Table of Contents 분산 관리 콘솔 설정 분산 관리 콘솔 다중 인스턴스 배포 DMC 설정 단계 단일 인스턴스 DMC 설정 단계 어떤 인스턴스가 콘솔을 호스트해야 합니까? DMC 전제 조건 클러스터 레이블 설정 인스턴스를 DMC에 검색 피어로 추가 독립형 모

Splunk Enterprise 6.3.0 분산 관리 콘솔 매뉴얼 생성일: 2015-09-10 오후 4시 04분 Copyright (c) 2016 Splunk Inc. All Rights Reserved

Table of Contents 분산 관리 콘솔 설정 분산 관리 콘솔 다중 인스턴스 배포 DMC 설정 단계 단일 인스턴스 DMC 설정 단계 어떤 인스턴스가 콘솔을 호스트해야 합니까? DMC 전제 조건 클러스터 레이블 설정 인스턴스를 DMC에 검색 피어로 추가 독립형 모드에서 DMC 설정 분산 모드에서 DMC 설정 DMC용 포워더 모니터링 설정 DMC를 기본 설정으로 되돌리기 플랫폼 경고 DMC 대시보드 참조 검색 작업: 인스턴스 검색 작업: 배포 검색 사용량 통계: 인스턴스 인덱싱 성능: 인스턴스 인덱싱 성능: 배포 리소스 사용량: 인스턴스 리소스 사용량: 서버 리소스 사용량: 배포 KV 스토어: 인스턴스 KV 스토어: 배포 검색 헤드 클러스터링 대시보드 인덱서 클러스터링: 상태 인덱서 클러스터링: 서비스 작업 인덱싱: 인덱스 및 볼륨 대시보드 포워더: 인스턴스 포워더: 배포 라이선싱 3 3 3 4 4 5 6 6 7 7 7 8 8 10 10 11 11 12 12 13 13 14 14 16 17 19 19 19 20 20 21

분산 관리 콘솔 설정 분산 관리 콘솔 분산 관리 콘솔이란 무엇입니까? 분산 관리 콘솔(DMC)에서 Splunk Enterprise 배포에 대한 자세한 성능 정보와 세부 토폴로지를 확인할 수 있습니다. 이 장 의 각 항목에서는 사용 가능한 대시보드 및 경고에 대해 설명합니다. 제공되는 각 대시보드는 배포 또는 인스턴스의 다음 항목에 대한 통찰력을 부여합니다. 검색 성능 인덱싱 성능 운영 체제 리소스 사용량 Splunk 앱 key value 스토어 성능 검색 헤드 및 인덱서 클러스터링 인덱스 및 볼륨 사용량 포워더 연결 라이선스 사용 DMC 대시보드는 metrics.log 같은 Splunk Enterprise 내부 로그 파일의 데이터와 Splunk Enterprise 플랫폼 계측값에서 제 공하는 데이터를 사용합니다. 분산 관리 콘솔 찾기 Splunk Web에서 설정을 클릭한 다음 왼쪽의 분산 관리 콘솔 아이콘을 클릭합니다. DMC는 Splunk Enterprise 관리자 역할을 보유한 사용자에게만 표시됩니다. DMC의 주요 설정 상태는 세 가지입니다. Splunk Enterprise 인스턴스에서 DMC를 설정하지 않고 독립형 모드로 남겨둘 수 있습니다. 이것은 배포에서 개별 인 스턴스의 DMC로 이동할 수 있으며 특정 인스턴스 성능을 확인할 수 있음을 의미합니다. (독립형 모드에 있는 경우에도) 설정 단계를 거쳐 기본 플랫폼 경고에 액세스할 수도 있습니다. 분산 모드 설정 단계를 거치면 하나의 인스턴스에 로그인하여 배포의 모든 인스턴스에 대한 성능 정보를 확인할 수 있 습니다. 다중 인스턴스 배포 DMC 설정 단계 이 항목에서는 전체 Splunk Enterprise 배포를 모니터링하도록 분산 관리 콘솔(DMC)을 설정하기 위해 거치는 각 단계에 대 한 개요를 제시합니다. 단일 인스턴스 모니터링 설정에 대해서는 "단일 인스턴스 DMC 설정 단계"를 참조하십시오. 1. 배포에서 DMC를 호스트할 인스턴스를 결정합니다. 2. 배포가 전제 조건을 충족하는지 확인합니다. 3. 클러스터 레이블을 설정합니다. 4. 모든 인스턴스를 검색 피어로 추가합니다. 3

5. DMC를 분산 모드에서 설정합니다. 6. DMC의 포워더 대시보드를 사용하려면 포워더 모니터링을 설정합니다. 7. 사전 설정된 플랫폼 경고를 활성화합니다. 단일 인스턴스 DMC 설정 단계 이 항목에서는 단일 Splunk Enterprise 인스턴스와 포워더를 모니터링하고 DMC의 플랫폼 경고를 사용하도록 분산 관리 콘 솔(DMC)을 설정하기 위해 거치는 각 단계에 대한 개요를 제시합니다. Splunk Enterprise 배포에서 DMC 모니터링을 설정 하려면 "다중 인스턴스 배포 설정 단계"를 참조하십시오. 1. 인스턴스가 전제 조건을 충족하는지 확인합니다. 2. DMC를 독립형 모드에서 설정합니다. 3. DMC의 포워더 대시보드를 사용하려면 포워더 모니터링을 설정합니다. 4. 사전 설정된 플랫폼 경고를 활성화합니다. 어떤 인스턴스가 콘솔을 호스트해야 합니까? 이 항목에서는 Splunk Enterprise 배포에 사용할 분산 관리 콘솔(DMC)을 설정하는 프로세스의 한 단계에 대해 설명합니다. 위의 "분산 관리 콘솔"을 참조하십시오. 분산 모드에서 DMC를 설정하면 배포에서 하나의 인스턴스에서만 DMC로 이동할 수 있으며 전체 배포에 대한 콘솔 정보를 볼 수 있습니다. 그러나 어느 인스턴스를 지정해야 할까요? DMC를 호스트할 위치로 선택할 수 있는 몇 가지 옵션이 있습니다. 선택한 인스턴스는 검색 헤드로 프로비저닝해야 합니다. 용량 계획 매뉴얼의 "참조 하드웨어"를 참조하십시오. 보안 및 일부 성능상의 이유로 Splunk Enterprise 관리자만 이 인스턴 스에 액세스해야 합니다. 중요: 단일 독립형 Splunk Enterprise 인스턴스의 경우를 제외하고 DMC를 호스트하는 인스턴스를 프로덕션 검색 헤드로 사용해서는 안 되며, 해당 인스턴스에서 DMC 기능과 관련이 없는 검색을 실행해서도 안 됩니다. 이 테이블에서는 배포 유형에 따른 DMC의 권장 위치에 대해 설명합니다. 분 산 모 드? 아 니 요 예 예 예 예 인덱 서 클 러스 터링? 해당 없음 아니 요 단일 클러 스터 다중 클러 스터 아니 요 검색 헤 드 클러 스터 링? 해당 없 음 아니요 관계 없 음 관계 없 음 예 독립형 인스턴스 DMC 옵션 라이선스 마스터 또는 소수(<50개)의 클라이언트를 지원하는 배포 서버. 인스턴스를 DMC와 해당 특정 기능에만 사용해야 합니다. 라이선스 마스터와 배포 서버를 모두 사용할 수 없는 경우, 다른 목 적으로 사용되지 않는 전용 검색 헤드에서 DMC를 실행하십시오. 마스터 노드. 필요할 경우 다른 목적으로 사용되지 않는 전용 검색 헤드에서 DMC를 대신 실행할 수 있습니다. 모든 클러스터에 걸쳐 검색 헤드 노드로 설정된 검색 헤드. 이 검색 헤드는 DMC 용도로만 사용해 야 합니다. 검색 헤드 클러스터 주 배포 노드. 필요할 경우 다른 목적으로 사용되지 않는 전용 검색 헤드에서 DMC를 대신 실행할 수 있습니다. 단일 인덱서 클러스터가 있는 배포의 경우: 마스터 노드에서 인덱서 클러스터에서는 DMC를 클러스터 마스터에서 호스트하십시오. 인덱스 및 클러스터 관리 매뉴얼의 "시스템 요구 사 항"을 참조하십시오. 아니면 클러스터의 검색 헤드 노드에서 DMC를 호스트할 수 있습니다. 그러나 이렇게 하면 검색 헤드를 사용해 DMC 검색이 아닌 검색을 실행할 수 없습니다. 다중 인덱서 클러스터가 있는 배포의 경우: 검색 헤드 노드에서 배포에 여러 인덱서 클러스터가 있는 경우, 각 클러스터의 검색 헤드 노드로 설정된 검색 헤드에서 DMC를 호스트하십시오. 이 검색 헤드를 사용하여 DMC 검색이 아닌 검색을 실행하지 마십시오. 이렇게 하는 주요 단계는 다음과 같습니다. 4

1. 각 인덱서 클러스터에서 검색 헤드 하나를 노드로 설정합니다. 인덱스 및 클러스터 관리 매뉴얼의 "다중 인덱서 클러스터 에서 검색"을 참조하십시오. 이 노드가 DMC 인스턴스입니다. 2. 각 마스터 노드와 클러스터의 모든 검색 헤드 노드를 DMC 인스턴스의 검색 피어로 설정합니다. "검색 피어로 인스턴스 추가"를 참조하십시오. 주의: 클러스터 피어 노드(인덱서)를 DMC 노드의 검색 피어로 설정하지 마십시오. 이러한 노드는 인덱서 클러스터의 노드 이므로 이미 클러스터의 모든 검색 헤드 노드(DMC 노드 포함)에 알려져 있습니다. 비인덱서 클러스터 환경에서 옵션1: 라이선스 마스터에서 다음이 true인 경우 라이선스 마스터에 모니터링 콘솔을 설정할 수 있습니다. 라이선스 마스터는 검색 워크로드를 처리할 수 있습니다. 즉 검색 헤드 참조 하드웨어 요구 사항을 충족하거나 초과할 수 있습니다. 용량 계획 매뉴얼의 "참조 하드웨어"를 참조하십시오. Splunk Enterprise 관리자만 전용 라이선스 마스터에 액세스할 수 있습니다. 비인덱서 클러스터 환경에서 옵션2: 새 인스턴스에서 다른 옵션은 새 인스턴스를 프로비저닝하고 새 인스턴스를 검색 헤드의 검색 헤드 및 인덱서의 검색 헤드로 설정하고 DMC 를 분산 모드에서 설정하는 것입니다. 검색 헤드 클러스터 환경에서 DMC를 호스트하는 데 주 배포 노드 또는 전용 라이선스 마스터를 사용하십시오. DMC는 검색 헤드 클러스터 구성원이 될 수 없습니다. 분산 검색 매뉴얼의 "검색 헤드 클러스터에 대한 시스템 요구 사항 및 기타 배포 고려 사항"을 참조하십시오. 분산 관리 콘솔은 검색 헤드 풀링 환경에서 지원되지 않습니다. DMC와 배포 서버 배포 서버에서는 분산 DMC를 호스트할 수 없는 경우가 대부분입니다. 배포 서버에서 소수(50개 이하)의 배포 클라이언트만 처리하는 경우는 예외입니다. 클라이언트 수가 더 많으면 DMC와 배포 서버 기능이 서로 간섭을 일으킬 수 있습니다. Splunk Enterprise 인스턴스 업데이트 매뉴얼에서 "배포 서버 프로비저닝"을 참조하십시오. DMC 전제 조건 이 항목에서는 Splunk Enterprise 배포 또는 단일 Splunk Enterprise 인스턴스용 분산 관리 콘솔(DMC)을 설정하는 프로세 스의 한 단계에 대해 설명합니다. 위의 "분산 관리 콘솔"을 참조하십시오. 이전 단계에는 배포에서 DMC를 호스트해야 하는 인스턴스를 결정했습니다. "클러스터 레이블 설정"(배포의 경우) 또는 "독 립형 모드에서 DMC 설정"(단일 Splunk Enterprise 인스턴스의 경우) 단계로 진행하기 전에 다음 전제 조건이 충족되었는지 확인하십시오. 기능적 Splunk Enterprise 배포가 있어야 합니다. 분산 배포 매뉴얼의 "분산 Splunk Enterprise 개요"를 참조하십시오. 배포가 양호한지, 즉 모든 피어가 작동 상태인지 확인합니다. 배포의 각 인스턴스(각 검색 헤드, 라이선스 마스터 등)가 고유한 server.conf servername 값 및 inputs.conf host 값을 가지는지 확인합니다. 모니터링할 (포워더가 아닌) 모든 Splunk Enterprise 인스턴스에 대해 플랫폼 계측을 활성화해야 하며, 해당 노드가 모 두 플랫폼 계측 시스템 요구 사항을 충족해야 합니다. 각 노드에서 Splunk Enterprise 6.1 이상을 실행 중이어야 합니다. 플랫폼 계측은 Windows, Linux 및 Solaris에서 지원됩니다. 플랫폼 계측 시스템 요구 사항을 참조하십시오. 내부 로그($SPLUNK_HOME/var/log/splunk 및 $SPLUNK_HOME/var/log/introspection 모두)를 다른 모든 인스턴스 유형에서 인덱서로 전달합니다. 분산 검색 매뉴얼에서 "검색 헤드 데이터 전달"을 참조하십시오. 이 단계를 수행하지 않으면 많 5

은 대시보드에 데이터가 부족하게 됩니다. 다른 인스턴스 유형에는 다음이 포함됩니다. 검색 헤드 라이선스 마스터 클러스터 마스터 배포 서버 분산 관리 콘솔을 설정하는 사용자에게는 "admin_all_objects" 기능이 필요합니다. 클러스터 레이블 설정 이 항목에서는 Splunk Enterprise 배포용 분산 관리 콘솔을 설정하는 프로세스의 한 단계에 대해 설명합니다. 위의 "분산 관 리 콘솔"을 참조하십시오. DMC가 클러스터와 연결된 인스턴스를 식별할 수 있도록 클러스터(인덱서 클러스터와 검색 헤드 클러스터 모두)에 레이블 을 설정합니다. DMC는 이 식별 레이블을 사용하여 인덱서 클러스터링 및 검색 헤드 클러스터링 대시보드를 채울 수 있습니 다. 클러스터 배포 중에 클러스터를 처음 배포하는 도중에 레이블을 설정하는 것이 좋습니다. 필요한 경우 나중에 레이블을 설정하거나 변경할 수 있 습니다. 배포 중에 인덱서 클러스터 레이블을 설정하려면 "인덱서 클러스터 마스터 노드 활성화"를 참조하십시오. 배포 중에 검색 헤드 클러스터 레이블을 설정하려면 "검색 헤드 클러스터 배포"를 참조하십시오. 클러스터 배포 후에 새 클러스터를 배포하는 경우 배포 프로세스 도중에 클러스터 레이블을 설정하는 것이 좋습니다. 그러나 예를 들어 클러스터 를 업그레이드하는 경우처럼 클러스터가 이미 배포되었으면 클러스터 레이블을 아래 테이블에 따라 DMC 설정을 시작할 때 설정하십시오. Splunk Enterprise 버전, 클러스터 유형 위치 방법 6.3.0+ 인덱서 클러스터 클러스터 마스터 아래 참조 6.3.0+ 검색 헤드 클러스터(주 배포 노드 제외) 모든 SHC 구성원 아래 참조 6.3.0+ 검색 헤드 클러스터 주 배포 노드 DMC 설정 페이지 주 배포 노드 인스턴스 레이블 설정 6.3.0 이전 인덱서 클러스터 DMC 설정 페이지 클러스터의 모든 인스턴스 레이블 설정 6.3.0 이전 검색 헤드 클러스터 DMC 설정 페이지 클러스터의 모든 인스턴스 레이블 설정 배포 후에 6.3.0 이상의 인덱서 클러스터 레이블을 설정하려면 "대시보드를 사용하여 마스터 설정"을 참조하거나 클러스터 마스터에서 다음 CLI 명령어를 사용하십시오. splunk edit cluster-config -cluster_label <CLUSTER LABEL> 배포 후에 6.3.0 이상의 검색 헤드 클러스터 레이블을 설정하려면 "검색 헤드 클러스터 설정"을 참조하거나 클러스터 구성원 에서 다음 CLI 명령어를 사용하십시오. splunk edit shcluster-config -shcluster_label <CLUSTER LABEL> 클러스터 레이블을 편집하는 데 사용하는 방법에 관계없이, DMC 설정 페이지로 이동한 후 변경 사항 적용을 클릭하여 DMC 자산 테이블을 업데이트해야 합니다. DMC 설정 페이지 사용 DMC 설정 페이지는 분산 관리 콘솔 > 설정 > 일반 설정에 있습니다. 클러스터 레이블을 편집한 후 우측 상단에서 변경 사항 적용을 클릭합니다. 인스턴스를 DMC에 검색 피어로 추가 이 항목에서는 Splunk Enterprise 배포용 분산 관리 콘솔을 설정하는 프로세스의 한 단계에 대해 설명합니다. 위의 "분산 관 리 콘솔"을 참조하십시오. 1. 분산 관리 콘솔을 설정하려는 인스턴스에 로그인합니다. 2. Splunk Web에서 설정 > 분산 검색 > 검색 피어를 선택합니다. 3. 새로 만들기를 클릭합니다. 4. 필요한 필드에 정보를 입력하고 저장을 클릭합니다. 5. 각 검색 헤드, 배포 서버, 라이선스 마스터에 대해 3, 4단계를 반복하고 독립형 인덱서를 분산 관리 콘솔을 호스트하는 인 6

스턴스에 분산 검색 피어로 추가합니다. 클러스터된 인덱서는 추가하면 안 되지만, 클러스터된 검색 헤드는 추가해야 합니 다. 인덱서 클러스터를 모니터링하는 경우에 클러스터 마스터가 아닌 다른 인스턴스에서 DMC를 호스트하고 있다면 클러스 터 마스터를 검색 피어로 추가해야 합니다. DMC 설정 프로세스의 다음 단계는 "분산 모드에서 DMC 설정"입니다. 독립형 모드에서 DMC 설정 이 항목에서는 독립형 Splunk Enterprise 인스턴스에서 분산 관리 콘솔(DMC)을 설정하는 절차의 한 단계에 대해 설명합니 다. "단일 인스턴스 DMC 설정 단계"를 참조하십시오. 설정하려면 다음 작업을 수행하십시오. 1. 분산 관리 콘솔 > 설정 > 일반 설정으로 이동합니다. 2. 검색 헤드, 라이선스 마스터 및 인덱서가 서버 역할 아래에 나열되어 있고 다른 역할에는 나열되어 있지 않음을 확인합니 다. 그렇지 않은 경우 편집을 클릭합니다. 3. 변경 사항 적용을 클릭하여 설정을 완료합니다. DMC 설정의 다음 단계는 "포워더 모니터링 설정"입니다. 분산 모드에서 DMC 설정 이 항목에서는 다중 인스턴스 Splunk Enterprise 배포에서 분산 관리 콘솔(DMC)을 설정하는 절차의 한 단계에 대해 설명합 니다. "다중 인스턴스 배포 DMC 설정 단계"를 참조하십시오. 1. 분산 관리 콘솔을 설정하려는 인스턴스에 로그인합니다. 기본적으로 독립형 모드에서 인스턴스는 설정되어 있지 않습니 다. 2. Splunk Web에서 분산 관리 콘솔 > 설정 > 일반 설정을 선택합니다. 3. 왼쪽 상단에서 분산 모드를 설정합니다. 4. 다음을 확인합니다. 인스턴스 및 컴퓨터 레이블이 표시된 컬럼이 올바르게 채워지고 컬럼 내의 고유한 값으로 채워져 있는지 확인합니다. 참고: 배포에 Splunk Enterprise 6.1.x(6.2.0+ 대신)를 실행하는 노드가 있는 경우 해당 인스턴스(호스트) 및 컴퓨터 값 은 채워지지 않습니다. 컴퓨터의 값을 찾으려면 일반적으로 6.1.x 인스턴스에 로그인하고 *nix 또는 Windows에서 hostname을 실행하면 됩니다. 여기서 컴퓨터는 컴퓨터의 FQDN을 나타냅니다. 인스턴스(호스트)의 값을 찾으려면 다음 btool( splunk cmd btool inputs list default)을 사용하십시오. 해당 값을 알고 있는 경우 설정 페이지에서 편집 > 인스턴스 편집을 클릭합니다. 팝업에 입력해야 하는 두 개의 필드 즉, 인스턴스(호스트) 이름 및 컴퓨터 이름 필드가 나타납니다. 서버 역할(기본 또는 주요 역할)이 올바른지 확인합니다. 예를 들어, 라이선스 마스터인 검색 헤드에는 두 역할이 모두 표시되어 있어야 합니다. 그렇지 않으면 편집을 클릭하여 수정하십시오. 인덱서 클러스터링을 사용하는 경우 클러스터 마스터가 식별되는지 확인합니다. 그렇지 않으면 편집을 클릭하여 수정 하십시오. 주의: 인덱서로 표시된 모든 항목이 실제로 인덱서인지 확인하십시오. 5. (선택 사항) 사용자 지정 그룹을 설정합니다. 사용자 지정 그룹은 분산 검색 그룹에 직접 매핑하는 태그입니다. DMC 설정 을 처음 수행하는 경우(또는 그 이전)에는 그룹을 추가할 필요가 없습니다. 예를 들어, 멀티사이트 인덱서 클러스터링(각 그 룹이 하나의 위치에서 인덱서로 구성될 수 있음) 또는 인덱서 클러스터와 독립형 피어를 가진 경우, 그룹이 유용하다는 사실 을 알 수 있을 것입니다. 사용자 지정 그룹은 중복이 허용됩니다. 즉, 하나의 인덱서가 여러 그룹에 속할 수 있습니다. 분산 검 색 매뉴얼의 분산 검색 그룹을 참조하십시오. 6. 변경 사항 적용을 클릭합니다. 7. (선택 사항) 플랫폼 경고를 설정합니다. 이후에 다른 노드를 배포에 추가하는 경우 설정으로 돌아가 4단계의 항목이 정확한지 확인합니다. DMC 설정의 다음 단계는 "포워더 모니터링 설정"입니다. DMC용 포워더 모니터링 설정 전제 조건 포워더 대시보드의 여러 패널에서, 포워더에는 고유하고 일관된 GUID가 있어야 합니다. (따라서 포워더를 시작하기 전에 GUID를 복제하십시오.) GUID는 instance.cfg에 있습니다. 설정 7

Splunk Web의 DMC > 설정 > 포워더 설정에 있는 설정 단계를 따르십시오. 시간 설정 포워더 설정에서 수집 간격을 활성화/비활성화한 후 설정할 수 있습니다. 그러면 DMC 노드의 다음 디렉터리에 상주하는 룩 업 파일인 dmc_forwarder_assets.csv를 채우는 예약된 검색이 실행됩니다. etc/apps/splunk_management_console/lookups Splunk Web의 설정 > 검색 및 보고서 > DMC 포워더 - 자산 테이블 작성에서 해당 검색을 확인할 수 있습니다(그러나 검색 을 수정할 수는 없음). 예약된 검색 실행 시에는 이전 15분을 돌아봅니다. 이 시간은 예약된 검색을 실행하는 빈도인 (포워더 설정의) 데이터 수집 간격과 다릅니다. 예를 들어 수집 간격을 24시간으로 설정할 수 있습니다. 그러면 예약된 검색이 24시간마다 실행되지만, 실 행되기 전의 15분만 확인합니다. 포워더가 많을(수백, 수천 대?) 경우 예약된 검색에 많은 비용이 소요될 수 있습니다. 포워더 자산 테이블 재작성 포워더 자산 테이블은 DMC가 어떤 포워더에 대한 정보를 포워더 모니터링 대시보드에 표시해야 하는지 알기 위해 백그라 운드에서 사용하는.csv 룩업 파일입니다..csv 파일의 데이터는 누적 데이터입니다. 포워더가 인덱서에 연결하면 포워더의 기록이.csv 파일에 존재하게 됩니다. 그 후에 포워더를 제거해도 포워더의 기록이 파일에서 제거되지 않고, 대신 "missing(없음)"으로 표시됩니다. 제거된 포워더가 "missing(없음)"으로 표시되지 않도록 하려면 포워더 설정에서 "포워더 자산 재작성"을 클릭하십시오. 이 채우기 검색을 실행할 때 한 번만 이 임시 검색에서 돌아보는 시간을 선택할 수 있습니다. (이때 선택한 시간으로 인해 예약된 검색에서 돌아보는 시간인 15분이나 데이터 수집 간격이 변경되지는 않습니다.) DMC를 기본 설정으로 되돌리기 인스턴스의 분산 관리 콘솔을 기본(원래) 설정으로 되돌리려면 다음 절차를 따르십시오. 1. 다음을 삭제합니다. $SPLUNK_HOME/etc/apps/splunk_management_console/local directory. 2. $SPLUNK_HOME/etc/apps/splunk_management_console/lookups 디렉터리를 삭제합니다. 3. $SPLUNK_HOME/etc/system/local/distsearch.conf에서, DMC가 만든 분산 검색 그룹을 참조하는 스탠자를 모두 삭제합니 다. 이러한 그룹의 이름 앞에는 일반적으로 dmc_group_*이 옵니다. 다음은 distsearch.conf에서 이러한 스탠자가 표시되는 일반적인 방법의 예입니다. [distributedsearch:dmc_group_cluster_master] servers = localhost:localhost [distributedsearch:dmc_group_deployment_server] [distributedsearch:dmc_group_kv_store] [distributedsearch:dmc_group_search_head] servers = localhost:localhost,undiag02.sv.splunk.com:8089 [distributedsearch:dmc_group_license_master] servers = localhost:localhost [distributedsearch:dmc_customgroup_primary_search-head] servers = undiag02.sv.splunk.com:8089 [distributedsearch:dmc_group_indexer] default = true servers = 10.159.4.67:8089,10.159.4.70:8089,10.159.4.71:8089,10.159.4.73:8089 4. 모든 스탠자를 삭제한 후 변경 사항을 저장합니다. 5. Splunk Enterprise를 재시작합니다. 플랫폼 경고 플랫폼 경고란 무엇입니까? 플랫폼 경고는 분산 관리 콘솔(DMC)에 포함되는 저장된 검색입니다. 플랫폼 경고는 Splunk Enterprise 환경을 저해할 수 있 는 조건을 Splunk Enterprise 관리자에게 알립니다. 포함된 플랫폼 경고는 REST endpoint에서 해당 데이터를 가져옵니다. 플랫폼 경고는 기본적으로 비활성화되어 있습니다. 플랫폼 경고 활성화 8

전제 조건 분산 관리 콘솔을 설정하고 "단일 인스턴스 DMC 설정 단계" 또는 "다중 인스턴스 DMC 설정 단계"를 참조하십시오. 배포에서 경고에 대한 경고 알림을 설정합니다. 1. DMC 개요 페이지에서 경고 > 활성화 또는 비활성화를 클릭합니다. 2. 활성화하려는 경고 옆에 있는 사용 가능 체크박스를 클릭합니다. 경고가 트리거된 후 개요 > 경고 > 트리거된 경고 관리로 이동하여 경고 및 경고의 결과를 볼 수 있습니다. 이메일 알림과 같이 설정할 수 있는 경고 작업에 대해 플랫폼 경고 설정을 참조하십시오. 플랫폼 경고 설정 DMC에서 개요 > 경고 > 활성화 또는 비활성화로 이동합니다. 설정할 경고를 찾은 후 편집을 클릭합니다. 기본 설정을 보고 다음과 같은 매개변수를 변경할 수 있습니다. 경고 예약 제거 시간 경고 작업(예: 이메일) 경고 매뉴얼의 "경고 작업 설정" 및 모든 경고 옵션을 참조하십시오. $SPLUNK_HOME/etc/apps/splunk_management_console/default/savedsearches.conf에서 플랫폼 경고에 대한 기본 매개변수의 전 체 리스트를 볼 수도 있습니다. 직접 설정 파일을 편집하도록 선택하는 경우 기본값 대신 로컬 디렉터리에서 새로운 설정을 지정합니다. 어떤 경고가 포함됩니까? 플랫폼 경고로 배포 모니터링을 시작하려면 원하는 개별 경고를 활성화해야 합니다. 위의 "플랫폼 경고 활성화"를 참조하십 시오. 경 고 이 름 인덱 서 프 로세 서의 비정 상적 인 상 태 설명 하나 이상의 인덱서가 비정상적인 상태를 보고할 때 발생합 니다. 이 비정상적인 상태는 조절 또는 중단될 수 있습니다. 참고 항목 어떤 인덱서가 어떤 비정상적인 상태인지에 대한 자세한 내용을 확인하고 원인을 조사하려면 DMC 인덱싱 성능: 배포 대시보드의 인스턴스별 인덱싱 성능 패널을 참조하십시오. 대시보드에 대한 내용 은 "인덱싱 성능: 배포" 및 "인덱싱 작동 방식"을 참조하십시오. 심각 한 시 스템 물리 적 메 모리 사용 량 하나 이상의 인스턴스가 90%의 메모리 사용량을 초과할 때 발생합니다. 대부분의 Linux 배포에서 OS가 버퍼 및 파일 시 스템 캐시 작업을 수행하고 있는 경우 이 경고는 트리거될 수 있습니다. 다른 프로세스에 메모리가 필요한 경우 OS가 이 메모리를 릴리스하므로 이것이 항상 심각한 문제를 나타내는 것은 아닙니다. 인스턴스 메모리 사용량에 대한 자세한 내용은 DMC 리소스 사용량: 배포 대시보드로 이동하여 이 매뉴얼의 "리소스 사용량: 배포"를 참조하십시 오. 만료 된 라 이선 스와 곧 만 료될 라이 선스 포워 더 없 음 심각 만료되었거나 2주 이내에 만료될 라이선스가 있는 경우에 발 생합니다. 하나 이상의 포워더가 없는 경우에 발생합니다. 9 라이선스와 라이선스 사용량에 대한 자세한 내용 을 확인하려면 DMC에서 라이선싱을 클릭하십시 오. DMC의 포워더 대시보드를 참조하십시오.

심각 에 가 까운 디스 크 사 용량 디스크 용량의 80%를 사용할 때 발생합니다. 디스크 사용량에 대한 자세한 내용은 세 개의 DMC 리소스 사용량 대시보드로 이동하여 이 매 뉴얼의 해당 항목을 읽으십시오. 포화 상태 의 이 벤트 처리 대기 열 하나 이상의 인덱서 대기열이 지난 15분간 평균이 90% 이상 인 적재 백분율을 보고할 때 발생합니다. 이 경고를 통해 잠재 적인 인덱싱 대기 시간을 알 수 있습니다. 인덱서 대기열에 대한 자세한 내용은 두 개의 DMC 인덱싱 성능 대시보드로 이동하여 이 매뉴 얼의 해당 항목을 읽으십시오. 응답 하지 않는 검색 피어 일별 할당 량에 가까 운 총 라이 선스 사용 량 검색 피어(인덱서)의 모든 항목이 응답하지 않을 때 발생합니 다. 전체 일별 라이선스 할당량의 90%를 사용할 때 발생합니다. 모든 인스턴스 상태에 대한 내용은 DMC 인스턴 스 뷰를 참조하십시오. 라이선스 사용량에 대한 자세한 내용은 DMC에서 라이선싱을 클릭하여 확인하십시오. 검색 아티팩트 savedsearches.conf에서 dispatch.ttl 설정은 플랫폼 경고에서 검색이 4시간 동안 검색 아티팩트를 유지하도록 지시합니 다. 그러나 경고가 트리거되는 경우 해당 검색 아티팩트가 7일 동안 유지됩니다. 이는 트리거된 경고의 검색 결과를 검사하도록 이메일에 전송된 링크가 7일(기본값) 후에 만료됨을 의미합니다. DMC 대시보드 참조 검색 작업: 인스턴스 이 항목은 분산 관리 콘솔의 검색 작업: 인스턴스 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 검색 작업에 대한 여러 개의 패널이 표시됩니다. 검색의 중간값 리소스 사용량 패널에서 다음을 참조하십시오. 리소스 사용량은 모든 검색에 대해 집계됩니다. 메모리 사용량은 물리적 메모리를 나타냅니다. 이 차트에서 CPU 사용량은 시스템 전체 CPU 사용량이 아닌 하나의 코어의 백분율로 표시됩니다. 결과적으로 여기에 서는 100%보다 큰 값을 보게 되지만 분산 관리 콘솔에 있는 CPU 사용량의 다른 예제는 그렇지 않습니다. 검색 실행 시간 집계 패널에서 다음을 참조하십시오. 차트에서 각 시간 bin의 경우 DMC는 해당 시간 범위 동안 실행된 모든 검색의 실행 시간을 합산합니다. 따라서 예를 들면 5분 이내에 1000초의 검색을 볼 수 있습니다. 이는 다중 검색이 5분 동안 실행되었음을 의미합니다. historical batch 및 RT indexed 모드의 경우, historical batch는 Splunk Enterprise 내의 특정 기능(예: 스케줄러)에 의 해서만 발송될 수 있습니다. RT indexed는 인덱싱된 실시간을 의미합니다. 메모리를 많이 사용하는 상위 10개 검색 패널에서 SID는 검색 ID를 의미합니다. 저장된 검색에 대한 정보를 찾는 경우 audit.log는 저장된 검색(savedsearch_name)을 해당 검색 ID(search_id), 사용자 및 시간의 이름과 일치시킵니다. search_id로 Splunk 검색 로그("Splunk가 Splunk에 대해 로깅하는 내용" 참조)에서와 같이 다른 곳에서 해당 검색을 조회할 수 있습니다. 이 뷰에서 조회할 항목 시스템 제한과 비교하여 검색 동시성 및 리소스 사용량을 고려하십시오. 10

참고 항목: 검색 매뉴얼의 "보다 효율적인 검색 작성" 검색 매뉴얼의 "검색" 보고 매뉴얼의 "예약된 보고서의 우선순위 설정" 지식 관리자 매뉴얼의 "요약 기반 검색 및 피벗 가속화 개요" 검색 작업 패널에서 스냅샷은 기본적으로 10초마다 측정됩니다. 그래서 현재 실행되는 검색이 없거나 검색이 매우 짧게 실행 되는 경우, 스냅샷 패널이 공백으로 표시되고 "결과를 찾을 수 없습니다."라는 메시지가 나타납니다. historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 검색 작업: 배포 이 항목은 분산 관리 콘솔의 검색 작업: 배포 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." Splunk Enterprise 배포의 검색 작업에 대한 여러 개의 검색 패널이 표시됩니다. 여기에 표시된 메모리 및 CPU 사용량은 검색 전용입니다. 모든 Splunk Enterprise 리소스 사용량에 대한 리소스 사용량 대 시보드를 참조하십시오. 중간값 CPU 사용량별 인스턴스 패널에서 CPU는 다중 코어로 인해 100%보다 클 수 있습니다. 중간값 메모리 사용량별 인스턴스 패널에서 메모리는 물리적입니다. historical batch 및 RT indexed 모드의 경우 historical batch는 Splunk Enterprise 내의 특정 기능(예: 스케줄러)에 의해서만 발송될 수 있습니다. RT indexed는 인덱싱된 실시간을 의미합니다. 이 뷰에서 조회할 항목 컴퓨터에서 제한 초과에 근접한 항목을 검색합니다. 참고 항목: 검색 매뉴얼의 "보다 효율적인 검색 작성" 검색 매뉴얼의 "검색" 보고 매뉴얼의 "예약된 보고서의 우선순위 설정" 용량 계획 매뉴얼의 "여러 동시 검색 지원" historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 검색 사용량 통계: 인스턴스 이 항목은 분산 관리 콘솔의 검색 사용량 통계: 인스턴스 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시 오." 검색 사용량 통계에 대한 여러 개의 패널이 표시됩니다. 오래 걸리는 검색 패널에서: ZERO_TIME의 시작 시간은 검색이 epoch까지 실행됨을 의미합니다. ZERO_TIME의 종료 시간은 검색이 발생한 순간까지 검색이 수행됨을 의미합니다. 시작 시간과 종료 시간이 모두 ZERO_TIME으로 나열된 경우에는 전체 시간 검색을 나타냅니다. 11

공통 검색 명령어 패널에서 실행 시간은 초로 표시됩니다. 이 뷰에서 주의할 사항 오래 걸리는 검색을 살펴보는 것은 좋은 방법입니다. 최적화할 수 있는 검색을 찾을 수도 있기 때문입니다. 자세한 내용은 검색 매뉴얼의 "보다 효율적인 검색 작성"을 참조하십시오. 이 뷰에서 historical 패널은 audit.log에서 해당 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누 락한 경우 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부를 확인하십시오. 오래 걸리는 검색 패널도 REST endpoint의 정보를 사용합니다. 인덱싱 성능: 인스턴스 이 항목은 분산 관리 콘솔의 인덱싱 성능: 인스턴스 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 배포에서 잠재적으로 여러 개인 인스턴스 중 하나에서 인덱싱 성능에 대한 여러 개의 패널이 표시됩니다. Splunk Enterprise 데이터 파이프라인이라는 스냅샷 패널은 대기열 크기에 대한 감속 평균을 표시합니다. 평균은 이전 15 분간의 데이터를 사용합니다. 데이터 처리 대기열의 중간값 Fill Ratio historical 패널과 함께 이 패널을 사용하여 특정 대기 열에 대한 인덱싱 대기 시간의 원본 범위를 좁힐 수 있습니다. 데이터는 파싱에서 시작하고 데이터 파이프라인을 통해 인덱 싱까지 이동합니다. 인덱서 프로세서 작업당 소요된 CPU Seconds 집계 패널을 통해 "하위 작업별 인덱스 서비스 분할"을 수행할 수 있습니다. 여러 개의 인덱스 서비스는 인덱싱 후의 준비 및 정리와 관련된 하위 작업입니다. 하위 작업 범주의 의미에 대한 자세한 내용 은 문제 해결 매뉴얼에서 metrics.log 항목을 참조하십시오. 이 뷰에서 주의할 사항 데이터 처리 대기열의 중간값 Fill Ratio historical 패널과 함께 Splunk Enterprise 데이터 파이프라인 패널을 사용하여 특 정 대기열에 대한 인덱싱 대기 시간의 원본 범위를 좁힐 수 있습니다. 데이터는 파싱에서 시작하고 데이터 파이프라인을 통 해 인덱싱까지 이동합니다. 다음은 양호하지 않은 대기열을 가진 인스턴스에 있는 패널의 예제입니다. 이 예제에서는 파싱 및 aggregator 대기열의 매우 높은 fill ratio에도 불구하고 입력 대기열에서의 처리가 문제일 수 있습니 다. 입력 대기열이 속도가 저하되는 첫 번째 대기열이며, 데이터는 입력 대기열로 가져오기를 기다리는 동안 다른 두 개의 대 기열로 백업됩니다. 스냅샷 패널은 인트로스펙션을 위해 Splunk REST endpoint에서 데이터를 가져옵니다. 스냅샷 패널에 데이터가 없는 경우 다음을 확인하십시오. 플랫폼 계측에 필요한 시스템 요구 사항 server.conf의 pipelinesets 설정. 파이프라인 세트를 사용하는 경우(즉 pipelinesets를 1보다 큰 값으로 설정한 경우), DMC 인덱싱 성능 대시보드에 정보가 표시되지 않습니다. 이 뷰에 대한 historical 패널은 metrics.log에서 데이터를 가져옵니다. 인덱싱 성능: 배포 12

이 항목은 분산 관리 콘솔의 인덱싱 성능: 배포 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." Splunk Enterprise 배포의 인덱싱 성능에 대한 여러 개의 패널이 표시됩니다. 인덱싱 성능의 개요 패널에서 전체 인덱싱 속도는 모든 인덱서에 걸쳐 집계됩니다. 예상 인덱싱 속도별 인스턴스 패널에서 인덱싱 속도는 기본적으로 각 유형에 대해 상위 10개의 결과만 얻는 metrics.log를 사용하므로 해당 인덱싱 속도를 예상할 수 있습니다. 문제 해결 매뉴얼의 "metrics.log"를 참조하십시오. 스냅샷 패널은 인트로스펙션을 위해 Splunk REST endpoint에서 데이터를 가져옵니다. 스냅샷 패널에 데이터가 없는 경우 다음을 확인하십시오. 플랫폼 계측에 필요한 시스템 요구 사항 server.conf의 pipelinesets 설정. 파이프라인 세트를 사용하는 경우(즉 pipelinesets를 1보다 큰 값으로 설정한 경우), DMC 인덱싱 성능 대시보드에 정보가 표시되지 않습니다. 이 뷰에 대한 historical 패널은 metrics.log에서 데이터를 가져옵니다. 리소스 사용량: 인스턴스 이 항목은 분산 관리 콘솔의 리소스 사용량: 인스턴스 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." Splunk Enterprise 인스턴스에 의해 범위가 지정된 리소스 사용량에 대한 여러 패널 두 개의 "프로세스 클래스" 패널에서 프로세스 클래스는 splunkd 서버, 검색, Splunk Web, 인덱스 서비스, 스크립트 기반 입 력, KV 스토어 또는 다른 항목일 수 있습니다. 프로세스 클래스는 하나의 클래스 내에서 프로세스를 집계하는 것을 의미합니다. 자세한 내용은 다음을 참조하십시오. splunkd의 경우, 설치 매뉴얼의 "Splunk Enterprise 아키텍처 및 프로세스"를 참조하십시오. 검색의 경우, 검색 매뉴얼의 "검색" 및 "보다 효율적인 검색 작성"을 참조하십시오. splunkweb의 경우, 설치 매뉴얼의 "Splunk Enterprise 아키텍처 및 프로세스"를 참조하십시오. 스크립트 기반 입력의 경우, 데이터 가져오기 매뉴얼의 "스크립트 기반 입력을 통해 API 및 기타 원격 데이터 인터페이 스에서 데이터 가져오기"를 참조하십시오. KV 스토어의 경우, DMC의 "KV 스토어: 인스턴스" 뷰를 참조하십시오. 인덱스 서비스는 인덱싱과 관련한 하우스키핑 작업으로 구성됩니다. 하우스키핑 작업은 인덱싱 파이프라인의 끝에 실행되지 만 비동기입니다. 이러한 프로세스는 splunkd를 통해서 실행되지 않고 자체적으로 실행됩니다. 디스크 사용량 및 중간값 디스크 사용량 패널에는 Splunk Enterprise가 사용하는 파티션만 나열됩니다. 이 뷰에서 주의할 사항 많은 리소스를 사용하는 프로세스 클래스가 검색으로 판명되는 경우 검색 작업: 인스턴스 대시보드로 이동합니다. 오래 걸리는 프로세스의 경우 주의깊게 살펴봐야 할 문제점은 시간이 지남에 따라 메모리 사용량이 계속 늘어난다는 것입니 다. historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 리소스 사용량: 서버 이 항목은 분산 관리 콘솔의 리소스 사용량: 서버 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." Splunk Enterprise 배포의 개별 서버가 리소스를 사용하고 있는 방법에 대한 여러 패널 13

Splunk Enterprise 배포의 개별 서버가 리소스를 사용하고 있는 방법에 대한 여러 패널 이 뷰는 용량 계획은 물론 작동상의 사후 분석에도 유용할 수 있습니다. 자세한 내용은 용량 계획 매뉴얼을 참조하십시오. 이 뷰에서의 물리적 메모리 사용량: Linux에서 OS는 파일 시스템 리소스를 캐시하기 위해 사용 가능한 물리적 메모리를 사 용하기 시작합니다. 그러나 메모리의 경계가 고정되어 있지 않으므로, 더 높은 우선순위의 프로세스에서 메모리를 필요로 하 는 경우 필요한 메모리를 해당 프로세스에서 우선적으로 확보할 수 있습니다. 그러므로 DMC 보고에서는 이러한 방식으로 고정된 대략적인 메모리의 양을 파악할 수 없습니다. 중간값 CPU 사용량 패널에서 100%는 여러 코어가 있는 전체 시스템을 의미하지만 이는 검색 작업 대시보드에 반대되며 여 기서 100%는 하나의 코어를 의미합니다. 이 뷰에서의 디스크 공간은 Splunk가 있는 파티션만을 나타냅니다. 이 뷰에서 주의할 사항 오래 걸리는 프로세스의 경우 주의깊게 살펴봐야 할 문제점은 시간이 지남에 따라 메모리 사용량이 계속 늘어난다는 것입니 다. historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 리소스 사용량: 배포 이 항목은 분산 관리 콘솔의 리소스 사용량: 배포 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." Splunk Enterprise 배포의 리소스 사용량에 대한 여러 패널. 이러한 패널은 용량 계획에 유용할 수 있습니다. 이 뷰에서의 물리적 메모리 사용량: Linux에서 OS는 파일 시스템 리소스를 캐시하기 위해 사용 가능한 물리적 메모리를 사 용하기 시작합니다. 그러나 메모리의 경계가 고정되어 있지 않으므로, 더 높은 우선순위의 프로세스에서 메모리를 필요로 하 는 경우 필요한 메모리를 해당 프로세스에서 우선적으로 확보할 수 있습니다. 그러므로 DMC 보고에서는 이러한 방식으로 고정된 대략적인 메모리의 양을 파악할 수 없습니다. 배포 전역에서의 중간값 디스크 사용량 패널은 각 Splunk Enterprise 인스턴스에 의해 사용 중인 모든 파티션을 고려합니다. 이 뷰에서 주의할 사항 이 뷰의 공통 테마는 인스턴스가 값 범위별로 그룹화되었다는 것입니다. 한 가지 흥미로운 것은 다른 인스턴스와 비슷하지 않은 이상값: 인스턴스입니다. 시간이 지남에 따라 표시되는 패턴도 살펴봐야 합니다. historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 패널이 공백으로 표시되거나 비인덱서에서 정보를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 KV 스토어: 인스턴스 이 항목은 분산 관리 콘솔의 KV 스토어: 인스턴스 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 분산 관리 콘솔(DMC)의 인스턴스 수준 KV 스토어 뷰는 앱 key-value 스토어를 실행하는 단일 Splunk Enterprise 인스턴스 에 대한 성능 정보를 표시합니다. 분산 배포로 DMC를 설정한 경우 배포에서 표시될 인스턴스를 선택할 수 있습니다. 성능 메트릭 컬렉션 메트릭은 /services/server/introspection/kvstore/collectionstats REST endpoint에서 데이터의 historical 레코드 인 _introspection 인덱스의 KVStoreCollectionStats 구성 요소에서 발생합니다. 메트릭은 다음과 같습니다. 14

애플리케이션. 컬렉션이 속한 애플리케이션입니다. 컬렉션. KV 스토어에서의 컬렉션 이름입니다. 개체 수. 컬렉션에 저장된 데이터 개체 수입니다. 가속화. 컬렉션에 설정된 가속화 수입니다. 참고: 이것은 성능 및 검색 가속화에 사용된 기존의 데이터베이스 스타일 인덱스입니다. 가속화 크기. 컬렉션에 설정된 인덱스 크기(MB)입니다. 컬렉션 크기. 컬렉션에 저장된 모든 데이터 크기(MB)입니다. 스냅샷은 관련 인트로스펙션 구성 요소에서 가장 최근 정보를 전송하는 REST endpoint를 통해 수집됩니다. KV 스토어 인 스턴스 스냅샷은 /services/server/introspection/kvstore/serverstatus endpoint를 사용합니다. Historical 잠금 백분율. 시스템에서 전역 읽기 또는 쓰기 잠금을 유지하는 KV 스토어 가동 시간의 백분율입니다. 잠금 백분율이 높으면 전반적으로 영향을 미칩니다. 이로 인해 복제가 필요하거나 애플리케이션 호출이 느려지고 시간이 초과되거나 실패할 수도 있습니다. 페이지 오류 백분율. 페이지 오류가 발생한 KV 스토어 작업의 백분율입니다. 1에 가까운 백분율은 시스템 성능 저하를 의미하며 KV 스토어가 메모리에서 효율적으로 데이터 스토어에 액세스하지 않고 디스크 I/O에서 강제로 폴백하므로 지속적인 지연을 나타내는 선행 지표가 됩니다. 메모리 사용량. KV 스토어에서 사용 중인 매핑된 상주 가상 메모리의 양입니다. 가상 메모리 사용량은 일반적으로 KV 스토어에 대해 매핑된 메모리 사용량의 2배입니다. 매핑된 메모리의 3배를 초과하는 가상 메모리 사용량은 메모리 부 족을 나타낼 수 있습니다. 네트워크 트래픽. KV 스토어 네트워크 트래픽의 총 유입량(MB) 및 총 유출량(MB)입니다. 플러시 백분율. KV 스토어에서 모든 디스크 쓰기를 플러시하는 데 소요되는 시간(분)의 백분율입니다. 1에 가까울수 록 디스크 쓰기가 어렵거나 많은 양의 쓰기 작업이 지속적으로 수행되고 있음을 나타냅니다. 일부 OS에서는 60초보 다 빠르게 데이터를 플러시할 수 있습니다. 이러한 경우 이 숫자는 쓰기 병목 현상이 있더라도 작을 수 있습니다. 작업 수. KV 스토어에 대해 실행한 작업 수입니다. 명령, 업데이트, 쿼리, 삭제, getmore, 삽입이 여기에 포함됩니다. 인 트로스펙션 프로세스는 KV 스토어 통계를 전달하도록 명령을 보내므로 명령 카운터는 일반적으로 대부분의 작업보다 높습니다. 현재 연결 수. KV 스토어에서 열려 있는 연결 수입니다. 총 대기열 수. 잠금을 기다리는 대기열에 있는 총 작업 수입니다. 총 Assert(어설트) 수. KV 스토어에서 발생한 총 Assert(어설트) 수입니다. 음수가 아닌 수는 KV 스토어 로그를 확인 할 필요가 있음을 나타냅니다. 이 절의 통계 중 많은 항목이 스냅샷 섹션에 있습니다. Historical 뷰는 시간 간격 집합의 메트릭에 대한 동향 정보를 나타냅 니다. 이러한 통계는 KVStoreServerStats에 수집됩니다. 기본적으로 Historical 패널은 지난 4시간 동안의 정보를 표시합 니다. 이 섹션에 있는 그래프의 모든 공백은 일반적으로 KV 스토어 또는 Splunk Enterprise가 연결할 수 없는 점을 나타냅니 다. 메모리 사용량 - 위 내용 참조 복제 지연. 기본 OpLog에 기록된 마지막 작업과 보조 노드에 적용된 마지막 작업 간의 시간 간격입니다. 기본 oplog 창을 초과하는 복제 지연으로 인해 데이터가 올바르게 복제 집합의 모든 노드에 복제되지 않을 수 있습니다. 복제 기능 이 없는 독립형 인스턴스에서 이 패널은 어떠한 결과도 반환하지 않습니다. 참고: 복제 지연은 _introspection 인덱스 의 KVStoreReplicaSetStats 구성 요소에 수집됩니다. 작업 수(분별 평균) - 위 내용 참조. 이 패널은 개별 작업 유형(예: 명령, 업데이트, 삭제) 또는 모든 작업 유형을 보여줍 니다. Assert(어설트) 수 - 위 내용 참조. 이 패널을 통해 Assert(어설트) 유형(메시지, 정규, 롤오버, 사용자, 경고)에 기반하여 필터링을 수행할 수 있습니다. 잠금 백분율. 시스템에서 전역 읽기 또는 쓰기 잠금을 유지하는 KV 스토어 가동 시간의 백분율입니다. 유지되는 잠금 유형별로 이 패널을 필터링하십시오. 읽기. 읽기 작업 잠김 쓰기. 쓰기 작업 잠김. KV 스토어 잠금은 "writer greedy"입니다. 따라서 쓰기 잠금은 컬렉션에 있는 총 잠금 수 의 대부분을 차지할 수 있습니다. 전역. 전역 시스템으로 인해 잠김. KV 스토어는 컬렉션 수준 잠금을 구현하여 전역 잠금을 공격적으로 사용해야 하는 필요성을 줄입니다. 전체 작업의 페이지 오류(백분율로 표시) - 위 내용 참조 네트워크 트래픽 - 위 내용 참조 이 패널에 추가된 항목은 KV 스토어에 대한 요청 수입니다. 시간에 따른 대기열. 다음 기준으로 구분된 대기열 수: 읽기. 읽기 잠금 해제를 기다리는 읽기 작업의 수입니다. 쓰기. 쓰기 잠금 해제를 기다리는 쓰기 작업의 수입니다. 합계 일정 시간 동안의 연결 수 디스크 플러싱에 소요되는 각 분의 백분율 - 위 내용 참조 가장 느린 작업. 선택된 시간 범위에서 KV 스토어에 기록된 10개의 가장 느린 작업입니다. 모든 컬렉션에 대해 프로파 일링이 꺼져 있는 경우 매우 느리게 실행 중인 작업이 있어도 검색 결과가 없을 수 있습니다. collections.conf에서 컬렉 션별로 프로파일링을 활성화하십시오. 이 뷰는 어디에서 데이터를 수집합니까? KV 스토어는 _introspection 인덱스에서 데이터를 수집합니다. 이러한 통계는 다음 구성 요소로 나뉩니다. KVStoreServerStats. KV 스토어 프로세스가 전체적으로 수행되는 방법에 대한 정보입니다. 27초 간격으로 폴링됩니 다. KVStoreCollectionStats. KV 스토어 내의 컬렉션에 대한 정보입니다. 10분 간격으로 폴링됩니다. 15

KVStoreReplicaSetStats. KV 스토어 인스턴스의 복제 데이터에 대한 정보입니다. 60초 간격으로 폴링됩니다. KVProfilingStats. 느린 작업에 대한 정보입니다. 5초 간격으로 폴링됩니다. 프로파일링을 활성화한 경우에만 제공됩 니다. 참고: 개발 시스템에서만 프로파일을 활성화하거나 기본 패널에서 사용 가능한 성능 이외의 KV 스토어 성능 관 련 문제를 해결하기 위해 프로파일을 활성화하십시오. 프로파일링은 시스템 성능에 부정적인 영향을 미칠 수 있으므로 실제 운영 환경에서는 활성화하지 않아야 합니다. 또한 KV 스토어는 Splunk Enterprise에서 수집된 많은 내부 로그에서 항목을 생성합니다. 성능 표시기 및 빨간색 플래그에 대한 내용은 이 매뉴얼의 "KV 스토어: 배포"를 참조하십시오. historical 패널은 인트로스펙션 로그에서 데이터를 가져옵니다. 이 섹션에 있는 그래프의 시간 차이는 일반적으로 KV 스토 어 또는 Splunk Enterprise가 연결할 수 없는 점을 나타냅니다. 패널이 완전히 공백으로 표시되거나 특정 Splunk Enterprise 인스턴스에서 데이터를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 인트로스펙션 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 KV 스토어: 배포 이 항목은 분산 관리 콘솔의 KV 스토어: 배포 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 분산 관리 콘솔(DMC)의 KV 스토어: 배포 뷰에서는 Splunk Enterprise 배포에서 모든 KV 스토어에 걸쳐 집계된 정보를 제 공합니다. 이 뷰에 포함될 인스턴스의 경우 해당 인스턴스는 KV 스토어의 서버 역할로 설정되어야 합니다. DMC 설정 페이 지에서 이를 수행하십시오. 이 뷰 및 KV 스토어: 인스턴스 뷰는 대부분 동일한 정보를 추적합니다. 이 배포 뷰는 KV 스토어에서 통계를 수집하고 다른 메트릭의 값을 기준으로 그룹화된 인스턴스를 표시하는 것이 다른 점입니다. 개별 대시보드 및 메트릭에 대한 정의 및 컨텍스트는 이 장의 "KV 스토어: 인스턴스"를 참조하십시오. 성능 메트릭 배포 스냅샷 배포 스냅샷 통계는 /services/server/introspection/kvstore/serverstatus REST endpoint에 액세스합니다. 배포 스냅샷은 배포에서 각 KV 스토어 인스턴스에 대해 다음 정보를 제공합니다. 인스턴스. Splunk Enterprise 인스턴스 이름입니다. 메모리 사용량 전체 대기 현재 연결 수 작업당 페이지 오류 잠금(%) 마지막 플러시(ms) 네트워크 트래픽(MB) 가동 시간(시간). 현재 인스턴스가 재시작 없이 실행되는 시간입니다. 복제 역할. 인스턴스가 복제 집합에서 수행하는 역할입니다. 인스턴스가 복제 집합의 부분이 아닌 경우 "N/A"가 반환 됩니다. 이 뷰는 어디에서 데이터를 수집합니까? KV 스토어는 _introspection 인덱스에서 데이터를 수집합니다. 이러한 통계는 다음 구성 요소로 나뉩니다. KVStoreServerStats. KV 스토어 프로세스가 전체적으로 수행되는 방법에 대한 정보입니다. 27초 간격으로 폴링됩니 다. KVStoreCollectionStats. KV 스토어 내의 컬렉션에 대한 정보입니다. 10분 간격으로 폴링됩니다. KVStoreReplicaSetStats. KV 스토어 인스턴스의 복제 데이터에 대한 정보입니다. 60초 간격으로 폴링됩니다. KVProfilingStats. 느린 작업에 대한 정보입니다. 5초 간격으로 폴링됩니다. 프로파일링을 활성화한 경우에만 제공됩 니다. 참고: 개발 시스템에서만 프로파일을 활성화하거나 기본 패널에서 사용 가능한 성능 이외의 KV 스토어 성능 관 련 문제를 해결하기 위해 프로파일을 활성화하십시오. 프로파일링은 시스템 성능에 부정적인 영향을 미칠 수 있으므로 실제 운영 환경에서는 활성화하지 않아야 합니다. 또한 KV 스토어는 Splunk Enterprise에서 수집된 많은 내부 로그에서 항목을 생성합니다. 이 뷰 해석 16

패널 심각함 경고 보통 해석 작업 당 페이 지 오류 1.3 이상 읽기에 많은 양의 디스크 I/O가 필요합니다. 이는 더 많은 RAM이 필요함을 나 타낼 수 있습니다. 0.7 1.3 읽기에 정 기적으로 디스크 I/O 가 필요합 니다. 0 0.7 읽기에 디 스크 I/O가 거의 필요 하지 않습 니다. 읽기 요청이 Splunk Enterprise의 메모리에 저장된 정보로 충족되지 않아 Splunk Enterprise가 디스크에 컨택해야 하 는 빈도를 측정합니다. 잠금 백분 율 네트 워크 트래 픽 복제 대기 시간 기본 작업 로그 윈도 우 플러 싱 비율 50% 이상 30% 50% 0 30% 해당 없음 해당 없음 해당 없음 >30초 10 30초 0 10초 해당 없음 해당 없음 해당 없음 50% 100% 10% 50% 0 10% 잠금 백분율이 높으면 복제가 필요하고 애플리케이션 호출 이 느려지고 시간이 초과되거나 실패할 수 있습니다. 잠금 백분율이 높으면 일반적으로 노드에서 많은 양의 쓰기 작 업이 실행되고 있음을 의미합니다. 네트워크 트래픽은 시스템 사용 및 애플리케이션 기대값에 비례해야 합니다. 기본 임계값이 적용되지 않습니다. 복제 필요성은 시스템에 따라 다릅니다. 일반적으로 복제 집합 구성원은 KV 캡틴 뒤에 현저히 감소하지 않아야 합니 다. 30초를 넘는 복제 대기 시간은 마운팅 복제 문제를 나 타낼 수 있습니다. 참조용으로 제공됩니다. 이는 시스템이 복원을 위해 작업 로그에 저장한 시간 측면에서의 데이터 양입니다. 높은 플러시 비율은 많은 양의 쓰기 작업 또는 시스템 성능 저하를 나타냅니다. historical 패널은 _introspection 및 _internal 인덱스에서 데이터를 가져옵니다. 이러한 패널의 시간 차이는 KV 스토어 또는 Splunk Enterprise가 연결할 수 없는 점을 나타냅니다. 패널이 완전히 공백으로 표시되거나 특정 Splunk Enterprise 인스턴 스에서 데이터를 누락한 경우 다음 항목을 확인하십시오. 인덱서에 로그를 전달하고 있는지 여부 플랫폼 계측에 필요한 시스템 요구 사항 검색 헤드 클러스터링 대시보드 이 항목은 검색 헤드 클러스터링과 관련된 모든 분산 관리 콘솔 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하 십시오." 상태 및 설정 상태 및 설정 대시보드는 검색 헤드 클러스터에 대한 개요입니다. 이 대시보드에는 개괄적인 정보가 표시됩니다. 아티팩트 복제 아티팩트 복제 대시보드는 클러스터에서 복제할 검색 아티팩트의 "백로그(backlog)"를 표시하는 여러 패널로 구성됩니다. 분산 검색 매뉴얼에서 "검색 헤드 클러스터링 아키텍처"를 참조하십시오. 경고 및 오류 패턴 패널은 경고 및 오류 이벤트를 해당 메시지의 텍스트에 따라 그룹화합니다. 그룹화 기능에서는 클러스터 명령어를 사용합니다. 검색 헤드 클러스터에서 아티팩트를 제때 복제하는 경우, 복제를 기다리는 아티팩트 수는 0이거나 0에 가깝습니다. 복제를 기다리는 아티팩트가 몇 개 있는 것은 경고 신호가 아닐 수 있습니다. 아티팩트 수가 계속 높게 유지되거나 특히 아티팩트 수 가 점점 증가하면 복제에 문제가 있을 가능성이 있습니다. 대기 중인 아티팩트가 많으면 다른 검색 헤드 사용자가 로컬 캐시 를 얻지 못해서 검색 기능이 느려지는 문제를 겪을 수 있습니다. 복제할 아티팩트 수의 중간값은 (이름 그대로) 중간값입니다. 따라서 좁은 스파이크가 있으면 시간 범위가 클 경우 보이지 않 습니다. 아티팩트 복제 작업 활동 패널에는 복제 작업의 변동률(구체적으로 말하면 백로그 변동률)이 표시됩니다. 클러스터의 백로그 수가 감소하고 있는 경우 백로그 변동률이 음수(-)일 수 있습니다. 이 패널에서는 백로그가 꾸준히 증가하는 위험 신호(즉 백 로그 변동률이 항상 양수인 경우)에 주의해야 합니다. 이 위험 신호가 발생하면 위의 복제할 아티팩트 수의 중간값 패널에 백 로그가 계속 증가하는 것으로 나타납니다. 17

설정 복제 설정 복제 대시보드는 사용자가 변경하는 SHC 구성원 설정과 해당 변경 사항이 클러스터를 통해 전파되는 방법에 대한 통 찰력을 부여합니다. 작업 참조: 다음은 일정 시간 동안의 작업 수와 일정 시간 동안 작업에 소요된 시간 패널에 표시되는 세부 작업입니다. 각 패 널은 문제 해결에 유용할 수 있습니다. accept_push acquire_mutex add_commit base_initialize check_range 작업 compute_common pull_from purge_eligible push_to release_and_reacquire_mutex reply_pull repo_initialize 설명 캡틴에서 구성원으로부터 복제한 변경 사항을 수락합니다. 설정 시스템을 "보호"하는 mutex(mutual exclusion: 상호 배제)를 가져옵니다. 구성원에서 변경 사항을 기록합니다. 설정 "루트"(예: $SPLUNK_HOME/etc)를 초기화합니다. 두 설정 변경 사항의 범위를 비교합니다. 구성원과 캡틴에서 최근에 공통으로 변경한 사항을 찾습니다. 구성원에서 캡틴의 변경 사항을 끌어옵니다. 구성원에서 repo의 매우 오래된 변경 사항을 제거합니다. 구성원에서 변경 사항을 캡틴으로 푸시합니다. 설정 시스템을 "보호"하는 mutex를 방출한 후 다시 가져옵니다. acquire_mutex와 유사 합니다. 캡틴에서 구성원의 pull_from 요청에 회신합니다. 설정 repo를 (디스크에서) 초기화합니다. 이 정보는 Splunk 서포트에서 이용할 수 있습니다. 설정 복제에 문제가 있는 경우, 이 대시보드에서 단서를 찾아볼 수 있습니 다. 그러나 혼자서 지식을 얻으려고 하지 않고 지원 사안을 접수한 후에 정보를 수집하는 용도로 이 대시보드를 사용하는 것 이 좋습니다. 스케줄러 위임 분산 검색 매뉴얼에서 "검색 헤드 클러스터링 아키텍처"를 참조하십시오. 스케줄러 상태 패널에서 max_pending과 max_running이 30초 이상 "HWM(하이워터 마크)"이라는 점에 주목하십시오. 즉, 이 두 가지 작업의 경우 30초 내에 보류 또는 실행되었던 작업의 수가 가장 많았습니다. 이 패널에서 여러 함수 중 하나를 선 택할 수 있습니다. "maximum(최대값)" 함수는 이러한 통계와 함께 간단한 방법으로 사용할 수 있습니다. 하지만 "average(평균)," "median(중간값)," 또는 "90th percentile(90번째 백분위수)"가 무엇을 의미하는지 잘 생각해 보십시오. 예 를 들어 max_pending이 30초 동안 4라고 가정하고, max_pending 값의 평균을 구합니다. 그러면 전체 평균이 아닌 높은 값 의 평균을 얻게 됩니다. 따라서 보류 중인 작업 수가 심하게 바뀔 경우 평균 max_pending은 보류 중인 작업 수의 단순 평균 과 비슷하지 않을 수 있습니다. 앱 배포 Splunk Enterprise 인스턴스 업데이트 매뉴얼에서 "배포 서버"와 "포워더 관리"를 참조하십시오. 앱 상태 패널에 불일치가 계속 나타날 경우, 주 배포 노드가 앱을 구성원에 배포하는 작업을 완료하지 않았음을 의미합니다. DMC 설정 단계를 모두 완료했는지 확인합니다. 특히 검색 헤드와 주 배포 노드에서 인덱서로 로그를 전달해야 합니다. "DMC 전제 조건"을 참조하십시오. 모든 검색 헤드 클러스터링 대시보드에 대해, 검색 헤드를 DMC의 검색 피어로 설정해야 합니다. 모든 검색 헤드 클러스터링 대시보드는 검색 헤드 클러스터의 구성원을 필요로 합니다. "클러스터 레이블 설정"을 참 조하십시오. 앱 주 배포 노드에도 레이블이 필요합니다. 앱 배포 대시보드의 경우: 주 배포 노드가 DMC의 검색 피어여야 합니다. 그렇지 않은 경우 DMC를 주 배포 노드에서 호스트할 수 있습니다. "검 색 피어로 인스턴스 추가"를 참조하십시오. 주 배포 노드에는 주 배포 노드 역할이 있어야 합니다(자동 검색 가능). 분산 관리 콘솔 > 설정 > 일반 설정에서 이를 확 인하십시오. 주 배포 노드에 SHC의 구성원이라는 레이블을 수동으로 적용해야 합니다(자동 검색되지 않음). 분산 관리 콘솔 > 설 정 > 일반 설정에서 설정하십시오. 주 배포 노드는 위와 같이 로그를 전달해야 합니다. "DMC 전제 조건"을 참조하십시오. 18

인덱서 클러스터링: 상태 이 항목은 분산 관리 콘솔의 인덱서 클러스터링: 상태 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 이 뷰는 인덱서 클러스터 마스터의 마스터 대시보드와 유사합니다. 인덱서 및 인덱서의 클러스터 관리 매뉴얼에서 "마스터 대시보드 보기"를 참조하십시오. 이 대시보드에서 모든 인덱서 클러스터의 데이터를 볼 수 있어야 합니다. 여러 인덱서 클러스터가 있는데 모든 인덱서 클러 스터의 데이터가 보이지 않는 경우, Splunk Enterprise 배포에서 DMC를 설정하는 단계를 따랐는지 확인하십시오. 특히, 모든 클러스터의 구성원인 검색 헤드에서 DMC를 호스트하고 있는지 확인하십시오. 인덱서 클러스터에 레이블을 적용했는지 확인하십시오. 각 클러스터 마스터가 DMC에 검색 피어로 추가되었는지 확인하십시오. 인덱서 클러스터링: 서비스 작업 이 항목은 분산 관리 콘솔의 인덱서 클러스터링: 서비스 작업 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십 시오." 인덱서 클러스터링에 대한 여러 패널이 표시됩니다. 이 대시보드의 패널에는 데이터가 표시되지 않을 수 있습니다. 버킷 복구 작업이 수행된 경우에만 데이터가 표시됩니다. 이러한 패널은 Splunk Enterprise에서 수행해야 하는 수정 작업의 수(즉, 작업 백로그)를 확인하는 데 도움이 됩니다. 수정 작 업 하나는 2개 이상의 작업으로 이어질 수 있습니다. 마지막 2개 패널은 클러스터링 endpoint에 도달하는 데 소요된 시간을 측정합니다. Splunk 서포트 및/또는 엔지니어링에서는 이 데이터를 확인하고 클러스터 마스터에서 수행하는 작업의 유형을 프로파일링 할 수 있습니다. 이 뷰에서 조회할 항목 이 뷰는 클러스터에서 피어가 다운되는 등의 예기치 못한 이벤트가 발생할 때 사용합니다. 하지만, 보류 중인 작업이 전혀 없는 것이 가장 이상적인 경우입니다. 검색 팩터가 충족되지 않으면 검색 결과가 불완전합니다. 세대가 일치하지 않으면 전체 클러스터를 검색할 수 없습니다. 하지만 6.1 이후의 클러스터에서는 이러한 일이 발생할 가능 성이 거의 없습니다. 이벤트 후에 이 대시보드를 보고 작업 수가 하향 추세인지 확인할 수 있습니다. 클러스터가 양호할 경우 해당 패널에 데이터 가 없어야 합니다. DMC 설정 단계를 모두 완료했는지 확인합니다. 특히 검색 헤드와 주 배포 노드에서 인덱서로 로그를 전달해야 합니다. "DMC 전제 조건"을 참조하십시오. 모든 인덱서 클러스터링 대시보드는 인덱서 클러스터의 구성원을 필요로 합니다. "클러스터 레이블 설정"을 참조하십 시오. 인덱싱: 인덱스 및 볼륨 대시보드 이 항목은 분산 관리 콘솔의 인덱싱: 인덱스 및 볼륨 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 인덱스 및 볼륨 대시보드는 인덱싱에 대한 6개의 개별적인 대시보드로 구성되며, 각 대시보드는 여러 패널로 구성됩니다. 인덱스 및 볼륨 대시보드는 인덱스에서 디스크가 어떻게 사용되고 있는지 설명합니다. 이 뷰는 리소스 사용량 뷰에 표시되는 19

데이터를 분석합니다. 시스템 저장소가 부족하면 인덱스 및 볼륨 대시보드를 확인하십시오. 이 데이터를 사용하면 데이터 보존 정책을 수정하는 데 도움이 됩니다. 인덱서 및 인덱서의 클러스터 관리에서 "인덱서가 인덱스를 저장하는 방법"을 참조하십시오. 이 뷰에서 조회할 항목 인덱스 및 볼륨: 인스턴스 대시보드에서 파란색으로 강조 표시된 인스턴스는 버킷을 frozen으로 롤링합니다. 인덱서 및 인덱 서의 클러스터 관리에서 "인덱서가 인덱스를 저장하는 방법"을 참조하십시오. 포워더: 인스턴스 이 항목은 분산 관리 콘솔의 포워더: 인스턴스 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 포워더에 대한 여러 패널이 표시됩니다. "발신 데이터 속도"라는 수량 정보는 사실 인덱서가 포워더로부터 (metrics.log에서) 수신하는 수신 데이터입니다. 패널에 데이터가 없으면 분산 또는 독립형 모드에서 DMC 설정 단계를 모두 완료했는지 확인하십시오. 모든 DMC 대시보드 와 마찬가지로, 대시보드를 모니터링하는 포워더에는 인덱서의 metrics.log가 필요합니다. 포워더 대시보드 패널이 작동하려면 "포워더 모니터링 설정"의 설정 단계를 따라야 합니다. 또한 포워더 대시보드 historical 패널은 개별 GUID가 있는 포워더를 필요로 합니다. 해당 패널에서는 (DMC > 설정 > 포워더 모니터링 설정에서 정의한) "데이터 수집 간격" 중 하나 이상이 경과할 때까지 평균 이 계산되지 않습니다. 포워더: 배포 이 항목은 분산 관리 콘솔의 포워더: 배포 대시보드에 대한 참고 자료입니다. "분산 관리 콘솔을 참조하십시오." 포워더에 대한 여러 패널이 표시됩니다. (값이 "active" 또는 "missing"일 수 있는) "상태"에 대한 참고. 예약된 검색 실행 시에는 이전 15분을 돌아봅니다. 해당 포워 더가 이 마지막 15분 이내에 인덱서에 연결할 경우 상태는 "active"입니다. 이 시간은 예약된 검색을 실행하는 빈도인 (포워 더 설정의) 데이터 수집 간격과 다릅니다. 예를 들어 수집 간격을 24시간으로 설정할 수 있습니다. 그러면 예약된 검색이 24 시간마다 실행되지만, 실행되기 전의 15분만 확인합니다. 이 뷰에서는 포워더에 대한 데이터를 assets.csv라는 내부 파일에 표시합니다..csv 파일의 데이터는 누적 데이터입니다. 포 워더가 인덱서에 연결하면 포워더의 기록이.csv 파일에 존재하게 됩니다. 그 후에 포워더를 제거한 경우에도 DMC가 포워 더의 기록을 파일에서 제거하지 않습니다. 대신 "missing(없음)"으로 표시합니다. 제거된 포워더가 "missing(없음)"으로 표 시되지 않도록 하려면 포워더 설정에서 "포워더 자산 재작성"을 클릭하십시오. 이 임시 검색을 실행하여 자산 파일을 채울 때 다른 돌아보기 시간을 한 번만 선택할 수 있습니다. 이때 선택한 시간으로 인해 예약된 검색에서 돌아보는 시간인 15분이나 데이터 수집 간격이 변경되지는 않습니다. 상태 및 설정 패널: 표시되는 시간은 예약된 검색이 마지막으로 완료된 시간입니다. 이 뷰에서 조회할 항목 포워더에서 보고 기능을 올바로 수행하고 있는지 확인하십시오. 이 대시보드는 하나 이상의 포워더가 없을 때 알려줄 수 있 는 사전 설정된 플랫폼 경고와 페어링됩니다. 패널에 데이터가 없으면 분산 또는 독립형 모드에서 DMC 설정 단계를 모두 완료했는지 확인하십시오. 모든 DMC 대시보드 와 마찬가지로, 대시보드를 모니터링하는 포워더에는 인덱서의 metrics.log가 필요합니다. 포워더 대시보드 패널이 작동하려면 "포워더 모니터링 설정"의 설정 단계를 따라야 합니다. 20

또한 포워더 대시보드 historical 패널은 개별 GUID가 있는 포워더를 필요로 합니다. 해당 패널에서는 (DMC > 설정 > 포워더 모니터링 설정에서 정의한) "데이터 수집 간격" 중 하나 이상이 경과할 때까지 평균 이 계산되지 않습니다. 라이선싱 분산 관리 콘솔(DMC)의 라이선싱 뷰에는 라이선스 사용량 보고서 뷰와 동일한 정보가 표시됩니다. 라이선스 마스터 대신 DMC를 통해 이 뷰에 액세스하면 배포에 여러 개의 라이선스 마스터가 있는 경우 보려는 라이선스 마스터 정보를 DMC 뷰 에서 선택할 수 있다는 장점이 있습니다. 이 뷰의 정보에 대한 자세한 내용은 이 매뉴얼에서 "Splunk Enterprise 라이선스 사용량 보고서 뷰"를 참조하십시오. 21