splunk도 더 빠르게 실행됩니다. 가능하면 스핀들 속도가 10,000RPM 이상인 디스크를 사용하십 시오. Splunk 전용 중복 저장소를 지정할 경우 하드웨어 기반 RAID 1+0(또한 RAID 10으로도 알려짐)을 사용하 십시오. 이것은 속도와 중복에 대한 최적의 균형을 제공합니다. Windows 디스크 관리 유틸리티를 통한 소프트 웨어 기반 RAID 구성은 권장하지 않습니다. 바이러스 백신 프로그램이 Splunk 작업에 사용되는 디스크를 스캔하지 않도록 하십시오. 액세스할 때 바이러 스 백신 파일 시스템 드라이버가 파일에서 바이러스를 스캔할 경우 성능이 현저히 저하됩니다. 특히 Splunk에 서 최근에 인덱스된 데이터를 내부적으로 에이징할 경우에는 더욱 성능이 저하됩니다. Splunk가 실행되는 서버 에서 바이러스 백신 프로그램을 사용해야 할 경우 모든 Splunk 디렉터리와 프로그램을 파일 스캔에서 제외하십 시오. 가능하면 여러 인덱스를 사용하십시오. Splunk에서 인덱스된 데이터를 서로 다른 인덱스에 분산하십시오. 모든 데이터를 기본 인덱스로 보내면 시스템에서 I/O 병목 현상이 발생할 수 있습니다. 해당될 경우 가능하면 시스템 의 서로 다른 물리적 볼륨을 가리키도록 인덱스를 구성하십시오. 인덱스 구성 방법에 대한 내용은 이 매뉴얼의 "인덱스 구성"에서 확인하십시오. 운영 체제와 동일한 물리적 디스크 또는 파티션에 인덱스를 저장하지 마십시오. Windows OS 디렉터리 (%WINDIR%) 또는 해당 스왑 파일이 있는 디스크는 Splunk 데이터 저장소로 권장되지 않습니다. Splunk 인덱스를 시스템의 다른 디스크에 저장하십시오. 데이터베이스 버킷 유형, Splunk에서 데이터를 저장하고 에이징하는 방법 등을 포함하여 인덱스가 어떻게 저장되는 지 자세히 알아보려면 이 매뉴얼의 "Splunk에서 인덱스를 저장하는 방법"을 참조하십시오. Splunk 인덱스의 hot/warm 데이터베이스 버킷을 네트워크 볼륨에 저장하지 마십시오. 네트워크 지연으로 인 해 성능이 현저히 저하됩니다. Splunk 인덱스의 hot/warm 버킷용 로컬 고속 디스크를 예약하십시오. 인덱스의 cold/frozen 버킷을 위해 DFS(Distributed File System) 볼륨 또는 NFS(Network File System) 마운트와 같은 네 트워크 공유를 지정할 수 있습니다. 그러나 cold 데이터베이스 버킷에 저장된 데이터를 포함하는 검색은 더 느 려집니다. Splunk 인덱서에 대한 디스크 가용성, 대역폭 및 공간을 유지 관리하십시오. Splunk 인덱스가 저장된 디스크 볼 륨의 사용 가능한 공간이 항상 20% 이상을 유지해야 합니다. 디스크 검색 시간이 늘어나므로 사용 가능한 공간 과 비례하여 디스크 성능이 저하됩니다. 이는 Splunk가 데이터를 인덱스하는 속도에 영향을 미치고, 검색 결과, 보고서 및 경고를 얼마나 빨리 반환하는 지도 결정합니다. 기본 Splunk 설치에서 인덱스를 포함하는 드라이브 의 사용 가능한 공간은 최소 2048MB(2GB) 이상이어야 합니다. 그렇지 않으면 인덱싱이 일시 중지됩니다. 시스템 이미지에 Splunk 배치 이 항목에서는 Splunk를 모든 Windows 시스템 이미지 또는 설치 프로세스의 일부로 만드는 개념에 대해 설명합니다. 그리고 사용하는 이미징 유틸리티와 관계 없이 일반적인 통합 프로세스를 안내합니다. Windows 데이터를 Splunk로 가져오는 것과 관련된 내용은 데이터 가져오기 매뉴얼의 "Windows 데이터 및 Splunk에 대하여"에서 확인하십시오. 분산 Splunk 배포에 대한 내용은 분산 배포 매뉴얼의 "분산 개요"에서 확인하십시오. 이 개요는 사용하는 운영 체제와 관계 없이 Splunk 배포 설정 방법을 이해하는 데 꼭 필요한 내용입니다. Splunk 분산 배포 기능에 대해서 도 알 수 있습니다. 대규모 Splunk 배포 계획에 대한 내용은 설치 매뉴얼의 "대규모 Splunk 배포를 위한 하드웨어 용량 계획"과 이 매뉴얼의 "Windows에 Splunk 배포"에서 확인하십시오. Windows에서의 시스템 통합 개념 Splunk를 Windows 시스템 이미지에 통합하는 주요 이유는 엔터프라이즈에서 사용할 컴퓨터를 활성화했을 때 Splunk를 즉시 사용할 수 있도록 하기 위해서입니다. 이렇게 하면 활성화 후 Splunk를 설치 및 구성해야 할 필요가 없 어집니다. 20
이 시나리오에서는 Windows 시스템을 활성화하고 부팅하면 Splunk가 즉시 실행됩니다. 그런 다음 설치된 Splunk 인 스턴스 유형과 지정된 구성에 따라 Splunk가 컴퓨터에서 데이터를 수집하고 수집한 데이터를 인덱서로 전달하거나 (대부분의 경우) 또는 다른 Windows 컴퓨터에서 전달된 데이터의 인덱싱을 시작합니다. 또한 시스템 관리자는 Splunk 인스턴스를 배포 서버에 접속할 수 있도록 구성하여 추가 구성 및 업데이트 관리를 할 수 있습니다. 대부분의 일반적인 환경에서 Windows 컴퓨터의 범용 전달기(Universal Forwarder)는 중앙 인덱서 또는 인덱서 그룹 으로 데이터를 전송합니다. 그러면 특정 요구에 따라 데이터의 검색, 보고 및 경고가 허용됩니다. 시스템 통합 시 고려 사항 Splunk를 Windows 시스템 이미지에 통합하려면 계획이 필요합니다. 대부분의 경우 범용 전달기(Universal Forwarder)는 Windows 시스템 이미지와의 통합 시 선호되는 Splunk 구성 요소 입니다. 범용 전달기(Universal Forwarder)는 다른 역할을 수행하는 컴퓨터의 리소스를 공유하며, 훨씬 적은 비용으로 인덱서가 수행할 수 있는 많은 작업을 수행합니다. 또한 변경하기 위해 Splunk Web을 사용할 필요 없이 Splunk의 배 포 서버 또는 엔터프라이즈 범위의 구성 관리자를 사용하여 범용 전달기(Universal Forwarder)를 수정할 수 있습니다. 상황에 따라 Splunk의 전체 인스턴스를 시스템 이미지에 통합할 수도 있습니다. 적합한 시기와 위치는 특정 요구와 리소스 가용성에 따라 다릅니다. Splunk는 Forwarder에 대한 인덱서의 특정 용량 요구가 없는 경우 다른 유형의 역할을 수행하는 서버의 이미지에 Splunk의 전체 버전을 포함하는 것을 권장하지 않습니다. 엔터프라이즈에 여러 인덱서를 설치하더라도 인덱싱 성능 이나 속도를 추가로 제공하지 않으며 바람직하지 않은 결과로 이어질 수 있습니다. Splunk를 시스템 이미지에 통합하기 전에 다음을 고려하십시오. Splunk에서 인덱스할 데이터 양, 그리고 해당 데이터를 보낼 위치(있는 경우). 이러한 정보는 디스크 공간 계산 에 직접 사용되며 최우선으로 고려해야 할 사항입니다. 이미지 또는 컴퓨터에 설치할 Splunk 인스턴스의 유형. 범용 전달기(Universal Forwarder)는 다른 작업을 수행 하는 워크스테이션이나 서버에 설치할 경우 상당한 장점이 있지만, 그렇지 않은 경우도 있습니다. 이미징된 컴퓨터의 사용 가능한 시스템 리소스. 이미징된 각 시스템에서 사용할 수 있는 디스크 공간, RAM 및 CPU 리소스는 얼마나 됩니까? Splunk 설치를 지원합니까? 네트워크의 리소스 요구 사항. WMI를 사용하여 데이터를 수집하기 위해 원격 컴퓨터에 연결하는 데 Splunk를 사용하든지 아니면 각 컴퓨터에 Forwarder를 설치하고 데이터를 인덱서로 보내기 위해 Splunk를 사용하든지 Splunk에는 네트워크 리소스가 필요합니다. 이미지에 설치된 다른 프로그램의 시스템 요구 사항. Splunk가 다른 서버와 리소스를 공유할 경우 다른 프로그 램의 사용 가능한 리소스가 사용될 수 있습니다. Splunk의 전체 인스턴스를 실행 중인 워크스테이션 또는 서버 에 다른 프로그램을 설치할지 여부를 고려하십시오. 범용 전달기(Universal Forwarder)는 경량으로 설계되어 있 으므로 이러한 경우에 보다 효율적으로 작동합니다. 이미징된 컴퓨터가 현재 환경에서 수행하는 역할. Office와 같은 생산성 애플리케이션을 실행하는 워크스테이 션의 역할만 합니까? 아니면 Active Directory 포리스트를 위한 작업 마스터 도메인 컨트롤러의 역할을 합니까? Splunk를 시스템 이미지에 통합 앞에서 말한 체크리스트의 질문에 대한 답변을 결정했으면 그 다음 단계는 Splunk를 시스템 이미지에 통합하는 것입 니다. 나열된 단계는 선호하는 시스템 이미징 또는 구성 도구를 사용하여 작업을 완료하는 일반적인 단계입니다. 시스템 통합에 대한 다음 옵션 중 하나를 선택하십시오. 범용 전달기(Universal Forwarder)를 시스템 이미지에 통합 Splunk의 전체 버전을 시스템 이미지에 통합 범용 전달기(Universal Forwarder)를 시스템 이미지에 통합 이 항목에서는 Splunk 범용 전달기(Universal Forwarder)를 Windows 시스템 이미지에 통합하는 절차에 대해 설명합 니다. Splunk와 이미지 통합에 대한 자세한 내용은 "Splunk를 시스템 이미지에 통합"을 참조하십시오. 범용 전달기(Universal Forwarder)를 시스템 이미지에 통합하려면: 1. 참조 컴퓨터를 사용하여 필요한 Windows 기능, 패치 및 기타 구성 요소 등과 함께 원하는 위치에 Windows를 설치 및 구성합니다. 2. Splunk의 시스템 및 하드웨어 용량 요구 사항을 고려하여 필요한 애플리케이션을 설치 및 구성합니다. 3. 명령줄에서 범용 전달기(Universal Forwarder)를 설치 및 구성합니다. 이것은 최소한 LAUNCHSPLUNK=0 명령줄 플래그 를 제공합니다. 중요: 설치를 완료한 후 Splunk가 실행되지 않도록 하려면 LAUNCHSPLUNK=0 명령줄 플래그를 지정해야 합니다. 4. 설치에서 그래픽 부분을 수행합니다. 여기서 필요한 입력, 배포 서버 또는 Forwarder 대상을 선택합니다. 5. 설치가 완료되면 명령 프롬프트를 엽니다. 21
6. 설치 관리자에서 구성할 수 없는 추가 구성 파일을 이 프롬프트에서 편집합니다. 7..\splunk clean eventdata를 실행하여 모든 이벤트 데이터를 정리합니다. 8. 명령 프롬프트 창을 닫습니다. 9. 서비스 제어판에서 시작 유형을 '자동'으로 설정하여 splunkd 및 splunkweb 서비스가 자동으로 시작되도록 설정했는 지 확인합니다. 10. SYSPREP(Windows XP 및 Windows Server 2003/2003 R2인 경우) 또는 WSIM(Windows 시스템 이미지 관리 자)(Windows Vista, Windows 7 및 Windows Server 2008/2008 R2인 경우)과 같은 유틸리티를 사용하여 도메인 참여 를 위한 시스템 이미지를 준비합니다. 참고: Microsoft는 복제하기 전에 컴퓨터 SID(보안 식별자)를 변경하는 방법으로 타사 도구(Ghost Walker 또는 NTSID 등)를 사용하는 것보다 SYSPREP 및 WSIM을 사용할 것을 권장합니다. 11. 이미지를 위한 시스템 구성을 완료했으면 컴퓨터를 재부팅하고 선호하는 이미징 유틸리티를 사용하여 복제합니 다. 이제 배포할 이미지가 준비되었습니다. Splunk를 시스템 이미지에 통합 이 항목에서는 Splunk의 전체 버전을 Windows 시스템 이미지에 통합하는 절차에 대해 설명합니다. Splunk와 이미지 통합에 대한 자세한 내용은 "Splunk를 시스템 이미지에 통합"을 참조하십시오. Splunk의 전체 버전을 시스템 이미지에 통합하려면: 1. 참조 컴퓨터를 사용하여 필요한 Windows 기능, 패치 및 기타 구성 요소 등과 함께 원하는 위치에 Windows를 설치 및 구성합니다. 2. Splunk의 시스템 및 하드웨어 용량 요구 사항을 고려하여 필요한 애플리케이션을 설치 및 구성합니다. 3. Splunk를 설치 및 구성합니다. 중요: GUI 설치 관리자를 사용하여 설치할 수도 있지만 명령줄을 통해 패키지를 설치할 경우 더 많은 옵션이 있습니 다. 4. Splunk 입력을 구성했으면 명령 프롬프트를 엽니다. 5. 이 프롬프트에서 %SPLUNK_HOME%\bin 디렉터리로 변경하고.\splunk stop을 실행하여 Splunk를 중지합니다. 6..\splunk clean eventdata를 실행하여 모든 이벤트 데이터를 정리합니다. 7. 명령 프롬프트 창을 닫습니다. 8. 서비스 제어판에서 시작 유형을 '자동'으로 설정하여 splunkd 및 splunkweb 서비스가 자동으로 시작되도록 설정했는 지 확인합니다. 9. SYSPREP(Windows XP 및 Windows Server 2003/2003 R2인 경우) 또는 WSIM(Windows 시스템 이미지 관리 자)(Windows Vista, Windows 7 및 Windows Server 2008/2008 R2인 경우)과 같은 유틸리티를 사용하여 도메인 참여 를 위한 시스템 이미지를 준비합니다. 참고: Microsoft는 복제하기 전에 컴퓨터 SID(보안 식별자)를 변경하는 방법으로 타사 도구(Ghost Walker 또는 NTSID 등)를 사용하는 것보다 SYSPREP 및 WSIM을 사용할 것을 권장합니다. 10. 이미지를 위한 시스템 구성을 완료했으면 컴퓨터를 재부팅하고 선호하는 이미징 유틸리티를 사용하여 복제합니 다. 이제 배포할 이미지가 준비되었습니다. Windows에 Splunk 배포 여러 가지 방법으로 Windows 환경에 Splunk를 통합할 수 있습니다. 이 항목에서는 몇 가지 시나리오를 설명하고, 엔 터프라이즈에 Splunk for Windows 배포를 최적으로 적용하는 방법에 대한 지침을 제공합니다. 이 항목은 Windows 환경에 Splunk를 배포하는 데 초점을 맞추고 있습니다. 또한 Splunk 자체가 Windows 엔터프라 이즈에 Splunk를 통합할 때 배포 기능을 분산합니다. 분산 배포 매뉴얼은 수많은 컴퓨터에 Splunk 서비스를 배포하는 것에 대한 많은 정보를 제공합니다. 대규모 환경에서 Windows에 Splunk를 배포할 때 자체 배포 유틸리티(예: System Center Configuration Manager 또 는 Tivoli/BigFix)를 사용하여 Splunk 및 Splunk 구성을 모두 엔터프라이즈의 컴퓨터에 배포할 수 있습니다. 또는 Splunk를 시스템 이미지에 통합한 후 Splunk의 배포 서버를 사용하여 Splunk 구성과 앱을 배포할 수 있습니다. 개념 22
Splunk를 Windows 네트워크에 배포할 경우 Splunk는 컴퓨터에서 데이터를 수집한 후 중앙에 저장합니다. 데이터가 중앙에 저장되어 있으면 인덱스된 데이터를 기반으로 보고서와 대시보드를 검색하고 만들 수 있습니다. 시스템 관리 자 입장에서 더 중요한 것은 데이터가 도착할 때 어떤 일이 발생하는지 알 수 있게 Splunk가 경고를 보낼 수 있다는 점 입니다. 일반적인 배포에서는 인덱싱 용도로 사용할 전용 하드웨어를 Splunk에 지정한 다음 범용 전달기(Universal Forwarder)와 WMI(Windows Management Instrumentation)를 함께 사용하여 엔터프라이즈의 다른 컴퓨터에서 데이 터를 수집합니다. 고려 사항 Windows 엔터프라이즈에 Splunk를 배포하려면 수많은 계획 단계가 필요합니다. 먼저, 물리적 네트워크에서 시작하여 해당 네트워크의 컴퓨터를 개별적으로 구성하는 방법에 이르기까지 엔터프라이 즈를 인벤토리해야 합니다. 다음과 같은 작업을 수행해야 합니다. 환경에 있는 컴퓨터 개수를 세고 Splunk를 설치해야 하는 컴퓨터의 서브셋을 정의합니다. 이렇게 하면 Splunk 토폴로지의 초기 프레임워크가 정의됩니다. 기본 사이트 및 원격 또는 외부 사이트에서 모두 네트워크 대역폭을 계산합니다. 이 작업을 수행하면 기본 Splunk 인스턴스를 설치할 위치와 Splunk Forwarder 설치 위치 및 사용 방식이 결정됩니다. 특히, 네트워크가 구분되는 영역에서 네트워크의 현재 상태를 평가합니다. 에지 라우터 및 스위치가 올바르게 작동해야 배포 중과 배포 후에 네트워크 성능 기준을 설정할 수 있습니다. 다음으로, 배포를 시작하기 전에 다음과 같은 질문에 대한 답을 생각해야 합니다. 컴퓨터의 어떤 데이터를 인덱싱해야 하는가? 검색, 보고, 경고하려는 것이 이 데이터의 어떤 부분인가? 이것은 배포를 고려할 때 가장 중요한 고려 사항일 것입니다. 이러한 질문에 대한 답은 다른 고려 사항을 어떻게 처리할 지 결정합니다. Splunk를 설치할 위치와 이 설치에 사용할 Splunk 유형을 결정하고, Splunk에서 잠재적으로 사 용하게 되는 컴퓨팅 및 네트워크 대역폭도 결정합니다. 네트워크가 어떻게 배치되었나? 외부 사이트 링크가 어떻게 구성되었나? 이러한 링크에 어떤 보안이 제공되는 가? 네트워크 토폴로지에 대한 완벽한 이해는 Splunk를 어떤 컴퓨터에 설치하고, 네트워크 관점에서 해당 컴퓨 터에 어떤 유형의 Splunk(인덱서 또는 Forwarder)를 설치할지 쉽게 결정할 수 있습니다. 씬 LAN 또는 WAN 링크가 있는 사이트의 경우에는 사이트 간에 전송되는 Splunk 데이터 양을 고려해야 합니다. 예를 들어, 중앙 사이트가 지사 사이트에 연결된 hub-and-spoke 유형의 네트워크인 경우에는 지사 사이트의 컴퓨터에 Forwarder를 배포하는 것이 더 좋을 수도 있습니다. 이렇게 하면 각 지사의 중간 Forwarder로 데이터가 전송됩니다. 그런 다음, 중간 Forwarder가 데이터를 중앙 사이트로 다시 보냅니다. 이 방법은 지사 사이트의 모든 컴퓨터에서 중앙 사이트의 인덱서로 데이터를 전달하는 것보다 훨씬 비용이 적게 듭니다. 파일, 인쇄 또는 데이터베이스 서비스를 사용하는 외부 사이트인 경우에는 트래픽도 고려해야 합니다. AD(Active Directory)가 어떻게 구성되었나? 도메인 컨트롤러(DC)에서 작업 마스터 역할이 어떻게 정의되었 나? 모든 도메인 컨트롤러가 중앙에 있는가? 또는 위성 사이트에 위치한 컨트롤러를 가지고 있는가? AD가 분 산되어 있는 경우 브리지헤드 서버가 올바르게 구성되었는가? ISTG(Inter-site Topology Generator) 역할 서버 가 제대로 작동하는가? Windows Server 2008 R2를 실행 중인 경우 지사 사이트에 RODC(읽기 전용 도메인 컨 트롤러)가 있는가? 해당될 경우 Splunk 및 기타 네트워크 트래픽뿐만 아니라 AD 복제 트래픽의 영향도 고려해 야 합니다. 네트워크의 서버들은 어떤 다른 역할을 하는가? Splunk 인덱서는 최고 성능으로 실행하기 위해 리소스가 필요 합니다. 다른 리소스 집약 애플리케이션이나 서비스(예: Microsoft Exchange, SQL Server, Active Directory 자 체)와 서버를 공유할 경우 해당 컴퓨터에 설치된 Splunk에 잠재적으로 문제가 발생할 수 있습니다. Splunk 인덱 서와의 서버 리소스 공유에 대한 자세한 내용은 설치 매뉴얼의 "대규모 Splunk 배포를 위한 하드웨어 용량 계 획"을 참조하십시오. 사용자들과 배포에 대해 어떻게 커뮤니케이션할 것인가? Splunk 설치는 환경이 바뀐다는 것을 의미합니다. Splunk가 어떻게 구현되었는 지에 따라 컴퓨터에 새로운 소프트웨어가 설치됩니다. 사용자들은 새로운 설치로 인해 각 사용자 컴퓨터에 문제가 발생했거나 속도가 느려졌다고 잘못 생각할 수 있습니다. 배포와 관련된 지원 문의를 줄이려면 사용자들이 변경 사항에 대해 항상 알 수 있어야 합니다. Windows 배포에서 Splunk 준비 Splunk를 기존 환경에 어떻게 배치하는 지는 Splunk에 대한 요구에 따라 다릅니다. 사용 가능한 컴퓨팅 리소스, 물리 적 레이아웃 및 네트워크 레이아웃 그리고 회사 인프라와의 균형을 맞춰야 합니다. Splunk를 배포하는 방법이 하나만 있는 것이 아니므로 따라야 할 단계별 지침이 없습니다. 그러나 준수해야 할 일반적인 지침은 있습니다. 성공적인 Splunk 배포를 위한 지침: 네트워크를 준비합니다. Splunk를 환경에 통합하기 전: 네트워크가 올바르게 작동해야 하고 모든 스위치, 라우터 및 배선이 올바르게 구성되어 있어야 합니다. 고장났거나 결함이 있는 장비는 교체합니다. 모든 VLAN(가상 LAN)이 올바르게 설정되어야 합니다. 특히, 씬 네트워크 링크가 있는 사이트 간의 네트워크 처리량을 테스트합니다. Active Directory를 준비합니다. AD가 Splunk를 실행하는 데 필수적인 사항은 아니지만 배포 전에 AD가 올바 르게 작동하는지 확인하는 것이 좋습니다. 다음과 같은 작업을 수행해야 합니다. 모든 도메인 컨트롤러 및 작업 마스터 역할 식별. 지사 사이트에 RODC가 있는 경우, 작업 마스터 도메인 23
컨트롤러에 최대한 가장 빠른 연결을 제공해야 합니다. AD 복제가 올바르게 작동하고 모든 사이트 링크에는 전역 카탈로그의 복사본이 있는 도메인 컨트롤러가 있어야 합니다. 포리스트가 여러 사이트로 나누어져 있을 경우 ISTG 역할 서버가 올바르게 작동하거나 또는 사이트에 브 리지헤드 서버(하나는 기본, 하나는 백업용)를 두 개 이상 할당해야 합니다. DNS 인프라가 올바르게 작동해야 합니다. 필요한 경우 배치 중에 최고 AD 작업 및 복제 성능을 위해 네트워크의 다른 서브넷에 도메인 컨트롤러를 배치하고 유 연한 단일 마스터 작업(FSMO 또는 작업 마스터) 역할을 수행해야 할 수도 있습니다. Splunk 배포를 정의합니다. Windows 네트워크가 올바르게 준비되었으면 이제 Splunk를 네트워크의 어디에 배치할지 결정해야 합니다. 다음 사항을 고려하십시오. 각 컴퓨터에서 Splunk가 인덱스할 데이터 집합을 결정하고, 수집한 데이터에 대한 경고를 Splunk에서 보 내야 할지 여부를 결정합니다. 가능하면 Splunk 인덱싱을 처리할 각 네트워크 세그먼트에 하나 이상의 전용 컴퓨터를 지정합니다. 분산 Splunk 배포를 위한 용량 계획에 대한 자세한 내용은 설치 매뉴얼의 "대규모 Splunk 배포를 위한 하드웨 어 용량 계획"을 참조하십시오. AD(특히, FSMO 역할을 보유한 도메인 컨트롤러), Exchange(모든 버전), SQL Server 또는 컴퓨터 가상화 제품(예: Hyper-V 또는 VMWare)과 같이 리소스 집중 서비스를 실행하는 컴퓨터에는 Splunk의 전체 버전 을 설치하지 마십시오. 대신 범용 전달기(Universal Forwarder)를 사용하거나 WMI를 통해 이러한 컴퓨터 에 연결하십시오. Windows Server 2008/2008 R2 Core를 실행 중인 경우, 컴퓨터에 Splunk를 설치할 때 Splunk Web을 사 용하여 변경할 수 있는 GUI가 없습니다. 특히, 씬 WAN 링크에서 최소한의 네트워크 리소스를 사용하도록 Splunk 레이아웃을 정리합니다. 범용 전달기(Universal Forwarder)는 유선을 통한 Splunk 관련 트래픽 양을 크게 줄입니다. 사용자에게 배포 계획을 제대로 알립니다. 배포 과정 중에 배포 상태에 대해 사용자가 알 수 있도록 하는 것이 중 요합니다. 이렇게 하면 나중에 지원 관련 문의를 많이 줄일 수 있습니다. Splunk 라이선스 관리 Splunk 라이선싱 방식 Splunk는 관리자가 지정한 소스로부터 데이터를 가져와서 Splunk에서 분석할 수 있도록 데이터를 처리합니다. 이 프 로세스를 "인덱싱"이라고 합니다. 정확한 인덱싱 프로세스에 대한 내용은 데이터 가져오기 매뉴얼의 "Splunk의 데이 터 작업"을 참조하십시오. Splunk 라이선스는 역일(라이선스 마스터 시계 기준 자정에서 다음 자정까지의 24시간)당 인덱스할 수 있는 데이터 의 양을 지정합니다. 이렇게 하려면 인덱싱을 수행하는 Splunk 인프라의 모든 호스트에 라이선스가 있어야 합니다. 라이선스가 로컬로 설 치되어 있는 독립형 인덱서를 실행하거나 또는 Splunk 인스턴스 중 하나를 라이선스 마스터로 구성하고 라이선스 슬 레이브로 구성된 다른 인덱서에서 가져와 사용할 수 있는 라이선스 풀을 설정할 수 있습니다. 볼륨 인덱싱뿐만 아니라 Splunk Enterprise의 일부 기능을 사용하려면 Enterprise 라이선스가 필요합니다. 서로 다른 라이선스 유형에 대한 자세한 내용은 이 매뉴얼의 Splunk 라이선스 유형에서 확인하십시오. 라이선스 마스터와 라이선스 슬레이브 간의 연결에 대하여 라이선스 마스터 인스턴스가 구성되었으며 라이선스 슬레이브가 추가된 경우에는 라이선스 슬레이브는 분 단위로 라 이선스 마스터에게 사용을 알립니다. 라이선스 마스터에 연결할 수 없는 경우 라이선스 슬레이브는 24시간 타이머를 시작합니다. 라이선스 슬레이브가 24시간 동안 라이선스 마스터에 연결할 수 없는 경우 (인덱싱이 계속되더라도) 라 이선스 슬레이브에 대한 검색은 차단됩니다. 슬레이브가 라이선스 마스터에 다시 연결될 때까지 사용자는 라이선스 슬레이브에 있는 인덱스의 데이터를 검색할 수 없습니다. Splunk 라이선스 수명 주기 다운로드한 Splunk 사본을 처음 설치할 경우 Splunk의 해당 인스턴스는 60일 평가판 Enterprise 라이선스를 사용합 니다. 이 라이선스로 60일 동안 Splunk의 모든 Enterprise 기능을 사용할 수 있으며 하루에 최대 500MB까지 데이터를 인덱스할 수 있습니다. 60일 평가 기간이 끝난 후 Enterprise 라이선스를 구입하여 설치하지 않으면 Splunk Free로 전환할 수 있는 옵션이 표 시됩니다. Splunk Free에는 Splunk Enterprise 기능의 하위 집합이 포함되어 있으며, 독립형 배포 및 단기간 포렌식 조사 용도로 사용할 수 있습니다. Splunk Free는 무기한으로 하루에 최대 500MB의 데이터를 인덱스할 수 있습니다. 중요: 인증 또는 예약된 검색/경고는 Splunk Free에 포함되지 않습니다. 즉, Splunk Web 또는 CLI를 통해 Splunk 설 치에 액세스하는 사용자는 자격 증명을 제공할 필요가 없습니다. 또한 예약된 저장 검색/경고는 더 이상 실행할 수 없 게 됩니다. 60일 평가 기간이 만료된 후 Splunk의 Enterprise 기능을 계속 사용하려면 Enterprise 라이선스를 구입해야 합니다. 자세히 알아보려면 Splunk 판매 담당자에게 문의하십시오. Enterprise 라이선스를 구입하고 다운로드한 후에는 Splunk 인스턴스에 이 라이선스를 설치하고 Splunk Enterprise 기능에 액세스할 수 있습니다. Enterprise 기능에 대한 자세한 내용은 이 매뉴얼의 "Splunk 라이선스 유형"을 참조하 24
십시오. Splunk 라이선스 유형 각 Splunk 인스턴스에는 라이선스가 필요합니다. Splunk 라이선스는 지정된 Splunk 인스턴스가 인덱스할 수 있는 데 이터의 양을 지정하고, 액세스할 수 있는 기능을 지정합니다. 이 항목에서는 다양한 라이선스 유형과 옵션에 대해 설 명합니다. 일반적으로 다음 네 가지 라이선스 유형이 있습니다. Enterprise 라이선스는 인증 및 분산 검색 등의 모든 엔터프라이즈 기능을 제공합니다. Free 라이선스는 인덱싱 볼륨이 제한되고, 인증 기능을 사용할 수 없습니다. Forwarder 라이선스는 데이터 전달 기능과 인증 기능을 제공하지만, 인덱스 기능은 제공하지 않습니다. Beta 라이선스는 일반적으로 엔터프라이즈 기능을 제공하지만, Splunk 베타 릴리스로 제한됩니다. 또한 이 항목에서는 분산 검색 또는 인덱스 복제를 포함하는 배포의 경우 특별 라이선스 고려 사항에 대해서도 다룹니 다. Enterprise 라이선스 Splunk Enterprise는 표준 Splunk 라이선스입니다. 이 라이선스를 통해 인증, 분산 검색, 배포 관리, 경고 예약, 역할 기 반 액세스 제어를 포함한 Splunk의 모든 엔터프라이즈 기능을 사용할 수 있습니다. Enterprise 라이선스는 구입해서 사용할 수 있으며 모든 인덱싱 볼륨이 될 수 있습니다. 자세한 내용은 Splunk 판매부에 문의하십시오. 다음은 Enterprise 라이선스의 추가 유형으로, 동일한 기능이 모두 포함되어 있습니다. Enterprise 평가판 라이선스 Splunk를 처음 다운로드하면 등록하라는 메시지가 나타납니다. 등록하면 Enterprise 평가판 라이선스를 수신하며 이 라이선스는 하루에 최대 인덱싱 볼륨 500MB를 제공합니다. Enterprise 평가판 라이선스는 Splunk 사용을 시작한 날 로부터 60일 후에 만료됩니다. Enterprise 평가판 라이선스를 사용하다가 만료되면 Splunk Free 라이선스로 전환해 야 합니다. Splunk를 설치했으면 Enterprise 평가판 라이선스가 만료될 때까지 평가판 라이선스로 Splunk를 실행할 것인지, Enterprise 라이선스를 구입할지 또는 Free 라이선스로 전환(포함되어 있음)할지 선택할 수 있습니다. 참고: Enterprise 평가판 라이선스를 "다운로드 평가판"으로도 부릅니다. Sales 평가판 라이선스 Splunk Sales를 사용할 경우 크기와 기간이 다양한 Enterprise 평가판 라이선스를 요청할 수 있습니다. 기본 평가 기 간은 60일입니다. 대규모 배포의 파일럿을 준비하고 있으며 평가판 사용 기간 동안 사용 기간 또는 인덱싱 볼륨을 늘 려야 할 경우 Splunk Sales로 문의해 주십시오. 담당자가 바로 처리해드립니다. Free 라이선스 Free 라이선스는 하루 500MB의 인덱싱 볼륨을 무료로 만료 기간 없이 제공합니다. Enterprise 라이선스 버전에서 사용할 수 있는 다음 기능은 Splunk Free에서는 사용할 수 없습니다. 다중 사용자 계정 및 역할 기반 액세스 제어 분산 검색 TCP/HTTP 형식으로 전달(다른 Splunk 인스턴스로 데이터를 전달할 수 있지만 비 Splunk 인스턴스에는 전달 할 수 없음) 배포 관리(클라이언트용으로 포함) 경고/모니터링 자세한 내용은 이 매뉴얼 후반부에 나오는 Splunk 무료 버전에 대해 알아보기를 참조하십시오. Forwarder 라이선스 이 라이선스는 데이터의 무제한 전달(인덱스 기능은 제공 안 됨)이 가능하고, 사용자 액세스에 사용자 이름 및 암호를 제공하므로 인스턴스 보안이 가능합니다. (무료 라이선스는 무제한 데이터 전달에 사용할 수 있지만 보안이 되지 않습 니다.) Forwarder 라이선스는 Splunk에 포함되어 있으므로 별도로 구입할 필요가 없습니다. Splunk는 다양한 Forwarder 옵션을 제공합니다. 범용 전달기(Universal Forwarder)는 Forwarder 라이선스가 자동으로 적용되어 있으므로, 설치 후에 추가 작업 이 필요하지 않습니다. 경량형 전달기(Light Forwarder)도 동일한 라이선스를 사용하지만, Forwarder 라이선스 그룹으로 변경하여 직 접 라이선스를 활성화해야 합니다. 중량형 전달기(Heavy Forwarder)도 Forwarder 라이선스 그룹으로 직접 변환해야 합니다. 인덱싱 작업을 수행 할 경우 Enterprise 라이선스 스택에 대한 액세스가 필요합니다. Splunk 라이선스 용어에 대한 자세한 내용은 이 25
매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. Beta 라이선스 Splunk Beta 릴리스는 다른 Splunk 릴리스와 호환되지 않는 다른 라이선스가 필요합니다. 또한 Splunk Beta 릴리스 를 평가할 경우 Free 또는 Enterprise 라이선스로는 실행되지 않습니다. Beta 라이선스는 일반적으로 Enterprise 기능 을 제공하지만 Beta 릴리스로 제한됩니다. Splunk Beta 버전을 평가하는 경우 자체 라이선스가 함께 제공됩니다. 검색 헤드(분산 검색)를 위한 라이선스 검색 헤드는 검색을 다른 Splunk 인덱서로 배포하는 Splunk 인스턴스입니다. 검색 헤드는 일반적으로 데이터를 로컬 에서 인덱스하지 않지만, 여전히 액세스를 제한하기 위해 라이선스를 사용하고자 합니다. 검색 헤드에는 특수 라이선스 유형인 "검색 헤드 라이선스"가 없습니다. 그러나 검색 헤드를 구성하려면 Enterprise 라이선스가 필요하며 검색 헤드의 라이선싱은 Splunk 버전에 따라 다릅니다. 4.2 이전 버전의 Splunk는 각 검색 헤드에 대한 Forwarder 별도 라이선스를 사용할 것을 권장했습니다. 그 이유 는 Forwarder 라이선스가 인덱스를 허용하지 않고 검색 헤드 액세스에 대한 인증을 요구하기 때문입니다. 4.2 이후 버전의 Splunk는 각 피어에 별도 라이선스를 할당하는 대신 데이터를 인덱싱할 필요가 없는 경우에도 Enterprise 라이선스 풀에 검색 헤드를 추가하는 것을 권장합니다. 자세한 내용은 "그룹, 스택, 풀 및 기타 용어" 및 "라이선스 풀 만들기 또는 편집"에서 확인하십시오. 참고: 기존 검색 헤드에 4.2 이전 버전의 Forwarder 라이선스가 설치된 경우 업그레이드 후에는 이 Forwarder 라이선 스가 인식되지 않습니다. 클러스터 구성원을 위한 라이선스(인덱스 복제용) 어떤 Splunk 배포에서도 인덱서가 처리하는 데이터 볼륨에 따라 라이선스 요구 사항이 달라집니다. 추가 라이선스 볼 륨 구입은 Splunk 판매 담당자에게 문의하십시오. 인덱스 복제와 관련하여 다음과 같은 라이선스 문제가 있습니다. 마스터, 피어 및 검색 헤드를 포함한 모든 클러스터 구성원은 데이터를 인덱싱할 필요가 없는 경우에도 Enterprise 라이선스가 필요합니다. 클러스터 구성원은 동일한 라이선싱 구성을 공유해야 합니다. 수신 데이터만 라이선스로 카운트되고, 복제 데이터는 카운트되지 않습니다. Free 라이선스에서는 인덱스 복제를 사용할 수 없습니다. 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "시스템 요구 사항 및 기타 배포 고려 사항"에서 확인하십시오. 그룹, 스택, 풀 및 기타 용어 Splunk의 라이선싱 기능은 4.2 버전부터 많이 변경되었습니다. 호환되는 라이선스를 사용 가능한 라이선스 볼륨 스택 에 집계할 수 있고, 인덱서 풀을 정의하여 지정된 스택의 라이선스 볼륨을 사용할 수 있습니다. Splunk Free 사용자: 이 기능은 Enterprise 라이선스에만 해당됩니다. 독립형 인스턴스 Splunk Free를 사용하는 경우 에는 그룹, 풀 및 스택이 필요하지 않습니다. 풀 4.2 버전부터는 지정된 라이선스 스택에서 라이선스 볼륨의 풀을 정의할 수 있으며, 다른 인덱싱 Splunk 인스턴스를 볼륨 사용 및 추적을 위한 풀의 구성원으로 지정할 수 있습니다. 라이선스 풀은 단일 라이선스 마스터로 구성되며, Splunk의 0개 이상의 라이선스 슬레이브 인스턴스가 집합 라이선 26
스 또는 라이선스 스택의 라이선싱 볼륨을 사용하도록 구성됩니다. 스택 4.2 버전부터는 특정 유형의 Splunk 라이선스를 함께 집계하거나, 스택으로 쌓아둘 수 있습니다. 따라서 사용 가능한 라이선스 볼륨은 개별 라이선스 볼륨의 합계가 됩니다. 즉, 시간이 지남에 따라 필요한 경우 라이선스를 바꾸지 않고도 인덱스 볼륨 용량을 늘릴 수 있습니다. 대신 추가 용량 을 구입하여 해당 스택에 추가해야 합니다. 그룹 Enterprise 라이선스와 Sales 평가판 라이선스는 같이 서로 스택할 수 있습니다. 표준 Splunk 다운로드 패키지가 함께 포함되어 있는 Enterprise *평가판* 라이선스는 한 스택에 포함될 수 없습 니다. Enterprise 평가판 라이선스는 독립형으로 사용할 수 있으며 자체 그룹입니다. Enterprise 또는 판매용 평 가판 라이선스를 설치하기 전까지 스택을 만들거나 사용할 다른 인덱서의 풀을 정의할 수 없습니다. Splunk Free 라이선스는 Splunk Free 라이선스를 포함하여 다른 라이선스와 함께 스택할 수 없습니다. Forwarder 라이선스는 Forwarder 라이선스를 포함하여 다른 라이선스와 함께 스택할 수 없습니다. 라이선스 그룹에는 하나 이상의 스택이 포함됩니다. 스택은 하나의 그룹에만 속하는 구성원이므로 Splunk를 설치할 때 하나의 그룹만 "활성" 상태가 될 수 있습니다. 특히 이것은 지정된 라이선스 마스터가 한 번에 하나의 그룹 유형에 속하는 라이선스 풀만 관리할 수 있음을 의미합니다. 그룹은 다음과 같습니다. Enterprise/Sales 평가판 그룹 - 이 그룹은 구입한 Enterprise 라이선스와 Sales 평가판 라이선스(이것은 만료 기 한이 설정된 Enterprise 라이선스이며, 다운로드한 Enterprise 평가판과 동일한 라이선스가 아님)를 스택할 수 있습니다. Enterprise 평가판 그룹 - 이 그룹은 새 Splunk 인스턴스를 처음 설치할 경우 기본 그룹입니다. 여러 Enterprise 평가판 라이선스를 하나의 스택으로 결합하여 풀을 만들 수 없습니다. 다른 그룹으로 전환할 경우 Enterprise 평가판 그룹으로 다시 전환할 수 없게 됩니다. Free 그룹 - 이 그룹은 Splunk Free 설치를 수용하는 데 필요합니다. Enterprise 평가판 라이선스가 60일 후에 만 료될 경우 해당 Splunk 인스턴스는 Free 그룹으로 전환됩니다. 여러 Splunk Free 라이선스를 하나의 스택으로 결합하여 풀을 만들 수 없습니다. Forwarder 그룹 - 이 그룹은 Splunk를 범용 전달기(Universal Forwarder) 또는 경량형 전달기(Light Forwarder) 로 구성하는 데 필요합니다. 이러한 유형의 Forwarder는 인덱스를 수행하지 않습니다. 따라서 관리자의 라이선 싱 페이지를 통해 관리되지 않고 라이선스 그룹에 속하게 됩니다. Splunk 인스턴스의 라이선스 그룹을 Forwarder 그룹으로 변경할 경우 Splunk 인스턴스는 Forwarder로 구성되고 데이터를 인덱스하지 않는다고 가 정합니다. 자세한 내용은 Forwarder 및 "Forwarder 라이선스"를 참조하십시오. 라이선스 슬레이브 라이선스 슬레이브는 하나 이상의 라이선스 풀의 구성원입니다. 라이선스 볼륨에 대한 라이선스 슬레이브 액세스는 라이선스 마스터에 의해 제어됩니다. 라이선스 마스터 라이선스 마스터는 하나 이상의 라이선스 슬레이브를 제어합니다. 라이선스 마스터에서 풀을 정의하고 라이선싱 용 량을 추가하며 라이선스 슬레이브를 관리할 수 있습니다. 라이선스 설치 이 항목에서는 새 라이선스 설치에 대해 설명합니다. Splunk 라이선스 마스터에 여러 라이선스를 설치할 수 있습니 다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 새 라이선스 추가 새 라이선스를 추가하려면: 1. 관리자 > 라이선싱으로 이동합니다. 2. 라이선스 추가를 클릭합니다. 27
3. 파일 선택을 클릭하고 라이선스 파일을 찾아서 선택합니다. 또는 라이선스 XML을 직접 복사하여 붙여넣습니다를 클릭하여 라이선스 파일 내용을 제공된 필드에 붙여넣습니다. 4. 설치를 클릭합니다. Enterprise 라이선스를 처음 설치하는 경우 Splunk를 재시작해야 합니다. 라이선스가 설치되었 습니다. 라이선스 마스터 구성 이 항목에서는 Splunk 인스턴스를 라이선스 마스터로 구성하는 것에 대해 설명합니다. 계속하기 전에 다음 항목을 참 조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 라이선스 마스터 종류 다음과 같은 두 가지 기본 스타일의 라이선스 마스터가 있습니다. 독립형 라이선스 마스터 단일 Splunk 인덱서가 있는 경우 이 인덱서의 라이선스를 관리하려면 이 Splunk 인덱서를 라이선스 마스 터로 실행하고 이 Splunk 인덱서에 Enterprise 라이선스를 하나 이상 설치하십시오. 그러면 단일 Splunk 인덱서가 라이선스 슬레이브로 자체 관리합니다. Splunk를 처음 다운로드하고 설치하면 500MB 60일 Enterprise 평가판 라이선스가 포함되어 있습니다. Splunk의 이 인스턴스는 독립형 라이선스 마스터로 자동 구성되며 이 유형의 라이선스에 대해서는 풀을 만들거나 라이선스 슬레이브를 정의할 수 없습니다. 하나 이상의 스택 또는 풀을 만들고 여러 인덱서를 할 당하려면 Enterprise 라이선스를 구입하여 설치해야 합니다. 라이선스를 설치하려면 이 매뉴얼의 "라이선 스 설치" 설명을 참조하십시오. 중앙 라이선스 마스터 둘 이상의 인덱서가 있으며 구입한 라이선스 용량에 대한 액세스를 중앙 위치에서 관리하려면 중앙 라이 선스 마스터를 구성하고 인덱서를 라이선스 슬레이브로 마스터에 추가해야 합니다. 라이선스 마스터가 인덱서인 경우에도 이것은 자체 라이선스 마스터가 되지만, 검색 헤드가 있는 경우에 는 이것을 라이선스 마스터로 지정하는 것이 좋습니다. 검색 헤드가 여러 개인 대규모 환경에서는 다음 두 가지 이유에서 라이선스 마스터가 아닌 일부 또는 전체 검색 헤드를 라이선스 마스터에 검색 분산을 수행해야 합니다. 라이선스 로그에 대해 검색을 실행할 수 있습니다. 시간 기반 라이선스를 가진 상태에서 5일 안에 만료되는 경우와 같은 드문 조건이 검색 헤드에서 발 생할 경우, 검색이 실행될 때 검색 결과에 첨부되는 정보 메시지의 일부로 이 조건이 해당 검색 헤드 에 표시됩니다. 중앙 라이선스 마스터 구성 기본적으로 Splunk의 독립형 인스턴스는 자체 라이선스 마스터입니다. 중앙 라이선스 마스터를 구성하려면 하나 이 상의 Enterprise 라이선스를 설치하십시오. Enterprise 라이선스를 설치했으면 하나 이상의 스택 및 풀을 생성하여 설치된 라이선스에 액세스할 수 있으며, 라이 선스 마스터에서 이를 관리할 수 있습니다. 라이선스 슬레이브 구성 이 항목에서는 Splunk 인덱서를 라이선스 슬레이브로 구성하는 방법에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 라이선스 마스터를 설정하는 방법은 이 매뉴얼의 "라이선스 마스터 구성"에서 확인하십시오. 명령줄에서 이러한 작업 수행에 대한 도움이 필요하면 이 매뉴얼의 "CLI를 통해 라이선스 관리"에서 확인하십 시오. 1. 라이선스 슬레이브로 구성할 인덱서에서 Splunk Web에 로그인한 후 관리자 > 라이선싱으로 이동합니다. 2. 슬레이브로 변경을 클릭합니다. 3. 이 Splunk 인스턴스 <이 인덱서>을(를) 마스터 라이선스 서버로 지정 라디오 단추를 선택 취소하고 다른 Splunk 인스턴스를 마스터 라이선스 서버로 지정을 선택합니다. 4. 이 라이선스 슬레이브가 보고할 라이선스 마스터를 지정합니다. IP 주소 또는 호스트 이름과 Splunk 관리 포트를 입력해야 합니다. 이 관리 포트는 기본적으로 8089입니다. 참고: IP 주소는 IPv4 또는 IPv6 형식으로 지정할 수 있습니다. IPv6 지원에 대한 자세한 내용은 이 매뉴얼의 "IPv6용 28
Splunk 구성"을 확인하십시오. 5. 저장을 클릭합니다. 이 인스턴스에 Enterprise 라이선스를 아직 설치하지 않은 경우 Splunk를 재시작해야 합니다. 이제 이 인덱서가 라이선스 슬레이브로 구성됩니다. 다시 전환하려면 관리자 > 라이선싱으로 이동하고 로컬 마스터로 전환을 클릭합니다. 이 인스턴스에 Enterprise 라이 선스를 아직 설치하지 않은 경우 이 변경 사항을 적용하려면 Splunk를 재시작해야 합니다. 라이선스 풀 만들기 또는 편집 이 항목에서는 설치된 하나 이상의 라이선스에서 라이선스 풀 만들기와 기존 라이선스 풀을 편집하는 방법에 대해 설 명합니다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 라이선스 설치에 대해 자세히 알아보려면 "라이선스 설치"에서 확인하십시오. 명령줄에서 이러한 작업 수행에 대한 도움이 필요하면 이 매뉴얼의 "CLI를 통해 라이선스 관리"에서 확인하십 시오. Splunk를 처음 다운로드하고 설치하면 500MB 60일 Enterprise 평가판 라이선스가 포함되어 있습니다. Splunk의 이 인스턴스는 독립형 라이선스 마스터로 자동 구성되며 이 유형의 라이선스에 대해서는 풀을 만들거나 라이선스 슬레 이브를 정의할 수 없습니다. 하나 이상의 스택 또는 풀을 만들고 여러 인덱서를 할당하려면 Enterprise 라이선스를 구 입하여 설치해야 합니다. 다음 예제에서는 5MB Enterprise 라이선스가 새로운 Splunk 설치에 설치되었습니다. 새로운 Splunk 서버에 Enterprise 라이선스를 설치할 경우 Splunk는 Enterprise 라이선스 스택(또는 Splunk 29
Enterprise Stack)을 자동으로 만들고 해당 기본 라이선스 풀(auto_generated_pool_enterprise)을 정의합니다. 이 기본 풀에 대한 기본 구성은 이 라이선스 마스터에 연결된 모든 라이선스 슬레이브를 풀에 추가합니다. 풀을 편집 하여 이 구성을 변경하거나 풀에 인덱서를 더 많이 추가하거나 이 스택에서 새로운 라이선스 풀을 만들 수 있습니다. 기존 라이선스 풀을 편집하려면 1. 편집할 라이선스 풀 옆에 있는 편집을 클릭합니다. 라이선스 풀 편집 페이지가 나타납니다. 2. 할당을 변경하거나 인덱서가 이 풀에 액세스하는 방식을 변경할 수 있습니다. 풀 이름은 변경할 수 없지만 설명은 변경할 수 있습니다. 3. 제출을 클릭합니다. 새 라이선스 풀을 만드는 방법 중요: 기본 Enterprise 스택에서 새 라이선스 풀을 만들려면 먼저 auto_generated_pool_enterprise 풀을 편집하고 풀 할 당을 줄이거나 풀 전체를 삭제하여 사용 가능한 인덱스 볼륨을 확보하십시오. 풀 이름 옆에 있는 삭제를 클릭하여 해 당 풀을 삭제하십시오. 1. 를 클릭합니다. 새 라이선스 풀 만들기 페이지가 나타납니다. 2. 풀의 이름을 지정하고 설명(옵션)을 입력합니다. 3. 이 풀의 할당을 설정합니다. 이 할당은 전체 스택 라이선싱 볼륨 중에서 이 풀에 속하는 인덱서가 사용할 수 있는 볼 륨을 지정합니다. 이 할당은 특정 값으로 지정될 수 있고, 다른 풀에 할당되지 않은 경우에는 해당 스택에서 사용 가능 한 전체 인덱스 볼륨이 이 값이 될 수 있습니다. 4. 인덱스가 이 풀에 액세스하는 방식을 지정합니다. 다음 옵션이 있습니다. 라이선스 슬레이브로 구성된 환경의 인덱서는 이 라이선스 풀에 연결하여 이 풀 내에서 라이선스 할당을 사용할 수 있습니다. 지정한 인덱서만 이 풀에 연결할 수 있으며 이 풀 내에서 라이선스 할당을 사용할 수 있습니다. 5. 허용할 인덱서를 지정하려면 사용 가능한 인덱서 리스트에서 인덱서 이름 옆에 있는 더하기 기호를 클릭합니다. 해 당 인덱서가 연결된 인덱서 리스트로 이동합니다. 라이선스 풀에 인덱스 추가 이 항목에서는 기존 라이선스 풀에 인덱서를 추가하는 방법에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하십 시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 인덱서가 라이선스 풀에 액세스하는 방식 라이선스 풀의 스택에 대한 액세스는 해당 풀의 라이선스 마스터에 의해 제어됩니다. 특정 인덱서에게만 액세스를 허 용하도록 풀을 구성하거나, 라이선스 마스터의 URI와 관리 포트를 지정하여, 이와 연결된 인덱서에 대한 액세스는 모 두 허용하도록 구성할 수 있습니다. 특정 인덱서 추가 지정된 라이선스 풀의 스택에 대한 특정 인덱서의 액세스를 허용하려면 다음 기본적인 두 단계를 수행하십시오. 1. 인덱서를 라이선스 슬레이브로 구성하고 인덱서에 라이선스 마스터의 URI와 관리 포트를 지정합니다. 자세한 내용 30
1. 인덱서를 라이선스 슬레이브로 구성하고 인덱서에 라이선스 마스터의 URI와 관리 포트를 지정합니다. 자세한 내용 은 이 매뉴얼의 "라이선스 슬레이브 구성" 지침에 따르십시오. 2. 인덱서에서 액세스를 허용하도록 라이선스 관리자에서 풀을 구성합니다. 이 작업을 수행하려면 "라이선스 풀 만들 기 또는 편집" 지침에 따라 라이선스 풀을 편집하고 특정 인덱서에 대한 액세스만 허용하도록 라디오 단추 옵션을 선 택한 후 "사용 가능한 인덱서" 리스트에서 인덱서 이름 옆의 더하기 기호를 클릭하여 "연결된 인덱서" 리스트로 이동 시키십시오. 연결된 모든 인덱서 추가 다음 단계에 따라 이 라이선스 마스터에 연결된 모든 인덱서에 라이선스 풀 스택에 대한 액세스를 제공하십시오. 1. 인덱서를 라이선스 슬레이브로 구성하고 인덱서에 라이선스 마스터의 URI와 관리 포트를 지정합니다. 자세한 내용 은 이 매뉴얼의 "라이선스 슬레이브 구성" 지침에 따르십시오. 2. 인덱서에서 액세스를 허용하도록 라이선스 관리자에서 풀을 구성합니다. 이 작업을 수행하려면 "라이선스 풀 만들 기 또는 편집" 지침에 따라 라이선스 풀을 편집하고 연결하는 임의 인덱서에 대한 액세스를 허용하는 라디오 단추 옵 션을 선택하십시오. 라이선스 관리 이 항목에서는 Splunk 라이선스 관리에 대해 설명합니다. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 명령줄에서 이러한 작업 수행에 대한 도움이 필요하면 이 매뉴얼의 "CLI를 통해 라이선스 관리"에서 확인하십 시오. 라이선스 삭제 라이선스가 만료되면 해당 라이선스를 삭제할 수 있습니다. 하나 이상의 라이선스를 삭제하려면 다음 작업을 수행하 십시오. 1. 라이선스 마스터에서 관리자 > 라이선싱으로 이동합니다. 2. 삭제할 라이선스 옆의 삭제를 클릭합니다. 3. 삭제를 클릭하여 다시 확인합니다. 참고: 라이선스 마스터에서 라이선스 리스트 중 마지막 라이선스는 삭제할 수 없습니다. 라이선스 사용량 보기 Splunk 배포 모니터 앱을 통해 라이선스 사용량을 모니터링할 수 있습니다. 이 배포 모니터의 라이선스 사용량 페이 지에는 다양한 내역 정보가 표시됩니다. 그리고 라이선스 보고서 페이지에서는 60일 기간 동안 일별 라이선스 사용량 에 대한 세부정보를 제공합니다. 배포 모니터 앱에 대해 자세히 알아보고 이 앱이 라이선스 사용량을 모니터링하는 데 어떻게 도움이 되는지 알아보려 면 Splunk 배포 모니터 앱 배포 및 사용 매뉴얼을 읽어보십시오. 라이선스 위반에 대하여 이 항목에서는 라이선스 위반이 어떤 것이며, 어떤 경우에 발생하고 어떻게 해결하는지 설명합니다. 계속하기 전에 다 음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 라이선스 위반 및 경고의 정의 라이선스가 허용하는 최대 인덱스 볼륨을 초과할 때 위반이 발생합니다. 역일(자정에서 다음 자정까지의 24시간)의 라이선스 일별 볼륨을 초과할 경우 위반 경고가 발생합니다. 이 메시지는 14일간 나타납니다. 30일 기간 동안 계속 Enterprise 라이선스에서 5개 이상의 경고가 발생하거나 Free 라이선스에서 3개의 경고가 발생할 경우 라이선스 위 반에 해당됩니다. 이 경우 문제가 되는 풀은 검색할 수 없지만 다른 풀은 계속 검색할 수 있고 영향을 받지 않습니다. 이전 30일 동안 경고가 5개보다 적거나(Enterprise), 3개보다 적을 때(Free) 또는 임시 Reset 라이선스(Enterprise만 해당됨)를 적용할 경우에는 검색 기능을 다시 사용할 수 있습니다. Reset 라이선스를 받으려면 판매 담당자에게 문의 하십시오. 라이선스는 라이선스 적용 지침이 함께 제공됩니다. 31
참고: 라이선스 위반이 발생하더라도 요약 인덱싱 볼륨은 라이선스에 카운트되지 않습니다. 요약 인덱싱은 내부가 아 닌 다른 검색 동작을 중지합니다. 위반 경고가 발생할 경우 라이선스 마스터가 자정까지 이 경고를 해결하면 30일 기간 내에 총 경고 수로 카운트되지 않습니다. 라이선스 위반 기간 중에는 다음에 유의하십시오. Splunk는 데이터 인덱싱을 중지하지 않습니다. 라이선스를 초과할 경우에만 검색이 차단됩니다. _internal 인덱스는 검색할 수 없습니다. 즉, 인덱스 상태 대시보드에는 계속 액세스할 수 있으며 _internal에 대 한 검색을 통해 라이선스 문제를 진단할 수도 있음을 의미합니다. 라이선스 경고 표시 풀에 있는 인덱서가 해당 풀에 할당된 라이선스 볼륨을 초과할 경우 Splunk Web 상단에 노란색 경고 배너가 표시됩 니다. 배너에 나온 링크를 클릭하면 관리자 > 라이선싱으로 이동됩니다. 이 페이지의 경고 섹션 아래 경고가 표시됩니다. 경 고를 클릭하면 자세한 정보가 나타납니다. 위반이 발생하면 라이선스 슬레이브에도 비슷한 배너가 표시됩니다. 다음은 라이선싱 경고가 생성되는 몇 가지 조건입니다. 슬레이브가 고아가 되면 경고(자정 전까지는 수정 가능한 일시적 오류)가 발생합니다. 풀이 용량을 초과하면 경고(자정 전까지는 수정 가능한 일시적 오류)가 발생합니다. 스택이 최대 용량을 초과하면 경고(자정 전까지는 수정 가능한 일시적 오류)가 발생합니다. 하나 이상의 슬레이브에 경고가 발생하면 이 경고가 마지막 30일 기간 동안 계속 유효하다면 경고가 계속 나타 납니다. 라이선스 마스터와 라이선스 슬레이브 간의 연결에 대하여 라이선스 마스터 인스턴스가 구성되었으며 라이선스 슬레이브가 추가된 경우에는 라이선스 슬레이브는 분 단위로 라 이선스 마스터에게 사용을 알립니다. 라이선스 마스터에 연결할 수 없는 경우 라이선스 슬레이브는 24시간 타이머를 시작합니다. 라이선스 슬레이브가 24시간 동안 라이선스 마스터에 연결할 수 없는 경우 (인덱싱이 계속되더라도) 라 이선스 슬레이브에 대한 검색은 차단됩니다. 슬레이브가 라이선스 마스터에 다시 연결될 때까지 사용자는 라이선스 슬레이브에 있는 인덱스의 데이터를 검색할 수 없습니다. 라이선스 슬레이브가 라이선스 마스터에 도달하지 못했는지 알아보려면 splunkd.log에서 failed to transfer rows가 포함된 이벤트를 검색하거나 내부 인덱스에서 검색하십시오. 라이선스 위반을 방지하는 방법 라이선스 위반을 방지하려면 라이선스 사용량을 모니터링하여 충분한 라이선스 볼륨을 항상 유지해야 합니다. 라이 선스 볼륨이 충분하지 않을 경우 라이선스를 늘리거나 인덱싱 볼륨을 줄여야 합니다. 다음은 라이선스 사용량 모니터링을 위한 몇 가지 옵션입니다. 배포 모니터에서 라이선스 사용량 탭을 통해 현재 배포에서 라이선스 용량이 어떻게 사용되고 있는지 확인할 수 있습니다. 자세한 내용은 이 매뉴얼의 "라이선스 관리"를 확인하십시오. 관리자 > 라이선싱으로 이동하여 라이선스 경고 및 위반 사항 등의 라이선스 세부정보를 표시합니다. 인프라의 인덱스 볼륨에 대한 세부정보를 보려면 검색 앱에서 "볼륨 인덱스" 상태 대시보드를 사용하십시오. 개 요에는 사용자 라이선스에 포함되지 않는 내부 인덱싱이 포함됩니다. 볼륨 인덱스 상태 대시보드 액세스 "볼륨 인덱스" 대시보드를 보려면: 1. Splunk Web에 로그인하고 검색 앱으로 이동합니다. 2. 상태 > 인덱스 작업 > 볼륨 인덱스를 클릭합니다. 3. 서버, "분할 기준" 옵션(source, source type, index 또는 host별 볼륨 인덱스를 보기 위해) 및 시간 범위를 선택합니 다. 대시보드는 결과를 자동으로 재로드하고 업데이트합니다. 4. 더 자세히 드릴다운하려면 리스트에서 해당 행을 클릭합니다. 여기서 시간 표시줄의 이벤트를 볼 수 있습니다. 이벤 트 페이지를 보려면 시간 표시줄에서 해당 막대를 클릭합니다. 32
라이선스 위반 문제 해결 이 커뮤니티 위키 항목은 인덱스된 데이터 볼륨의 문제를 해결하는 데 도움이 됩니다. 답변 질문이 있으십니까? Splunk 응답 페이지에 가면 라이선스 위반과 관련하여 Splunk 커뮤니티에서 올린 질문과 답변을 볼 수 있습니다. 새로운 Splunk 라이선서로 마이그레이션 이 항목에서는 4.2 이전 Splunk 배포에서 새로운 (4.2+) 라이선서 모델로 라이선스 구성을 마이그레이션하는 방법에 대해 설명합니다. 이 항목에서 Splunk 전체 배포에 대한 마이그레이션을 모두 설명하지는 않습니다. Splunk 배포를 마이그레이션하기 전에 설치 매뉴얼에서 이 마이그레이션 항목의 내용을 읽어보십시오. 계속하기 전에 다음 항목을 참조하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 이전 라이선스 이전 버전에서 마이그레이션하는 경우는 대부분 다음 두 가지 범주 중 하나에 해당됩니다. 현재 Splunk 4.0 이상을 실행하는 경우 라이선스는 4.2에서 작동합니다. 4.0 이전 버전에서 마이그레이션할 경우 Splunk 판매부 담당자에게 연락하여 새 라이선스를 받아야 합니다. 이 마이그레이션을 계속하기 전에 해당 마이그레이션 매뉴얼을 읽어보는 것이 좋습니다. Splunk 버전에 따라 구성 을 유지 관리하기 위해 여러 단계로 마이그레이션할 수 있습니다. 검색 헤드 마이그레이션 검색 헤드가 이전 Forwarder 라이선스를 사용하는 경우 다운로드 평가판 그룹으로 자동 전환됩니다. 계속하기 전에 설정된 Enterprise 라이선스 풀에 검색 헤드를 추가하는 것이 좋습니다. 독립형 인스턴스 마이그레이션 단일 4.1.x Splunk 인덱서를 사용할 경우 단일 라이선스가 설치되어 있으면 업그레이드하여 계속 사용하시면 됩니다. 해당 플랫폼용 설치 매뉴얼 지침을 따르십시오. "먼저 읽을 내용" 설명서를 먼저 읽어보시기 바랍니다. 33
기존 라이선스가 새 라이선서에서 작동하고 기본 풀 구성원으로서 인덱서와 함께 유효한 스택을 보여줍니다. 분산 인덱싱 배포 마이그레이션 자체 라이선스를 가진 4.1.x 인덱서가 여러 개 있는 경우 배포를 마이그레이션하려면 아래 단계를 순서대로 수행하십 시오. Splunk 인스턴스 중 하나를 라이선스 마스터로 지정합니다. 검색 헤드를 가지고 있다면 검색 헤드를 사용하는 것이 좋습니다. 설치 매뉴얼의 표준 지침에 따라 선택한 Splunk 인스턴스를 라이선스 마스터로 설치하거나 업그레이드합니다. 원하는 경우 인덱서의 연결을 허용하도록 라이선스 마스터를 구성합니다. 한 번에 하나씩 각 인덱서를 업그레이드합니다. 다음 단계를 수행하십시오. 설치 매뉴얼의 지침에 따라 인덱서를 4.2로 업그레이드합니다. 다음 단계를 수행하기 전까지는 독립형 라 이선스 마스터로 작동합니다. 인덱서의 Enterprise 라이선스 파일(4.2 이전 라이선스 파일은 각 인덱서의 $SPLUNK_HOME/etc/splunk.license에 있음)의 사본을 만들어 라이선스 마스터에 설치합니다. 인덱서를 추가 할 스택과 풀에 사본이 추가됩니다. 인덱서를 라이선스 슬레이브로 구성하고 라이선스 마스터를 지정합니다. 라이선스 마스터에서 관리자 > 라이선싱으로 이동하여 해당 풀에 연결된 인덱서 리스트를 확인하여 라이 선스 슬레이브가 올바르게 연결되어 있는지 확인합니다. 라이선스 슬레이브가 올바르게 연결되어 있으면 동일한 단계에 따라 다음 인덱서를 계속 업그레이드합니 다. Forwarder 마이그레이션 경량형 전달기(Light Forwarder)를 배포한 경우 새 분산 배포 매뉴얼의 이 장에서 새로운 범용 전달기(Universal Forwarder)에 대한 정보를 참조하십시오. 범용 전달기(Universal Forwarder)에는 자체 라이선스가 포함되어 있기 때 문에 특별한 라이선스 구성 없이 기존 경량형 전달기(Light Forwarder)를 새로운 범용 전달기(Universal Forwarder)로 업그레이드할 수 있습니다. 중량형 전달기(Heavy Forwarder)(다른 Splunk 인스턴스로 전달하기 전에 인덱싱을 수행하는 Splunk의 전체 인스턴 스)를 배포한 경우 인덱서와 비슷하게 처리하면 됩니다. 즉, 다른 인덱서와 함께 라이선스 풀에 추가하십시오. Splunk Free 추가 정보 Splunk Free는 Splunk의 무료 버전으로, 하루에 최대 500MB를 인덱스할 수 있고 만료 기한이 없습니다. 이 500MB 제한은 하루에 추가(인덱싱)할 수 있는 새 데이터의 양이지만, 매일 더 많은 데이터를 추가하여 유지할 수 있으며 원하 는 만큼 저장할 수 있습니다. 예를 들어, 하루에 500MB 데이터를 추가할 수 있으며 최종적으로 Splunk에 10TB 데이 터를 저장할 수 있습니다. 하루에 500MB보다 많은 데이터가 필요한 경우 라이선스를 구입해야 합니다. Splunk는 라이선스 위반을 추적하여 라이선스 사용을 규제합니다. 30일간 4번 이상 1일 500MB 제한을 초과할 경우, Splunk는 데이터를 계속 인덱스하지만 30일 기간 동안 3번 이하로 경고 수를 줄일 때까지 검색을 사용할 수 없습니다. 적합한 용도 Splunk Free는 IT 데이터의 개인, 임시 검색 및 시각화에 적합합니다. 하루 500MB 미만의 작은 볼륨의 데이터 인덱스 가 계속 있는 경우에는 Splunk Free를 사용할 수 있습니다. 또한 대용량 데이터 집합의 단기간 대량 로드 및 분석에 사 용할 수 있으며, Splunk Free는 30일 기간 동안 최대 3번까지 대용량 데이터 집합의 대량 로드를 허용합니다. 이 기능 은 대용량 데이터 집합의 포렌식 검토에 사용할 수 있습니다. 포함된 기능 Splunk Free는 단일 사용자 제품으로, 다음을 제외한 Splunk의 모든 기능이 지원됩니다. 여러 사용자 계정 및 역할 기반 액세스 제어(Splunk Free 사용 시 인증 없음) 분산 검색 TCP/HTTP 형식으로 전달(다른 Splunk 인스턴스로 데이터를 전달할 수 있지만 비 Splunk 인스턴스에는 전달 할 수 없음) 배포 관리 경고/모니터링 Free 인스턴스를 (Splunk 인덱서에 대한) Forwarder로 사용할 수는 있지만 배포 서버의 클라이언트로 지정할 수는 없 습니다. 인증 및 액세스 제어가 없다는 것은 무슨 의미입니까? 로그인이 없다는 뜻입니다. 명령줄 또는 브라우저에서 사용자/암호 프롬프트 없이 Splunk의 모든 기능을 액세 스하고 제어할 수 있습니다. 관리자와 동일하게 모든 액세스가 가능하고 관리자 역할만 있으며 구성 불가능합니다. 더 많은 역할을 추가하거 나 사용자 계정을 만들 수 없습니다. 모든 공용 인덱스에서 검색이 실행됩니다('index=*'). 사용자 할당량, 최대 검색별 시간 범위, 검색 필터와 같은 검색 제한 기능은 지원되지 않습니다. 기능 시스템이 비활성화되어 있지만 Splunk에 액세스하는 모든 사용자에 대한 모든 기능은 활성화되어 있습니 다. 34
Enterprise 평가판 라이선스에서 Free 라이선스로 전환 Splunk를 처음 다운로드하고 설치하면 Enterprise 평가판 라이선스를 자동으로 사용하게 됩니다. 사용자의 요구 사항 에 따라 Enterprise 평가판 라이선스가 만료될 때까지 Enterprise 평가판을 계속 사용하거나 Free 라이선스로 전환할 수 있습니다. Free 라이선스로 전환할 때 알아야 할 사항 Splunk Enterprise 평가판을 사용하면 Splunk Free에서 사용할 수 없는 많은 기능에 액세스할 수 있습니다. Free 라이 선스로 전환할 경우 다음 내용을 참고하십시오. 평가판에서 만든 사용자 계정이나 역할은 더 이상 사용할 수 없습니다. Free 인스턴스로 연결하는 사용자는 모두 '관리자'로 자동 로그인됩니다. 업데이트 확인은 표시되지만 로그인 화면은 더 이상 나타나지 않습니다. '관리자'가 아닌 사용자가 만든 Knowledge Object(예: event type, transaction, source type 정의) 및 전역 공유되 지 않은 개체는 사용할 수 없습니다. Splunk Free로 전환한 후에도 이러한 Knowledge Object를 계속 사용하려 면 다음 작업 중 하나를 수행하십시오. Free로 전환하기 전에 이 항목의 지침에 따라 관리자를 사용하여 해당 Knowledge Object를 전역으로 사 용할 수 있도록 승격합니다. 해당 Knowledge Object를 승격하려면 여기에 나온 설명대로 구성 파일을 직접 편집합니다. 대시보드 및 요약 인덱싱을 위해 실행할 검색을 계속 예약할 수는 있지만 정의한 경고는 더 이상 작동하지 않습 니다. Splunk로부터 더 이상 경고를 수신하지 않게 됩니다. TCP 또는 HTTP 형식으로 타사 애플리케이션에 전달할 수 있는 outputs.conf 구성이 작동하지 않습니다. Enterprise 평가판 라이선스를 사용하는 동안 관리자에서 위에서 언급한 구성을 만들려고 하면 Free Splunk에서 해당 제한에 대한 경고가 발생합니다. Splunk Free로 전환하는 방법 현재 Splunk Enterprise(평가판 포함)를 사용 중이면 Enterprise 라이선스가 만료될 때까지 기다리거나 언제든지 Free 라이선스로 전환할 수 있습니다. Free 라이선스로 전환하려면 다음 작업을 수행하십시오. 1. Splunk Web에 관리자 권한으로 로그인하여 관리자 > 라이선싱으로 이동합니다. 2. 페이지 상단에 있는 라이선스 그룹 변경을 클릭합니다. 3. Free 라이선스를 선택하고 저장을 클릭합니다. 4. 재시작하라는 메시지가 나타납니다. CLI를 통해 라이선스 관리 이 항목에서는 Splunk CLI를 사용하여 Splunk 라이선스를 모니터링하고 관리하는 방법에 대해 설명합니다. 계속하기 전에 다음 항목을 검토하십시오. Splunk 라이선싱에 대한 소개 내용은 이 매뉴얼의 "Splunk 라이선싱 방식"에서 확인하십시오. Splunk 라이선스 용어에 대한 자세한 내용은 이 매뉴얼의 "그룹, 스택, 풀 및 기타 용어"에서 확인하십시오. 이 항목에서는 Splunk의 라이선서 관련 개체와 상호작용하는 데 사용할 수 있는 CLI 명령에 대해서만 설명합니다. 해 당 명령 중 일부에는 각 개체에 대해 지정할 수 있는 필수/선택적 인수도 있습니다. 전체 구문과 사용 예제를 보려면 Splunk CLI 도움말을 참조하십시오. Splunk 명령줄 인터페이스 사용에 대한 소개는 이 매뉴얼의 "CLI에 대하여"에서 확인하십시오. Splunk의 REST API를 통한 라이선스 관리에 대한 내용은 REST API 참조 매뉴얼의 "라이선스"를 참조하십시오. CLI 라이선서 명령 및 개체 Splunk CLI를 사용하여 라이선스 및 라이선서 관련 개체를 추가, 편집, 나열 및 제거할 수 있습니다. 사용 가능한 명령 은 다음과 같습니다. 35
명령 add edit list licenses, licenser-pools 개체 licenser-localslave, licenser-pools licenser-groups, licenser-localslave, licensermessages, licenser-pools, licenser-slaves, licenserstacks, licenses 설명 라이선스 또는 라이선스 풀을 라이선스 스택에 추가합니다. 이 명령은 Enterprise 라이선스가 있는 경우에만 사용할 수 있습니다. 라이선스 스택 내의 로컬 licenser-slave 노드 또는 라이선스 풀의 속성을 편집합니다. 이 명령은 Enterprise 라이선스가 있는 경우에만 사용할 수 있 습니다. 지정된 라이선서 관련 개체에 따라 해당 개체 속성 또는 개체 구성원을 나 열합니다. remove licenser-pools, licenses 라이선스 스택에서 라이선스 또는 라이선스 풀을 제거합니다. 라이선스 관련 개체는 다음과 같습니다. 개체 설명 licenser-groups licenser-localslave licensermessages licenser-pools licenser-slaves licenser-stacks licenses 전환할 수 있는 다른 라이선스 그룹입니다. 로컬 인덱서의 구성입니다. 라이선스 상태에 대한 경고입니다. 풀 또는 가상 라이선스입니다. 스택은 각 풀의 할당량을 공유하는 여러 슬레이브와 함께 다양한 풀로 나눌 수 있습니다. 마스터에 연결된 모든 슬레이브입니다. 이 개체는 라이선스 스택을 나타냅니다. 스택에는 동일한 유형의 라이선스가 포함되며 누적됩니다. 이 Splunk 인스턴스의 모든 라이선스입니다. 공통 라이선서 관련 작업 다음은 공통 라이선서 관련 작업의 예제입니다. 라이선스 관리 라이선스 스택에 새 라이선스를 추가하려면 라이선스 파일에 경로를 지정하십시오../splunk add licenses /opt/splunk/etc/licenses/enterprise/enterprise.lic 라이선스 스택의 모든 라이선스를 나열하려면 다음 작업을 수행하십시오../splunk list licenses 리스트에는 각 라이선스의 속성이 표시됩니다. 예를 들어, 사용할 수 있는 기능(features), 속해 있는 라이선스 그룹 및 스택(group_id, stack_id), 허용되는 인덱스 할당량(quota), 각 라이선스에 제공되는 고유한 라이선스 키 (license_hash) 등이 있습니다. 라이선스가 만료되면 라이선스 스택에서 해당 라이선스를 제거할 수 있습니다. 라이선스 스택에서 라이선스를 제거 하려면 라이선스 해시를 지정하십시오../splunk remove licenses BM+S8VetLnQEb1F+5Gwx9rR4M4Y91AkIE=781882C56833F36D 라이선스 풀 관리 라이선스 스택에 있는 하나 이상의 라이선스에서 라이선스 풀을 만들 수 있습니다(Enterprise 라이선스가 있는 경우). 기본적으로 라이선스 스택은 여러 라이선서 풀로 분할됩니다. 각 풀은 풀 할당량을 공유하는 둘 이상의 라이선스 슬레 이브를 가집니다. 모든 라이선스 스택의 모든 라이선스 풀을 보려면:./splunk list licenser-pools 스택에 라이선스 풀을 추가하려면 풀 이름을 지정하고 풀에 추가할 스택과 풀에 할당할 인덱스 볼륨을 지정해야 합니 다../splunk add licenser-pools pool01 -quota 10mb -slaves guid1,guid2 -stack_id enterprise 또한 풀에 대한 설명과 풀의 구성원에 속하는 슬레이브에 대한 설명을 지정할 수 있습니다(선택 사항). 36
라이선스 풀의 설명, 인덱싱 할당량 및 슬레이브를 다음과 같이 편집할 수 있습니다../splunk edit licenser-pools pool01 -description "Test" -quota 15mb -slaves guid3,guid4 -append_slaves true 이것은 기본적으로 풀에 대한 설명("Test")을 추가하고, 할당량을 10mb에서 15mb로 변경하고, (guid1 및 guid2를 덮 어쓰거나 바꾸는 대신) 슬레이브 guid3 및 guid4를 풀에 추가합니다. 스택에서 라이선스 풀을 제거하려면 다음과 같이 이름을 지정합니다../splunk remove pool01 라이선스 슬레이브 관리 라이선스 슬레이브는 하나 이상의 라이선스 풀의 구성원입니다. 라이선스 볼륨에 대한 라이선스 슬레이브 액세스는 라이선스 마스터에 의해 제어됩니다. 라이선스 마스터에 연결된 모든 라이선스 슬레이브를 나열하려면:./splunk list licenser-slaves 로컬 라이선스 슬레이브의 모든 속성을 나열하려면:./splunk list licenser-localslave 라이선스 슬레이브를 추가하고 해당 로컬 라이선스 슬레이브 노드의 속성을 편집하려면(splunkd 라이선스 마스터 인 스턴스의 URI 지정 또는 '자신'):./splunk edit licenser-localslave -master_uri 'https://master:port' 라이선스 상태 모니터링 list 명령어를 사용하여 라이선스 상태에 대한 메시지(경고)를 볼 수 있습니다../splunk list licenser-messages Splunk 앱 정보 앱 및 추가 기능 정의 앱은 미리 구성된 대시보드, 보고서, 데이터 입력 및 저장된 검색을 통해 IT 시스템을 파악할 수 있는 특별한 기능을 제 공합니다. 앱에는 Splunk에서 표시되는 방식을 재구성할 수 있는 새로운 뷰와 대시보드가 포함될 수 있습니다. 또는 앱은 Splunk REST API를 사용하는 완전히 새로운 프로그램만큼 복잡할 수 있습니다. 더 구체적으로 말하면 앱은 자 체 UI 컨텍스트를 가지고 있는 즉시 사용 가능한 셀프 서비스 확장입니다. 앱은 Splunk Web의 오른쪽 상단 모서리에 나타나는 앱 리스트에서 선택할 수 있습니다. 추가 기능을 통해 특정 데이터 문제를 직접 해결할 수 있습니다. 추가 기능은 Splunk의 모양 및 느낌을 변경하거나, 사 용자 간의 정보를 공유할 수 있는 더 작고 재사용 가능한 구성 요소입니다. 추가 기능은 하나 이상의 event type 정의 또는 저장된 검색 모음처럼 단순합니다. 앱과 달리 추가 기능에는 GUI 구성 요소가 없으며 Splunk Web의 홈 리스트 또는 앱 메뉴에 표시되지 않습니다. Splunk를 사용할 경우 대부분 앱을 항상 사용하며, 일반적으로 앱 "내부"에 있는 것으로 참조합니다. 기본 앱은 검색 앱입니다. 앱 및 추가 기능의 장점 앱 및 추가 기능을 통해 단일 Splunk 인스턴스 위에 서로 다른 환경을 구축할 수 있습니다. 조직 내 다른 Splunk 사용 자 커뮤니티에 대한 개별 인터페이스를 만들 수 있습니다. 예를 들어, 이메일 서버 문제 해결을 위한 앱 하나, 웹 분석 을 위한 다른 앱, 일선 지원 팀에서 사용할 룩업 테이블을 연결하는 추가 기능 등을 만들 수 있습니다. 즉, 모든 사용자 들이 동일한 Splunk 인스턴스를 사용하지만 각기 관심 있는 관련 데이터와 도구만 볼 수 있습니다. 앱 및 추가 기능의 위치 Splunk를 설치하고 처음 로그인하면 Splunk 홈으로 이동됩니다. 이 페이지의 맨 위에는 환영 탭과 Splunk 홈 탭의 두 가지 탭이 있습니다. 설치된 앱을 보려면 Splunk 홈을 클릭하십시오. 이 인터페이스는 사용자를 위해 미리 설치된 앱 리스트를 보여줍니다. 기본적으로 이러한 앱 중 하나가 시작하기 앱입 니다. 이 앱은 새 사용자에게 Splunk 기능을 소개하기 위해 만들었습니다. Splunk를 처음 사용하는 사용자에게는 이 37
앱을 추천합니다. 사용해보시고 의견을 보내주십시오! 단일 사용자에 대해 Splunk 홈 무시 Splunk에 로그인할 때마다 Splunk 홈을 표시하지 않으려면 기본 앱이 처음에 표시되도록 구성하십시오. 이 구성은 기 본적으로 사용자별로 수행할 수 있습니다. 예를 들어, 처음 표시되는 기본 앱인 검색 앱을 지정하려면: 1. 사용자의 로컬 디렉터리에 user-prefs.conf 파일을 만듭니다. etc/users/<user>/user-prefs/local/user-prefs.conf admin 사용자인 경우 다음 위치에 이 파일이 생성됩니다. etc/users/admin/user-prefs/local/user-prefs.conf test 사용자인 경우 다음 위치에 이 파일이 생성됩니다. etc/users/test/user-prefs/local/user-prefs.conf 2. user-prefs.conf 파일에 다음 줄을 입력합니다. default_namespace = search 모든 사용자에 대해 Splunk 홈 무시 로그인하면 처음 표시되는 모든 사용자용 기본 앱을 지정할 수 있습니다. 예를 들어, 검색 앱을 전역 기본값으로 지정 하려면 $SPLUNK_HOME/etc/apps/user-prefs/local/user-prefs.conf를 편집 및 지정하십시오. [general_default] default_namespace = search 참고: 검색 앱에 액세스할 수 있는 권한이 없는 사용자에게는 오류가 표시됩니다. 기본적으로 제공하는 기능 Splunk는 시작하기 앱 외에도 검색 앱을 함께 제공합니다. 검색 앱 인터페이스는 Splunk의 핵심 기능을 제공하며 일 반적인 용도에 사용되도록 설계되었습니다. 이전에 Splunk를 사용해 본 경우 검색 앱은 이전 버전의 기본 Splunk Web 기능을 대신합니다. 검색 앱에서는 검색란과 그래프로 채워진 대시보드를 볼 수 있습니다. 검색 앱 창의 왼쪽 상 단에 있는 대시보드 및 뷰 드롭다운 메뉴에서 하나를 새로 선택하여 대시보드 또는 뷰를 변경할 수 있습니다. 이 앱을 변경하려면 오른쪽 상단에 있는 앱 드롭다운 메뉴에서 하나를 새로 선택합니다. 38
나중에 Splunk 홈으로 돌아가서 또 다른 앱을 선택할 수 있습니다. 더 많은 앱 다운로드 다른 여러 앱도 다운로드할 수 있습니다. 예를 들어, 변경 관리 또는 PCI(결제 카드 산업) 규제 준수와 같이 대용량 데 이터 작업이 필요한 경우에는 Splunk에서 해당 용도로 사용하도록 특별히 설계된 앱을 사용하십시오. OS용 앱(Splunk for Windows 또는 Splunk for *NIX)을 다운로드할 수 있습니다. 이러한 앱은 특정 플랫폼에서 Splunk 를 최대한 활용하는 데 도움이 되는 대시보드와 미리 작성된 검색을 제공합니다. 더 많은 앱을 찾으려면 Splunk 홈 탭에서 추가 앱 찾기 단추를 클릭하십시오. 자세한 내용은 더 많은 앱 및 추가 기능 찾기를 참조하십시오. Splunk Web을 사용하여 앱 관리 Splunk Web에서 Splunk 관리자를 사용하여 앱을 만들고 다운로드 및 관리할 수 있습니다. 관리자 > 앱을 선택하십시 오. 이 페이지에서는 다음 작업을 수행할 수 있습니다. 앱 다운로드, 설치 또는 만들기 설치된 앱에 대한 권한 설정 앱 실행 또는 앱 속성 편집 앱과 연결된 개체 보기 앱과 관련된 Splunk 개체 저장 및 공유 방법 Splunk 지식에는 Splunk 데이터를 풍부하게 해주는 항목, 예를 들어 저장된 검색, event type, 태그 등의 개체가 포함 되며, 사용자가 필요로 하는 것을 보다 쉽게 알 수 있게 해줍니다. Splunk에서는 이것을 Knowledge Object라고 부릅 니다. Splunk Web에 로그인한 사용자는 사용자의 "내부"(필요한 권한이 있다고 가정했을 때) 앱에 있는 사용자 디렉터리에 Knowledge Object를 만들고 저장할 수 있습니다. 이것은 사용자가 개체를 저장할 때마다 발생하는 기본 동작으로, 현 재 실행 중인 앱의 사용자 디렉터리에 적용됩니다. 사용자가 특정 앱에 개체를 저장했으면 저장된 개체는 해당 앱의 사용자만 사용할 수 있습니다. 다른 사용자도 사용할 수 있게 하려면 다음 작업 중 하나를 수행해야 합니다. 그리고 이 작업을 수행하려면 올바른 권한이 있어야 합니다. 동일한 앱에서 다른 특정 역할 또는 사용자와 개체 공유 해당 앱에 액세스하는 모든 사용자가 사용할 수 있도록 개체 승격 모든 앱(및 사용자)에서 전역으로 사용할 수 있도록 개체 승격 자세한 내용은 이 매뉴얼의 앱 아키텍처 및 개체 소유권을 참조하십시오. 더 많은 앱과 추가 기능 찾기 http://www.splunkbase.com/apps에서 새로운 앱과 추가 기능을 찾을 수 있습니다. Splunk 홈에서 Splunkbase에 액세스하면 Splunk 내에서 앱을 직접 다운로드하고 설치할 수 있습니다. Splunk 홈 탭 에서 앱 더 찾아보기 단추를 클릭하십시오. Splunk Web에 로그인하면 기본적으로 Splunk 홈이 표시됩니다. Splunk 제공 앱의 기본 페이지의 오른쪽 상단 모서 리에 있는 앱 메뉴에서 Splunk 홈으로 언제든지 돌아갈 수 있습니다. 인터넷에 연결된 경우 Splunk 서버 또는 클라이언트 컴퓨터가 인터넷에 연결되어 있으면 Splunk 홈에서 앱을 직접 다운로드할 수 있습니다. 1. Splunk 홈에서 Splunk 홈 탭을 클릭합니다. 그런 다음 오른쪽에 있는 앱 더 찾아보기 단추를 클릭합니다. 이렇게 하 면 이 버전의 Splunk에 사용할 수 있는 앱과 추가 기능을 다운로드할 수 있는 Splunkbase로 연결됩니다. 2. 원하는 앱 또는 추가 기능을 선택하고 설치를 선택합니다. 3. splunk.com 사용자 이름과 암호(사용자의 Splunk 사용자 이름/암호가 아님)로 splunk.com에 로그인하라는 메시지 가 나타납니다. 39