Splunk Enterprise 6.3.0 검색 튜토리얼 생성일: 2015-09-14 오전 10시 45분 Copyright (c) 2016 Splunk Inc. All Rights Reserved
Table of Contents 소개 검색 튜토리얼 3 3 파트 1: Splunk Enterprise 다운로드 및 설치 전제 조건 Linux, Windows 또는 Mac OS X에서 Splunk Enterprise 설치 Splunk Enterprise 시작 및 Splunk Web 실행 파트 2: Splunk Enterprise 시작하기 Splunk Web 탐색 파트 3: Splunk Enterprise로 데이터 가 져오기 Splunk Enterprise로 데이터 가 져오기 Splunk Enterprise로 튜토리얼 데이터 가 져오기 파트 4: Splunk 검색 사용 검색 대시보드 시간 범위 선택기 검색 작업 및 검색 모드 검색 결과 탭 파트 5: 튜토리얼 데이터 검색 검색 시작 필드를 사용하여 검색 검색 언어 사용 하위 검색 사용 필드 룩업 사용 파트 6: 보고서 저장 및 공유 보고서 저장 및 공유 추가 검색 및 보고서 파트 7: 대시보드 만들기 대시보드 대시보드 및 대시보드 패널 만들기 대시보드에 더 많은 패널 추가 다음 단계 추가 Splunk 검색 참고 자료 3 3 4 5 7 7 9 9 10 12 12 16 17 18 21 21 23 28 32 34 40 40 44 50 50 51 55 59 59
소개 검색 튜토리얼 Splunk 검색은 Splunk Enterprise를 사용하여 검색을 실행하고 보고서를 저장하고 대시보드를 만드는 기본 인터페이스입니 다. 이 검색 튜토리얼은 Splunk Enterprise와 Splunk 검색 기능을 처음 사용하는 사용자를 위해 작성되었습니다. 이 튜토리얼에는 어떤 내용이 있습니까? 이 매뉴얼에서는 초급 사용자를 대상으로 데이터를 추가하고, 데이터를 검색하고, 검색을 보고서로 저장하며 대시보드를 만 드는 과정을 안내합니다. Splunk 검색을 처음 사용하는 경우 이 튜토리얼부터 시작하는 것이 좋습니다. 파트 1: Splunk Enterprise 다운로드 및 설치에서는 Splunk Enterprise를 각 플랫폼에서 다운로드 및 설치하고 시작 하는 절차에 대해 설명합니다. 파트 2: Splunk Enterprise 시작하기에서는 Splunk Enterprise 및 검색을 사용하는 인터페이스인 Splunk Web에 대해 설명합니다. 파트 3: Splunk Enterprise로 데이터 가져오기에서는 튜토리얼 데이터를 Splunk Enterprise에 추가하는 방법에 대 해 설명합니다. 가상 온라인 게임 스토어의 웹 서버 및 MySQL 로그로 구성된 샘플 데이터 집합인 튜토리얼 데이터도 다운로드할 수 있습니다. 파트 4: Splunk 검색 사용에서는 Splunk Web에서 검색을 실행하는 데 필요한 부분에 대해 설명합니다. 여기에는 검 색 대시보드, 시간 범위 선택기, 검색 작업 및 기타 옵션이 포함됩니다. 파트 5: 튜토리얼 데이터 검색에서는 필드 사용, 검색어 사용, 하위 검색 및 필드 룩업 등의 다양한 검색 방법에 대해 배 웁니다. 파트 6: 보고서 저장 및 공유에서는 검색을 보고서로 저장하고 공유하는 절차에 대해 설명합니다. 파트 7: 대시보드 만들기에서는 다양한 비즈니스 요구 사항을 충족하는 대시보드를 만드는 방법에 대해 설명합니다. PDF 만들기 이 매뉴얼의 PDF 버전이 필요할 경우 이 페이지 왼쪽의 목차 아래에 있는 빨간색 검색 튜토리얼을 PDF로 다운로드 링크를 클릭하십시오. 참고: PDF 문서에 있는 검색식을 Splunk Web으로 직접 복사하여 붙여넣지 마십시오. 이 방식을 사용할 경우 PDF 형식에 포함된 숨겨진 문자로 인해 오류가 발생할 수도 있습니다. 파트 1: Splunk Enterprise 다운로드 및 설치 전제 조건 이 튜토리얼을 시작하기 전에 Splunk Enterprise를 다운로드해서 설치한 후 시작해야 합니다. 실행 중인 Splunk 서버 인스턴스에 대한 액세스 권한이 있는 경우 이 절을 건너뛰고 파트 2: Splunk 시작하기를 시작하십시 오. 시스템 요구 사항 Splunk Enterprise는 Linux, UNIX, Windows 및 Mac OS를 포함한 대부분의 컴퓨팅 플랫폼에서 실행됩니다. 이 튜토리얼을 사용하려면 아래 테이블에 나열된 사양을 충족하는 컴퓨터 또는 노트북이 필요합니다. 플랫폼 비 Windows Windows 최소 하드웨어 사양 1x1.4GHz CPU, 1GB RAM Pentium 4 또는 2Ghz, 2GB RAM의 동등 기종 Splunk Enterprise를 설치한 후에 웹 브라우저를 사용하여 액세스할 수 있습니다. Splunk Enterprise 6.0+는 최신 버전의 Firefox, Chrome 및 Safari 브라우저를 지원합니다. 이상은 Splunk Enterprise 시스템 요구 사항을 간단히 요약한 것입니다. 설치 매뉴얼에서 "시스템 요구 사항"을 참조하십시 오. Splunk Enterprise 최신 버전 다운로드 Splunk.com의 다운로드 페이지에서 Splunk Enterprise의 최신 버전을 다운로드하십시오. Splunk.com에 로그인되어 있지 않은 경우 다운로드 패키지를 클릭하여 등록 양식으로 이동하십시오. Splunk.com 계정이 없으면 계정을 등록하십시오. 이 튜토리얼에서는 Linux, Windows 및 Mac OS X를 중점적으로 다루며, OS별 기능 차이에 대해 설명합니다. Splunk Enterprise에서는 RedHat용 RPM 다운로드, Debian Linux용 DEB 패키지, tar 파일 설치 프로그램 등 세 가 3
지 Linux 설치 방법을 제공합니다. 이 튜토리얼에서는 이러한 설치 프로그램 중 하나를 사용할 수 있습니다. Splunk Enterprise에서는 MSI 파일과 압축된 zip 파일 등 두 가지 Windows 설치 프로그램을 제공합니다. 이 튜토 리얼에서는 MSI 파일 대화식 화면 설치 프로그램을 사용합니다. Splunk Enterprise에서는 DMG 패키지와 tar 파일 설치 프로그램 등 두 가지 Mac OS X 설치 프로그램을 제공합니 다. 이 튜토리얼에서는 DMG 패키지 대화식 화면 설치 프로그램을 사용합니다. Splunk 라이선스 Splunk 라이선스는 Splunk 설치 시 하루에 인덱싱할 수 있는 데이터 볼륨을 제한합니다. Splunk Enterprise는 Enterprise 라이선스 또는 Free 라이선스로 실행됩니다. Splunk Enterprise를 처음 다운로드할 경우 60일 후에 만료되는 Enterprise 평 가판 라이선스가 제공됩니다. 이 평가판 라이선스로 서버에서 500MB/1Day의 인덱스 볼륨과 모든 Enterprise 기능을 사용 할 수 있습니다. 관리자 매뉴얼에서 "Splunk 라이선스 유형"에 대해 자세히 알아보십시오. 다음 단계 이 절의 나머지 항목에서는 Splunk Enterprise의 설치 및 시작에 대해 설명합니다. Linux, Windows 또는 Mac OS X에서 Splunk Enterprise 설치 이 항목에는 다음 플랫폼 및 패키지에 해당하는 설치 방법이 나와 있습니다. Windows MSI 그래픽 설치 프로그램 Mac OSX DMG 패키지 설치 프로그램 Linux RPM, DEB 및.tar 파일 설치 프로그램 다른 설치 프로그램이나 지원되는 다른 OS에 대한 내용은 해당 플랫폼의 "단계별 설치 방법"을 참조하십시오. Splunk Enterprise를 설치한 후 파트 2: Splunk Enterprise 시작하기로 계속 진행할 수 있습니다. Windows 설치 지침 MSI 그래픽 설치 프로그램을 사용하여 Splunk Enterprise를 설치합니다. 1. 설치 프로그램을 시작하려면 splunk.msi 파일을 두 번 클릭합니다. 2. 시작 패널에서 다음을 클릭합니다. 3. 라이선스 계약을 읽고 "라이선스 약관에 동의합니다" 체크박스를 선택합니다. 4. 다음을 클릭합니다. 5. 고객 정보에 요청된 세부 정보를 입력하고 다음을 클릭합니다. 6. 대상 폴더 패널에서 변경을 클릭하여 다른 위치를 지정하거나 다음을 클릭하여 기본값을 사용합니다. Splunk Enterprise는 기본적으로 \Program Files\Splunk 디렉터리에 설치됩니다. 7. 로그온 정보 패널에서 로컬 시스템 사용자를 선택하고 다음을 클릭합니다. 다른 사용자 옵션에 대한 내용은 설치 매뉴얼에서 "Windows에 설치" 지침을 참조하십시오. 8. 사용자를 지정하면 사전 설치 요약 패널이 나타납니다. 설치를 클릭합니다. 9. 설치 완료 패널에서 브라우저에서 Splunk 실행 및 시작 메뉴 바로 가기 만들기 체크박스를 선택합니다. 10. 마침을 클릭합니다. 설치가 완료되면 Splunk Enterprise가 시작되고, 웹 브라우저에서 Splunk Web이 실행됩니다. Mac OS X 설치 지침 DMG 그래픽 설치 프로그램을 사용하여 Splunk를 설치합니다. 1. 설치 프로그램이 있는 폴더나 디렉터리로 이동합니다. 2. DMG 파일을 두 번 클릭합니다. splunk.pkg가 포함된 파인더 창이 열립니다. 3. splunk.pkg를 두 번 클릭합니다. Splunk 설치 프로그램이 열리고 버전 및 저작권 정보가 나열된 소개 화면이 표시됩니다. 4. 계속을 클릭합니다. 대상 선택 창이 열립니다. 4
5. Splunk를 설치할 위치를 선택합니다. 기본 디렉터리 /Applications/splunk에 설치하려면 하드 드라이브 아이콘을 클릭합니다. 다른 위치를 선택하려면 폴더 선택을 클릭합니다. 6. 계속을 클릭합니다. 사전 설치 요약이 나타납니다. 7. (선택 사항) 변경 사항을 적용하려면 다음 작업 중 하나를 수행합니다. 설치 위치 변경을 클릭하여 새 폴더를 선택합니다. 뒤로를 클릭하여 한 단계 되돌아갑니다. 8. 설치를 클릭합니다. 설치가 시작됩니다. 8. 설치가 완료되면 마침을 클릭합니다. 설치 프로그램이 바탕 화면에 바로 가기를 생성합니다. Linux 설치 지침 Splunk Enterprise에서는 RPM, DEB 및 압축된.tar 파일 등 세 가지 Linux 설치 프로그램 옵션을 제공합니다. 참고: 명령줄 인터페이스(CLI)에 대한 액세스 권한이 있어야 합니다. 설치 명령을 입력할 때 splunk_package_name을 Splunk Enterprise 설치 파일 이름으로 대체하십시오. Linux에서 Splunk Enterprise는 기본적으로 /opt/splunk 디렉터리에 설치됩니다. Splunk Enterprise RPM 설치 1. CLI에 다음 명령줄을 입력합니다. Splunk를 다른 디렉터리에 설치하려면 --prefix 설치 옵션을 사용하십시오. rpm -i --prefix=/opt/new_directory splunk_package_name.rpm Splunk Enterprise DEB 패키지 설치 1. CLI에 다음 명령어를 입력합니다. Splunk DEB는 기본 /opt/splunk 디렉터리에만 설치할 수 있습니다. dpkg -i splunk_package_name.deb 압축된 tar 파일을 사용하여 Splunk Enterprise 설치 1. tar 명령을 사용하여 파일을 해당 디렉터리에 설치합니다. 기본 설치 디렉터리는 현재 작업 디렉터리의 /splunk입니다. /opt/splunk와 같은 특정 디렉터리에 설치하려면 -C 옵션을 사용하십시오. tar xvzf splunk_package_name.tgz -C /opt Splunk Enterprise를 Linux에 설치하는 방법에 대한 자세한 내용은 설치 매뉴얼에서 "Linux에 설치"를 참조하십시오. 다음 단계 "Splunk Enterprise 시작 및 Splunk Web 실행"으로 계속 진행하여 Splunk를 시작합니다. Splunk Enterprise 시작 및 Splunk Web 실행 Splunk Enterprise를 다운로드하고 설치한 후 Splunk Enterprise를 시작하고 Splunk Web을 실행해야 합니다. Windows에서 Splunk Enterprise 시작 Windows에서 설치가 완료되면 Splunk Enterprise가 시작되고 지원되는 웹 브라우저에서 Splunk Web이 실행됩니다. 1. Splunk Enterprise가 시작되지 않으면 다음과 같은 방법을 사용할 수 있습니다. 시작 메뉴에서 Splunk Enterprise를 시작합니다. Windows 서비스 관리자를 사용하여 Splunk Enterprise를 시작합니다. cmd 창을 열고 \Program Files\Splunk\bin으로 이동한 후 다음 명령어를 입력합니다. splunk start Linux에서 Splunk Enterprise 시작 5
Splunk Enterprise를 설치한 후 Splunk CLI를 사용하여 Splunk를 시작합니다. 1. (선택 사항) 설치 최상위 디렉터리를 SPLUNK_HOME 환경 변수에 추가하고 쉘의 경로에 $SPLUNK_HOME/bin을 추가하여 CLI 액 세스를 간소화할 수 있습니다. Linux 기본 위치에 설치한 경우 내보내기 경로는 다음과 같습니다. # export SPLUNK_HOME=/opt/splunk # export PATH=$SPLUNK_HOME/bin:$PATH CLI에 액세스하는 방법은 관리자 매뉴얼의 "CLI"를 참조하십시오. 2. 다음을 입력하여 Splunk Enterprise를 시작합니다. $SPLUNK_HOME/bin/splunk start Splunk Enterprise 라이선스 계약에 동의 start 명령을 실행하면 Splunk Enterprise가 라이선스 계약을 표시하고 시작 시퀀스를 계속하기 전에 라이선스 계약에 동의 할 것을 요청합니다. Splunk Enterprise를 시작하는 데 문제가 있는 경우 설치 매뉴얼의 "Splunk Enterprise 처음 시작"을 참조하십시오. 유용한 기타 명령 Splunk Enterprise 서버를 중지 또는 재시작하거나 상태를 확인하려면 다음 CLI 명령을 사용하십시오. $ splunk stop $ splunk restart $ splunk status Mac OS X에서 Splunk Enterprise 시작 Mac OS X에서는 파인더에서 Splunk Enterprise를 시작할 수 있습니다. 1. 바탕 화면에서 Splunk 아이콘을 두 번 클릭하여 "Splunk's Little Helper"라는 Splunk 도우미 애플리케이션을 실행합니 다. 도우미 애플리케이션을 처음 실행하면 초기화를 수행해야 한다는 메시지를 표시합니다. 2. 확인을 클릭하여 Splunk Enterprise가 평가판 라이선스를 초기화하고 설정하도록 합니다. 3. 도우미 애플리케이션이 열린 후 몇 가지 옵션이 표시됩니다. Splunk 시작 및 표시: 이 옵션은 Splunk Enterprise를 시작하고 웹 브라우저에게 Splunk Web으로 페이지를 열도록 지시합니다. Splunk 시작만: 이 옵션을 선택하면 Splunk Enterprise가 시작되지만 브라우저에서 Splunk Web이 열리지 않습니다. 취소: 도우미 애플리케이션을 종료하도록 지시합니다. 이 작업은 Splunk Enterprise 인스턴스 자체가 아닌 도우미 애 플리케이션에만 영향을 미칩니다. 옵션을 선택하면 도우미 애플리케이션이 선택한 옵션을 수행하고 종료됩니다. 도우미 애플리케이션을 다시 실행하여 Splunk Web을 표시하거나 Splunk Enterprise를 중지할 수 있습니다. Splunk Enterprise가 실행 중이면 도우미 애플리케이션을 사용하여 중지시키십시오. Splunk Web 실행 시작 시퀀스가 끝날 때 Splunk Web 액세스 위치에 대한 메시지가 표시됩니다. The Splunk Web interface is at http://localhost:8000 Splunk Web은 기본적으로 Splunk가 설치되어 있는 호스트의 8000번 포트에서 실행됩니다. 로컬 컴퓨터에서 Splunk Enterprise를 사용하는 경우, Splunk Web에 액세스하는 URL은 http://localhost:8000입니다. Enterprise 라이선스를 사용할 경우, Splunk Enterprise를 처음 실행할 때 이 로그인 화면이 표시됩니다. 화면에 표시된 기본 자격 증명으로 로그인하십시오. username: admin password: changeme 6
Free 라이선스를 사용하는 경우 Splunk Enterprise를 사용하기 위해 로그인할 필요가 없습니다. Splunk Enterprise를 시작 할 때 이 로그인 화면이 나타나지 않습니다. 대신 Splunk 홈이나 계정의 기본 앱으로 설정된 앱으로 바로 이동합니다. 기본 암호로 로그인할 경우 암호를 만들 수 있습니다. 이 단계를 건너뛰거나 암호를 변경하여 계속 진행할 수 있습니다. 맨 처음 나타나는 페이지는 Splunk 홈입니다. 다음 단계 검색 튜토리얼의 파트 1을 마쳤습니다. 파트 2: Splunk Enterprise 시작하기로 계속 진행합니다. 파트 2: Splunk Enterprise 시작하기 Splunk Web 탐색 이 항목에서는 Splunk Web의 여러 뷰를 탐색하는 방법에 대해 설명합니다. Splunk 홈 Splunk 홈은 이 Splunk 인스턴스에서 액세스할 수 있는 데이터와 앱의 대화식 포털입니다. Splunk 홈의 주요 부분에는 Splunk Enterprise 탐색 메뉴, 앱 메뉴, Splunk Enterprise 탐색 패널 및 사용자 지정 기본 대시보드(여기에는 표시되지 않음) 가 포함됩니다. 앱 패널 앱 패널에는 보기 권한을 가진 Splunk 인스턴스에 설치된 앱이 나열됩니다. 리스트에서 앱을 선택하면 앱이 열립니다. 기본적으로 제공되는 Splunk Enterprise 설치의 경우 작업영역에 하나의 검색 및 보고 앱이 표시되며, 앱이 두 개 이상인 경 우 작업영역 내로 앱을 끌어 놓고 다시 정렬할 수 있습니다. 다음 작업을 수행할 수 있습니다. 기어 아이콘을 클릭하여 Splunk 인스턴스에 설치된 앱을 보고 관리합니다. 더하기 아이콘을 클릭하여 설치할 더 많은 앱을 찾아봅니다. Splunk Enterprise 탐색 Splunk Enterprise 탐색 패널의 옵션은 Splunk Enterprise를 사용하여 시작하는 데 도움이 됩니다. 이 아이콘을 클릭하여 데 이터 추가 뷰를 열거나 새로운 앱을 찾아보거나 Splunk Enterprise 설명서를 열거나 Splunk 응답 페이지를 열 수 있습니다. Splunk 메뉴 모음 7
Splunk 메뉴 모음을 사용하여 Splunk 인스턴스에서 뷰를 탐색할 수 있습니다. Splunk 메뉴 모음은 Splunk Enterprise의 모 든 페이지에 나타납니다. Splunk 메뉴 모음은 앱을 전환하고, Splunk 설정을 관리 및 편집하고, 시스템 수준 메시지를 보고, 검색 작업 진행 상황을 모니터링하기 위해 사용할 수 있습니다. 다음 스크린샷에서는 Splunk 홈의 Splunk 메뉴 모음을 보여줍니다. 검색 및 보고 앱의 검색 뷰와 같은 다른 뷰의 Splunk 메뉴 모음에는 Splunk 로고 옆에 있는 앱 메뉴도 포함됩니다. Splunk 홈으로 돌아가기 Splunk Web의 다른 뷰에서 Splunk 홈으로 돌아가려면 탐색 메뉴 모음에서 Splunk 로고를 클릭합니다. 설정 메뉴 설정 메뉴에는 Knowledge object, 분산 환경 설정, 시스템 및 라이선스, 데이터 및 인증 설정에 대한 설정 페이지가 나열됩니 다. 일부 옵션이 보이지 않으면 해당 옵션을 보거나 편집할 권한이 없음을 의미합니다. 계정 메뉴 계정 메뉴를 사용하여 계정 설정을 편집하거나 해당 Splunk 설치본에서 로그아웃할 수 있습니다. 계정 메뉴는 "Administrator"가 새 설치본의 기본 사용자 이름이므로 "Administrator"입니다. 계정 편집을 선택하고 전체 이름을 변경하 여 이 표시 이름을 변경할 수 있습니다. 그 외에 시간대 설정, 해당 계정의 기본 앱, 계정 암호 등의 설정을 편집할 수 있습니 다. 메시지 메뉴 메시지 메뉴에는 시스템 수준의 모든 오류 메시지가 나열됩니다. 검토할 새 메시지가 있는 경우 메시지 메뉴 옆에 개수로 알 8
림이 표시됩니다. 이 메시지를 제거하려면 X를 클릭하십시오. 작업 메뉴 작업 메뉴에는 작업, 트리거된 경고 및 시스템 작업 화면으로 연결되는 바로 가기가 나열됩니다. 도움말 작업을 클릭하면 현재 실행 중인 검색을 보고 관리할 수 있는 검색 작업 관리자 창이 열립니다. 트리거된 경고를 클릭하면 트리거된 예약 경고가 표시됩니다. 이 튜토리얼에서는 경고 저장 및 예약에 대해 설명하지 않습니다. 경고 매뉴얼에서 "경고"를 참조하십시오. 시스템 작업을 클릭하면 사용자 작업과 시스템 상태에 대한 대시보드가 표시됩니다. 도움말을 클릭하면 동영상 튜토리얼, Splunk 응답 페이지, Splunk 서포트 포털 및 온라인 설명서로 연결되는 링크가 표시됩 니다. 찾기 찾기를 사용하여 Splunk Enterprise 인스턴스 내의 개체를 검색합니다. 찾기를 사용하여 저장된 개체의 ID, 레이블 및 설명에 서 일치하는 항목을 대소문자를 구분하지 않고 검색할 수 있습니다. 예를 들어 "error"를 입력하면 "error" 단어가 포함된 저 장된 개체가 반환됩니다. 이러한 저장된 개체로는 보고서, 대시보드, 경고 및 데이터 모델 등이 있습니다. 결과는 범주(있는 경우)별로 구분되어 리스트 에 표시됩니다. 검색에서 오류 열기를 클릭하여 검색 및 보고 앱에서 error를 검색할 수도 있습니다. 다음 단계 Splunk Web에 충분히 익숙해진 경우 "Splunk Enterprise로 데이터 가져오기"를 참조하십시오. 파트 3: Splunk Enterprise로 데이터 가져오기 Splunk Enterprise로 데이터 가져오기 Splunk Enterprise를 사용하려면 먼저 데이터를 추가해야 합니다. 데이터 원본이 정의되면 Splunk Enterprise가 데이터 스 트림을 인덱싱하기 시작하고, 확인 및 검색 가능한 일련의 개별 이벤트로 변환합니다. 원하는 결과가 나올 때까지 인덱싱 프 로세스를 수정할 수 있습니다. 이 항목에서는 추가할 수 있는 데이터 유형, 해당 데이터를 Splunk Enterprise로 가져오는 방법, 데이터를 추가한 후에 해당 데이터가 저장되는 위치에 대해 간략히 살펴봅니다. 데이터 가져오기 매뉴얼을 참조하십시오. 데이터 유형이란 무엇입니까? Splunk Enterprise에서는 모든 데이터를 사용할 수 있으며, 특히 IT의 모든 스트리밍 및 이력 데이터를 인덱싱할 수 있습니 다. 여기에는 이벤트 로그, 웹 로그, 운영 중인 애플리케이션 로그, 네트워크 피드, 시스템 메트릭, 변경 사항 모니터링, 메시지 대기열, 아카이브 파일 등의 데이터가 포함됩니다. 데이터는 Splunk 인덱서와 동일한 컴퓨터에 있거나(로컬 데이터) 모두 다른 컴퓨터에 있을 수 있습니다(원격 데이터). 로컬 데이터와 원격 데이터의 비교에 대한 내용은 데이터 가져오기 매뉴얼에서 "내 데이터는 어디에 있습니까?"를 참조하십시오. 9
일반적으로 입력 원본은 다음과 같이 분류됩니다. 파일 및 디렉터리: 관심 있는 많은 데이터를 파일과 디렉터리에서 직접 가져옵니다. 네트워크 이벤트: Splunk에서 네트워크 포트의 원격 데이터 및 원격 장치의 SNMP 이벤트를 인덱싱할 수 있습니다. Windows 원본: Splunk Windows 버전은 Windows 이벤트 로그, Windows 레지스트리, WMI, Active Directory 및 성 능 모니터링을 비롯하여 광범위한 Windows별 입력 정보를 포함합니다. 기타 원본: Splunk에서는 FIFO 대기열 및 스크립트 기반 입력 정보 등 API 및 다른 원격 데이터 인터페이스에서 데이 터를 가져오기 위한 다른 입력 원본도 지원합니다. 데이터와 Splunk Enterprise에 대한 내용은 데이터 가져오기 매뉴얼에서 "Splunk에서 인덱싱할 수 있는 대상"을 참조하십시 오. 데이터 입력을 지정하는 방법 새 데이터 유형을 Splunk에 추가하려면 입력 원본을 정의합니다. 이 작업을 수행하는 다양한 방법이 있습니다. Splunk Web. Splunk Web 데이터 입력 페이지를 사용하여 대부분의 입력 정보를 설정할 수 있습니다. 해당 페이지 에는 GUI를 기반으로 입력 정보를 설정하는 방법이 있습니다. 이 방법을 사용하여 튜토리얼 데이터를 Splunk에 추가 할 수 있습니다. 앱. Splunk에는 다양한 데이터 원본 유형에 대해 사전 설정된 입력을 제공하는 앱과 추가 기능이 있습니다. 자세한 내 용은 데이터 가져오기 매뉴얼에서 "앱을 사용하여 데이터 가져오기"를 참조하십시오. Splunk Enterprise CLI. CLI(명령줄 인터페이스)를 사용하여 대부분의 입력 유형을 설정할 수 있습니다. 데이터 가 져오기 매뉴얼에서 "CLI 사용"을 참조하십시오. inputs.conf 설정 파일. Splunk Web 또는 CLI를 사용하여 입력 정보를 지정하면 설정이 inputs.conf 파일에 저장됩니 다. 일부 고급 데이터 입력 요구 사항을 처리하려면 해당 파일을 직접 편집해야 할 수 있습니다. 데이터 가져오기 매뉴 얼에서 "Edit_inputsconf"를 참조하십시오. 입력 정보 설정에 대한 내용은 데이터 가져오기 매뉴얼에서 "입력 정보 설정"을 참조하십시오. Splunk Enterprise가 데이터를 저장하는 위치 Splunk Enterprise 데이터 리포지토리는 인덱스라고 합니다. 인덱싱(또는 이벤트 처리) 과정에서 Splunk Enterprise는 빠른 검색 및 분석이 가능하도록 수신 데이터 스트림을 처리하고 그 결과를 이벤트로 만들어 인덱스에 저장합니다. 이벤트는 다음 두 가지 범주로 분류되는 여러 파일 그룹으로 인덱스에 저장됩니다. 압축된 형태의 원시 데이터인 Rawdata 인덱스 파일 및 원시 데이터를 가리키는 일부 메타데이터 파일 이 파일은 에이지(age)별로 구성된 버킷이라는 디렉터리 집합에 있습니다. 자세한 내용은 인덱서 및 인덱서의 클러스터 관 리에서 "인덱서가 인덱스를 저장하는 방법"을 참조하십시오. Splunk는 기본적으로 모든 사용자 데이터를 사전 설정된 단일 인덱스에 넣습니다. 또한 내부적으로 사용하기 위한 여러 인덱 스가 있어 데이터 요구 사항에 맞추기 위해 새 인덱스를 추가하거나 기존 인덱스를 관리할 수 있습니다. 인덱서 및 인덱서의 클러스터 관리에서 "인덱스 관리"를 참조하십시오. 다음 단계 이제 Splunk 데이터 입력과 인덱스에 대해 자세히 알아보았으므로 "Splunk Enterprise로 튜토리얼 데이터 가져오기"를 참조 하십시오. Splunk Enterprise로 튜토리얼 데이터 가져오기 이 항목에서는 튜토리얼 데이터 집합을 다운로드하고 Splunk Enterprise에 추가하는 과정에 대해 설명합니다. 이 튜토리얼 은 몇 시간 내에 끝낼 수 있지만, 좀 더 자세히 살펴보려면 새 샘플 데이터 파일을 다운로드하여 추가하십시오. 샘플 데이터 파일 다운로드 여기서 튜토리얼 데이터 파일을 다운로드하고 압축을 풀지 마십시오. http://docs.splunk.com/images/tutorial/tutorialdata.zip 이 튜토리얼 데이터 파일은 매일 업데이트되며 이전 7일 동안 타임스탬프된 이벤트를 보여줍니다. Splunk Enterprise에 샘플 데이터 추가 1. Splunk에 로그인합니다. Splunk 홈에 있지 않은 경우 Splunk 메뉴 모음에서 Splunk 로고를 클릭하여 Splunk 홈으로 돌아갑니다. 2. Splunk Enterprise 탐색에서 데이터 추가를 클릭합니다. 10
데이터 추가 뷰에는 세 개의 데이터 추가 옵션, 일반적인 데이터 유형 리스트, 데이터를 추가하기 위해 Splunk Enterprise 기능을 확장하는 데 사용할 수 있는 추가 기능이 표시됩니다. 3. "어떤 방법으로 데이터를 추가하시겠습니까?"에서 업로드를 클릭합니다. 4. 원본 선택에서 파일 선택을 클릭하여 튜토리얼 데이터를 찾아보거나 윤곽이 그려진 상자로 데이터 파일을 끌어다 놓습니 다. 튜토리얼 데이터 파일이 아카이브된 데이터 파일이므로 데이터 추가 워크플로의 다음 단계는 Sourcetype 설정에서 입력 설정으로 변경됩니다. 5. 다음을 클릭하여 입력 설정을 계속합니다. 입력 설정에서 Host, Source type 및 인덱스에 대한 기본 설정을 재지정할 수 있습니다. 6. 경로 이름의 부분을 사용하여 호스트 이름을 할당할 호스트 설정을 수정합니다. 11
a. 메뉴에서 경로 내 세그먼트를 선택합니다. b. 세그먼트 번호로 1을 입력합니다. 7. 검토를 클릭하여 입력 설정을 검토합니다. 8. 제출을 클릭합니다. 9. 데이터가 추가되었는지 확인하려면 검색 시작을 클릭합니다. 검색 뷰가 열리고 튜토리얼 데이터 원본에 대해 검색이 실행됩니다. 다음 단계 자세한 내용은 검색 앱 및 튜토리얼 데이터 검색 시작를 참조하십시오. 파트 4: Splunk 검색 사용 검색 대시보드 앞 장에서는 Splunk Enterprise에서 사용하는 데이터 유형에 대해 배우고 튜토리얼 샘플 데이터를 다운로드하여 Splunk 인 12
덱스에 추가했습니다. 이 절에서는 Splunk 검색을 구성하는 여러 대시보드와 요소를 사용하는 방법에 대해 설명합니다. Splunk 검색 찾기 1. Splunk 홈의 앱에서 검색 및 보고를 클릭합니다. 그러면 검색 및 보고 앱의 검색 요약 뷰가 열립니다. 이 뷰는 검색을 실행하기 전에 보이는 검색 대시보드입니다. Splunk 메뉴 모음 아래의 앱 메뉴를 사용하여 검색 및 보고 앱의 여러 가지 뷰를 탐색할 수 있습니다. 검색 요약 대시보드 검색을 실행하기 전에, 검색 요약 대시보드에 검색란, 시간 범위 선택기, 검색 방법 패널, 검색할 내용 패널, 검색 내역 패널 등 의 요소가 표시됩니다. 검색란 요소 시간 범위 선택기 설명 Splunk Web에서 검색을 실행하려면 검색란을 사용합니다. 검색 문자열을 입력하고 Enter 키를 누르거나 시간 범위 선택기 오른쪽의 돋보기 아이콘을 클릭합니다. 특정 기간의 이벤트를 검색하려면 시간 범위 선택기를 사용합니다. 실시간 검색의 경우 이벤트를 검색할 시간을 지정할 수 있습니다. 이력 검색의 경우 상대 시간 범위(15분 전, 어제 등)나 특정 날 짜 및 시간 범위를 지정하여 검색을 제한할 수 있습니다. 시간 범위 선택기에는 선택할 수 있는 여 러 사전 설정된 시간 범위가 있지만 사용자 지정 시간 범위를 입력할 수도 있습니다. 자세한 내용은 "시간 범위 선택기"를 참조하십시오. 검색 방법 검색할 내용 검색 내역 "검색 방법" 패널은 검색을 작성하는 방법에 대해 배울 수 있는 검색 튜토리얼과 검색 매뉴얼로 연 결됩니다. "검색할 내용" 패널은 Splunk 인스턴스에 설치되어 있고 볼 수 있는 권한을 가진 데이터에 대한 요약을 표시합니다. 데이터 요약을 클릭하여 데이터 요약 대화상자를 열면 데이터의 호스트, source 및 source type이 보입니다. 검색 내역을 보고 검색 내역과 상호 작용할 수 있습니다. 검색 내역은 확장 가능한 과거 검색 테이 블로 표시됩니다. 여기서 키워드 또는 시간을 기준으로 검색하고 필터링할 수 있습니다. 자세한 내용은 "검색 내역을 보고 검색 내역과 상호 작용"을 참조하십시오. 13
데이터 요약 데이터 요약 대화상자에는 호스트, Source, Sourcetype이라는 3개의 탭이 표시됩니다. 각 탭은 데이터에서 검색 가능한 필 드를 나타냅니다. 이벤트의 호스트는 이벤트가 발생한 네트워크 시스템의 호스트 이름, IP 주소 또는 완전한 도메인 이름입니다. 분산 환경에 서는 호스트 필드를 사용하여 특정 컴퓨터의 데이터를 검색할 수 있습니다. 이벤트의 source는 이벤트가 발생한 파일이나 디렉터리 경로, 네트워크 포트 또는 스크립트입니다. 이벤트의 source type은 일반적인 형식 지정 방식에 기반한 데이터 유형을 알려줍니다. 이 분류를 사용하여 여러 source 및 호스트에서 동일한 유형의 데이터를 검색할 수 있습니다. 14
튜토리얼 데이터의 source type은 다음과 같습니다. access_combined_wcookie: Apache 웹 서버 로그 secure: 보안 서버 로그 vendor_sales: 전역 판매 공급업체 Splunk Enterprise source type이 데이터를 처리하는 방법에 대한 내용은 데이터 가져오기에서 "source type이 중요한 이 유"를 참조하십시오. 새로운 검색 대시보드 검색을 실행한 후에는 새로운 검색 대시보드가 열립니다. 이 뷰에서도 검색란과 시간 범위 선택기를 계속 사용할 수 있지만, 대시보드가 업데이트되어 검색 작업 버튼, 검색 모드 선택기, 이벤트 수, 작업 상태 표시줄, 이벤트, 통계 및 시각화 탭 등 훨씬 더 많은 요소가 표시됩니다. 검색란에 다음을 입력하고 Enter를 눌러 "buttercupgames"라는 키워드를 검색합니다. buttercupgames 다음 항목에서는 새로운 검색 뷰의 해당 부분에 대해 각각 설명합니다. 다음 단계 시간 범위 검색 제한에 대하여 계속 알아봅니다. 15
시간 범위 선택기 검색란의 오른쪽에 있는 시간 범위 선택기를 사용하여 검색의 시간 범위를 설정할 수 있습니다. 사전 설정된 시간 범위, 사용자 지정 상대 시간 범위 및 사용자 지정 실시간 범위로 검색을 제한하거나 날짜 범위 또는 날짜 및 시간 범위를 지정할 수 있습니다. 이 튜토리얼에서는 사전 설정 및 상대 시간 범위 옵션을 사용합니다. 시간 범위 사전 설정 시간 범위 선택기 사전 설정은 Splunk Enterprise에서 미리 정의되어 제공되는 시간 범위 집합입니다. 기본적으로 검색의 시간 범위는 전체 시간으로 설정됩니다. 대량의 데이터를 검색할 경우 더 짧은 시간 동안 검색을 실행하 면 더 빨리 결과를 확인할 수 있습니다. 검색의 기본 시간 범위를 변경하려면 검색 매뉴얼에서 "시간 범위를 선택하여 검색에 적용"을 참조하십시오. 문제가 발생한 시기를 대략적으로 알고 있는 경우에 문제를 해결할 때는 검색 시간 범위를 해당 기간으로 좁히십시오. 예를 들어 어제 발생한 인시던트를 조사하려면 어제 또는 최근 24시간을 선택하십시오. 10분 전에 발생한 인시던트를 조사하려면 최근 15분 또는 최근 60분을 선택하십시오. 그런 다음 필요에 따라 시간 범위를 조정합니다. 사용자 지정 시간 범위 상대 또는 시간 및 날짜 범위 옵션을 사용하여 사용자 지정 시간 범위를 지정할 수 있습니다. 지난 2시간에 대한 검색을 실행하려면 상대 시간 범위 옵션을 사용합니다. 16
예를 들어, 시작 시간을 "2시간 전"으로, 종료 시간을 "지금" 또는 "현재 시간의 시작"으로 지정할 수 있습니다. 타임스탬프는 지정한 시작 시간 및 종료 시간 타임스탬프가 표시되는 것을 조정합니다. 날짜 및 시간 범위 옵션을 사용하여 달력 및 타임스탬프에서 시작 시간 및 종료 시간을 지정할 수 있습니다. 예를 들어, 9월 30일 오후 8시 42분에 발생한 문제를 해결하려면 시작 시간을 09/30/2014 08:40:00.000으로, 종료 시간을 09/30/2014 08:45:00.000으로 지정할 수 있습니다. 다음 단계 계속해서 검색 작업 및 검색 모드에 대하여 알아봅니다. 검색 작업 및 검색 모드 이 항목에서는 검색 환경을 제어하는 데 사용할 수 있는 검색 작업 및 검색 모드에 대해 설명합니다. 검색 작업 진행 제어 검색을 실행한 후에 검색란 아래의 단추를 사용하여 일시 중지하거나 중지할 수 있습니다. 검색 페이지를 떠나지 않고 검색 의 작업에 대한 정보에 액세스하고 해당 정보를 관리할 수도 있습니다. 작업을 클릭하고 사용 가능한 옵션 중에서 선택하십시오. 작업 설정 편집. 작업 설정 대화상자를 엽니다. 이 대화상자에서 작업의 읽기 권한을 변경하고 작업의 수명을 연장하며 다른 사람과 작업을 공유하거나 브라우저의 북마크에 작업의 링크를 넣는 데 사용할 수 있는 작업의 URL을 가져올 수 있습니다. 백그라운드로 작업 보내기. 검색 작업이 느려서 다른 Splunk Enterprise 작업(새 검색 작업 실행 포함)을 수행하는 동 안 백그라운드에서 작업을 실행하려는 경우 작업 검사. 별도의 창이 열리고 검색 작업 검사기를 사용하는 검색 작업에 대한 정보와 메트릭이 표시됩니다. 작업 삭제. 실행 중이거나 일시 중지되거나 종료된 작업을 삭제합니다. 작업을 삭제한 후에 검색을 보고서로 저장할 수 있습니다. 지식 관리자 매뉴얼에서 "Splunk Web에서 작업 저장 및 공유"를 참조하십시오. 검색 모드 변경 검색 모드는 검색 환경을 제어합니다. 검색이 반환하는 이벤트 데이터를 줄여 검색 속도가 빨라지도록 설정하거나(고속 모 17
드), 가능한 많은 이벤트 정보를 반환하도록 설정할 수 있습니다(상세 모드). 스마트 모드(기본 설정)에서는 실행 중인 검색 유형에 따라 검색 동작을 전환합니다. 검색 매뉴얼에서 "검색 환경을 조정하도록 검색 모드 설정"을 참조하십시오. 결과 저장 다른 이름으로 저장 메뉴에는 검색 결과를 보고서, 대시보드 패널, 경고 및 Event type으로 저장하는 옵션이 나열됩니다. 기타 검색 작업 작업 진행 제어 및 검색 모드 선택기 사이에는 검색 결과를 공유, 내보내기 및 인쇄하는 데 사용할 수 있는 단추가 있습니다. 공유 옵션을 선택하면 검색 작업이 공유됩니다. 이 옵션을 선택하면 작업 수명이 7일로 연장되고 읽기 권한이 모든 사 용자로 설정됩니다. 내보내기 옵션을 선택하면 결과를 내보냅니다. CSV, 원시 이벤트, XML 또는 JSON으로 출력하고 내보낼 결과의 수 를 지정합니다. 인쇄 옵션을 선택하면 결과가 설정된 프린터로 전송됩니다. 닫기를 클릭하여 검색을 취소하고 Splunk 홈으로 돌아갑니다. 다음 단계 다음 항목으로 계속 진행하여 검색 결과의 형식에 대한 설명을 읽으십시오. 검색 결과 탭 이 항목에서는 이벤트, 패턴, 통계 및 시각화 등 네 가지 검색 결과 탭에 대해 설명합니다. 검색을 실행하면 결과 탭이 검색에서 사용된 검색 명령어 유형에 따라 채워집니다. 검색에서 이벤트를 검색할 경우 이벤트 탭 및 패턴 탭에서 결과를 볼 수 있지만 다른 탭에서는 볼 수 없습니다. 검색에 변환 명령이 포함된 경우 통계 및 시각화 탭에 서 결과를 볼 수 있습니다. 이벤트 18
이 스크린샷에서 사용된 키보드 검색은 이벤트를 검색하고 이벤트 결과 탭에 입력됩니다. 이벤트 탭에는 이벤트 시간 표시줄, 필드 사이드바, 이벤트 뷰어가 표시됩니다. 이벤트 뷰를 변경하려면 리스트 및 형식 옵션 을 사용하십시오. 기본적으로 이벤트는 최신 이벤트순으로 나열된 리스트로 표시됩니다. 각 이벤트에 일치하는 검색어가 강 조 표시됩니다. 이벤트 시간 표시줄: 각 시점에 발생하는 이벤트 수를 시각적으로 나타냅니다. 시간 표시줄이 검색 결과로 업데이트되면 막 대 그룹 또는 패턴을 볼 수 있습니다. 각 막대의 높이는 이벤트 수를 나타냅니다. 시간 표시줄의 최고점 또는 최저점은 활동이 가장 많은 부분 또는 서버 중단 시간을 나타냅니다. 따라서 시간 표시줄은 이벤트 패턴을 강조 표시하거나 이벤트 활동의 최 고점 및 최저점을 조사하는 데 사용됩니다. 시간 표시줄 옵션은 시간 표시줄 위에 있으며, 차트를 확장 및 축소하고 차트의 스 케일(Scale)을 변경할 수 있습니다. 필드 사이드바: 데이터를 인덱싱할 때 Splunk Enterprise는 기본적으로 필드라고 하는 이름과 값을 조합한 형식의 데이터에 서 정보를 추출합니다. 검색을 실행하면 Splunk Enterprise에서 인식하는 모든 필드가 검색 결과 옆의 필드 사이드바에 나열 됩니다. 이벤트에 표시할 다른 필드를 선택할 수 있으며, 이 사이드바를 숨기고 결과 영역을 최대화할 수도 있습니다. 패턴 선택된 필드는 검색 결과에 표시되도록 설정되었습니다. 기본적으로 host, source 및 sourcetype이 표시됩니다. 관심 있는 필드는 Splunk Enterprise가 검색 결과에서 추출한 다른 필드입니다. 패턴 탭은 이벤트 패턴 탐지를 단순화합니다. 패턴 탭에는 검색에서 반환된 이벤트 집합 중 가장 일반적인 패턴 리스트가 표 시됩니다. 이러한 각 패턴은 유사한 구조를 공유하는 이벤트 수를 나타냅니다. 패턴을 클릭하여 다음을 수행할 수 있습니다. 패턴과 일치하는 결과에서 대략적인 이벤트 수를 봅니다. 이 패턴으로 이벤트를 반환하는 검색을 봅니다. 적합한 경우 패턴 검색을 event type으로 저장합니다. 패턴에 기반하여 경고를 작성합니다. 검색 매뉴얼의 "패턴 탭을 사용하여 이벤트 패턴 식별"을 참조하십시오. 통계 통계 탭은 stats, top, chart와 같은 변환 명령어로 검색을 실행하는 경우 채워집니다. 이 탭에는 변환 명령어가 없으므로 "buttercupgames"에 대한 이전 키워드 검색은 이 탭에 어떤 결과도 표시하지 않습니다. 대신 이 탭에는 피벗, 빠른 보고서에서 보고서를 작성하기 위한 옵션 및 변환 검색 명령어에 대한 설명서 링크가 표시됩니다. 19
비변환 검색을 실행하고 해당 검색을 기반으로 테이블 또는 차트를 만들려는 경우 피벗을 클릭하여 피벗 편집기에서 검색을 엽니다. 검색 매뉴얼에서 "피벗에서 비변환 검색을 열어 테이블 및 차트 작성"을 참조하십시오. 피벗에 대한 자세한 내용은 데이터 모델 및 피벗 튜토리얼과 피벗 매뉴얼을 참조하십시오. 예를 들어 Buttercup Games 온라인 상점에서 판매된 인기 제품 범주를 찾기 위해 변환 검색을 사용하면 통계 탭에 결과 테 이블이 표시됩니다. 시각화 변환 검색은 시각화 탭을 채우기도 합니다. 시각화 탭의 결과 영역에는 차트와 해당 차트를 생성하는 데 사용된 통계 테이블 이 포함됩니다. 20
시각화 차트 영역 위의 메뉴를 사용하여 시각화의 유형 및 형식을 변경할 수 있습니다. 시각화 유형 메뉴에는 선택된 유형의 이름이 표시됩니다. 기본적으로 시각화 유형은 세로막대형 차트입니다. 차트 유형 옆에 권장됨이 표시되어 있는 경우 결과를 생성한 변환 검색에 기반하여 사용하도록 Splunk Enterprise에서 권장 하는 유형임을 나타냅니다. 다음 단계 이 절에서는 검색 시작 전에 알아야 할 검색 및 보고 앱의 여러 가지 뷰에 대해 설명합니다. 파트 5: 튜토리얼 데이터 검색 검색 시작 이 항목에서는 인덱스에서 이벤트를 검색하는 방법에 대해 설명합니다. 이런 검색을 실행할 수 있으려면 먼저 튜토리얼 데이 터 다운로드 및 추가를 수행해야 합니다. 검색할 내용 1. 앱 탐색 메뉴에서 검색을 클릭합니다. 2. 검색 시작 페이지에서 검색할 내용 패널을 살펴봅니다. 21
3. 데이터 요약을 클릭합니다. Buttercup Games라는 가상 온라인 게임 스토어를 나타내는 튜토리얼 데이터를 다시 살펴봅니다. 데이터 요약에서는 데이 터의 출처와 데이터 유형에 대한 정보를 제공합니다. 여기에는 5개의 host, 8개의 source 및 3개의 source type이 있습니다. 3개의 source type은 Apache 웹 액세스 로그(access_combined_wcookie), Linux 보안 형식 로그(secure) 및 공급업체 판 매 로그(vendor_sales)입니다. 이 튜토리얼에서는 대부분 Apache 웹 액세스 로그를 검색하고 공급업체 판매 로그와 연결하는 과정에 대해 설명합니다. 검색 길잡이 다양한 게임을 판매하는 온라인 상점의 데이터가 있습니다. 사이트에서 오류가 몇 건 발생했는지 알아봅니다. 1. Splunk 검색을 열고 검색란에 buttercupgames를 입력합니다. 입력하면 검색 길잡이가 열립니다. 검색 길잡이에는 일치하는 검색 내역과 검색 도움말의 두 부분이 있습니다. 검색 길잡이는 이벤트 데이터에서 일치하는 검색어에 따라 적합한 단어를 제안합니다. 이러한 단어는 일치하는 조건 또는 일 치하는 검색에 나열됩니다. 이벤트 데이터에 존재하지 않는 단어 또는 구는 나열하지 않습니다. 검색 길잡이는 또한 검색어 와 일치하는 항목의 수를 표시합니다. 이 숫자를 보면 Splunk에서 반환할 검색 결과의 수를 알 수 있습니다. 여기서 buttercupgames는 36,819개의 이벤트에 포함되어 있습니다. 여기서 검색 길잡이는 검색 방법을 배울 수 있는 단계를 제시합니다. 1단계에서는 용어, 따옴표 안의 구, 부울 연산자, 와일드 카드, 필드 값을 사용하여 이벤트를 검색하는 방법을 예를 들어 설명합니다. 2단계에서는 검색 명령어를 사용하는 방법에 대 해 소개합니다. 검색 언어에 대해 배우기 시작하면 검색 길잡이를 더 다양한 용도로 사용할 수 있습니다. 검색 명령어를 입력하면 검색 길잡 이에 명령어 구문 및 사용법이 표시됩니다. 검색 길잡이가 자동으로 열리지 않게 하려면 자동 열기를 클릭하여 꺼짐으로 전환하십시오. 다시 열려면 검색란 아래의 아래 쪽 화살표를 클릭하십시오. 인덱스에서 이벤트 검색 1. 키워드를 입력하여 오류 또는 장애를 찾고 부울 연산자인 AND, OR, NOT을 사용합니다. buttercupgames (error OR fail* OR severe) 부울 연산자는 대문자여야 합니다. AND 지시문은 검색어 사이에 포함되므로 입력할 필요가 없습니다. 괄호를 사용하여 검 22
색어를 그룹화할 수 있습니다. 부울 식을 계산할 경우 괄호 안에 있는 항이 우선하고, OR 절이 AND 또는 NOT 절보다 먼저 계산됩니다. "fail"로 시작하는 단어를 검색하려면 별표 와일드카드를 사용하십시오. 이러한 단어에는 failure, failed 등이 포함될 수 있습 니다. 이 검색에서는 427개의 일치하는 이벤트가 검색됩니다. 검색 명령어 키워드와 구를 입력할 때마다 무조건 search 명령을 사용하여 이벤트를 Splunk 인덱스에서 검색합니다. 검색 명령어를 통해 키워드, 따옴표 안의 구, 필드 값, 부울식 및 비교식을 사용하여 검색할 이벤트를 지정할 수 있습니다. 파이프라인에서 나중에 search 명령어를 호출하여 검색 결과를 필터링할 수 있습니다. 검색 매뉴얼에서 "검색 명령어를 사용 하여 이벤트 검색"을 참조하십시오. 다음 단계 필드를 사용하여 검색하는 방법은 "필드를 사용하여 검색"을 참조하십시오. 필드를 사용하여 검색 필드의 정의 및 사용법을 이해하지 못하면 Splunk Enterprise의 고급 검색 기능을 이용할 수 없습니다. 필드 검색 뷰의 데이터 요약에는 Splunk 인덱스에 추가한 데이터의 유형을 나타내는 호스트, Source 및 Sourcetype 탭이 표시 됩니다. Splunk Enterprise가 인덱싱 도중에 데이터에서 추출하는 기본 필드(host, source, sourcetype)도 있습니다. 기본 필드는 인덱 23
스에서 검색할 이벤트를 정확히 지정하는 데 도움이 됩니다. 필드란 무엇입니까? 필드는 다양한 형식의 컴퓨터 데이터에 존재합니다. 필드는 대부분 값(라인에서 고정된 구분 위치 포함) 또는 이름-값으로, 각 필드 이름에 대한 단일 값이 있습니다. 필드는 다중값일 수 있습니다. 즉, 이벤트 하나에 두 번 이상 나타날 수 있고 이벤트 가 나타날 때마다 다른 값을 가집니다. 필드의 예로는 웹 서버에 액세스하는 IP 주소에 대한 clientip, 이벤트의 타임스탬프에 대한 _time, 그리고 서버의 도메인 이 름에 대한 host가 있습니다. 더 흔한 다중값 필드 중 하나로 이메일 주소 필드가 있습니다. From 필드는 단일 이메일 주소만 포 함하는 반면, To 및 Cc 필드에는 하나 이상의 이메일 주소가 연결됩니다. 모든 이벤트가 동일한 필드 및 필드 값을 가지지는 않으므로, Splunk Enterprise에서 필드는 한 이벤트를 다른 이벤트와 구 분하는 검색 가능한 이름과 값의 쌍입니다. 필드를 사용하여 원하는 특정 이벤트를 검색하도록 구체적으로 맞춤 설정된 검색 을 작성할 수 있습니다. 지식 관리자 매뉴얼에서 "필드"를 참조하십시오. 추출된 필드 Splunk는 인덱스 및 검색 시 이벤트 데이터에서 필드를 추출합니다. 인덱서 및 인덱서의 클러스터 관리에서 "인덱스 시간과 검색 시간"을 참조하십시오. 데이터를 인덱싱할 때 처리되는 각 이벤트에 대해 기본 및 기타 인덱스 필드가 추출됩니다. 기본 필드는 host, source 및 sourcetype입니다. 기본 필드의 리스트는 지식 관리자 매뉴얼에서 "기본 필드 사용"을 참조하십시오. 검색을 실행하면 Splunk Enterprise에서 다양한 필드 집합을 추출합니다. 지식 관리자 매뉴얼에서 "Splunk Enterprise가 필 드를 추출하는 경우"를 참조하십시오. 필드 추출기를 사용하여 로컬 Splunk 인스턴스에서 사용자 지정 필드를 동적으로 만들 수도 있습니다. 필드 추출기는 이벤트 에서 하나 이상의 필드를 인식하기 위한 패턴을 정의하기 위해 사용할 수 있습니다. 지식 관리자 매뉴얼에서 "필드 추출기로 필드 추출 작성"을 참조하십시오. 필드 찾기 및 선택 1. 검색 대시보드로 이동하여 검색란에 다음을 입력합니다. sourcetype="access_*" 다음 구문을 사용하는 필드를 검색합니다. fieldname="fieldvalue". 필드 이름은 대소문자를 구분하지만 필드 값은 대소문자 를 구분하지 않습니다. 필드 값에 와일드카드를 사용할 수 있습니다. 필드 값에 공백이 포함되는 경우 따옴표가 필요합니다. 이 검색은 다른 로그를 제외하고 오직 웹 액세스 로그에서만 이벤트를 검색합니다. 이 검색은 access_* 와일드카드를 사용하여 access_common, access_combined 또는 access_combined_wcookie가 될 수 있는 모든 Apache 웹 액세스 sourcetype을 일치시킵니다. 2. 이벤트 탭에서 이벤트 리스트를 스크롤합니다. Apache 로그의 access_combined 형식에 익숙할 경우 다음과 같은 각 이벤트의 정보를 인식할 수 있습니다. 24
웹 사이트에 액세스하는 사용자의 IP 주소 요청한 페이지 및 참조 페이지의 URI 및 URL 각 페이지 요청에 대한 HTTP 상태 코드 GET 또는 POST 페이지 요청 메서드 이는 Buttercup Games 온라인 스토어의 이벤트이므로 다른 정보와 키워드(Arcade, Simulation, productid, categoryid, purchase, addtocart 등)를 인식할 수 있습니다. 이벤트 리스트 왼쪽에 필드 사이드바가 있습니다. Splunk Enterprise가 검색과 일치하는 이벤트를 검색하면 필드 사이드바 는 선택된 필드와 관심 있는 필드로 업데이트됩니다. 해당 필드는 Splunk Enterprise가 사용자의 데이터에서 추출한 필드입 니다. 선택된 필드는 검색 결과에 표시되는 필드입니다. 기본 필드인 host, source 및 sourcetype이 선택됩니다. 각 필드는 모든 이 벤트에 나타납니다. 필드 숨기기 및 필드 표시를 클릭하여 필드 사이드바를 숨기거나 표시할 수 있습니다. 3. 모든 필드를 클릭합니다. 필드 선택 대화상자에서 이벤트 리스트에 표시할 필드를 선택할 수 있습니다. 25
각 이벤트의 timestamp(date_*로 시작되는 모든 항목), 구두점(punct) 및 위치(index)를 기준으로 하는 필드를 포함한 더 많은 기본 필드가 보입니다. 기타 필드 이름은 웹 액세스 로그에 적용됩니다 (예: clientip, method 및 status). 이러한 필드는 기본 필드가 아니며 검색 시 간에 추출됩니다. 나머지 추출된 필드는 Buttercup Games 온라인 스토어와 관련이 있습니다 (예: action, categoryid 및 productid). 4. action, categoryid 및 productid를 선택하고 필드 선택 대화상자를 닫습니다. 사이드바의 선택된 필드 아래에 3개의 필드가 나타납니다. 선택한 필드가 특정 이벤트에 존재하는 경우 검색 결과의 이벤트 에 표시됩니다. 모든 이벤트에 있는 필드가 같지 않을 수 있습니다. 필드 사이드바에는 각 필드에 대해 존재하는 값의 수가 표시됩니다. 해당 값은 Splunk Enterprise가 검색 결과에서 확인하는 값입니다. 5. 선택된 필드에서 action 필드를 클릭합니다. 26
action 필드에 대한 필드 요약이 열립니다. 이 검색 결과 집합에서 Splunk Enterprise는 action의 값을 5개 찾고 action 필드가 검색 결과의 49.9%에 나타남을 확인했습 니다. 6. 이 창을 닫고 선택한 다른 두 개의 필드인 categoryid(상점에서 판매하는 제품 유형)와 productid(제품의 특정 카탈로그 번 호)를 살펴봅니다. 7. 이벤트 리스트를 스크롤합니다. 이벤트 옆의 화살표를 클릭하면 해당 이벤트의 모든 필드 리스트가 열립니다. 이 패널을 사용하여 특정 이벤트의 모든 필드를 보고 개별 이벤트에 대해 개별 필드를 선택하거나 선택을 취소합니다. 더 세분화된 검색 실행 다음은 필드를 사용한 검색 예제입니다. 예 1: Buttercup Games 상점에서 성공적인 구입을 검색합니다. sourcetype=access_* status=200 action=purchase 이 검색은 HTTP 상태 필드 status를 사용하여 성공적인 요청을 지정하고 action 필드를 사용하여 구입 이벤트만 검색합니 다. 비슷한 방법으로 status!=200을 사용하여 HTTP 상태 코드가 200과 같지 않은 모든 이벤트를 찾는 방식으로 실패한 구입도 검색할 수 있습니다. sourcetype=access_* status!=200 action=purchase 예 2: 일반 오류를 검색합니다. (error OR fail* OR severe) OR (status=404 OR status=500 OR status=503) 여기서는 source type을 지정하지 않고 보안 및 웹 액세스 로그의 이벤트를 모두 검색합니다. 예 3: 어제 판매된 시뮬레이션 게임의 수를 검색합니다. 시간 범위 선택기에서 사전 설정 시간 범위로 어제를 선택하고 다음 명령을 실행합니다. 27
sourcetype=access_* status=200 action=purchase categoryid=simulation 반환되는 이벤트 수는 구입된 시뮬레이션 게임의 수입니다. 상점에서 판매된 각 제품 유형의 구입 수를 찾으려면 각 고유 categoryid에 대해 이 검색을 실행합니다. 지난 주의 요일별 구 입 수를 확인하려면 각 시간 범위에 대해 다시 검색을 실행합니다. 다음 단계 또한 필드를 사용하여 검색 언어, 차트 만들기 및 차트 작성 기능을 이용할 수 있습니다. "검색 언어 사용"으로 계속 진행하여 검색 언어를 사용하는 방법에 대해 알아보십시오. 검색 언어 사용 지금까지는 Splunk 인덱스에서 이벤트를 검색했습니다. 응답할 수 있는 질문이 반환된 이벤트 수로만 제한되었습니다. 예를 들어, 이전 항목에서 몇 개의 시뮬레이션 게임이 판매되었는지 알아보기 위해 이 검색을 실행했습니다. sourcetype=access_* status=200 action=purchase categoryid=simulation 지난 주의 요일별로 이 숫자를 찾으려면 해당 주의 각 요일 데이터에 대해 검색을 실행해야 합니다. 어떤 제품이 더 인기가 있 는지 알아보려면 8개의 categoryid 값에 대해 각각 검색을 실행하고 결과를 비교해야 합니다. 검색 길잡이로 배우기 "검색 시작" 항목에서 검색 길잡이에 대해 소개했습니다. 이어지는 내용에서는 검색 길잡이를 사용하여 Splunk 검색 처리 언 어에 대해 배우고 검색을 구성할 수 있는 한 가지 방법에 대해 자세히 설명합니다. 1. 검색 대시보드로 돌아가서 검색을 어제로 제한합니다. sourcetype=access_* status=200 action=purchase 검색란에 입력하면 오른쪽에 검색 명령어에 대한 구문 및 사용법 정보가 표시된 검색 길잡이가 열립니다. 검색 길잡이가 열 리지 않으면 검색란 왼쪽에 있는 아래쪽 화살표를 클릭합니다. 이전과 같이 검색 길잡이가 검색란에 입력한 키워드를 자동 완성 방식으로 표시하고 있으며, 검색 방법도 간략하게 설명하고 있습니다. 2. 검색란에 파이프 문자 " "를 입력합니다. 이 파이프 문자는 사용자가 명령을 사용하고, 파이프 왼쪽에 있는 검색 결과를 이 명령의 입력으로 사용할 것임을 나타냅니 다. 일련의 검색 명령어나 검색 명령어의 파이프라인을 사용하여 한 명령의 결과를 다른 명령에 전달할 수 있습니다. 28
Splunk를 사용하여 온라인 상점에서 가장 많이 구입하는 인기 품목을 확인하려고 합니다. 3. 다음 공통 명령어에서 top을 클릭합니다. top 명령어가 검색 문자열에 추가됩니다. 검색 길잡이의 설명 및 사용 예제에 따르면 top 명령어는 "필드의 가장 공통적인 값을 표시"합니다. 4. categoryid 필드를 검색란에 입력하여 검색을 완료합니다. sourcetype=access_* status=200 action=purchase top categoryid 5. 검색을 실행합니다. 검색란 아래에 있는 이벤트 개수는 sourcetype=access_* status=200 action=purchase에 대한 검색과 일치하는 검색된 이벤트 수를 나타냅니다. top 명령어의 결과가 통계 탭에 나타납니다. 통계 탭에서 보고서 보기 검색 결과는 보고서입니다. top 명령어는 변환 명령이며, categoryid 값에 대한 테이블 형식의 가장 보편적인 보고서를 반환 합니다. 변환 검색의 결과는 통계 탭에서 확인할 수 있습니다. 29
이 성공적인(status=200) 구입(action=purchase)에 대한 검색에서 Splunk Enterprise는 7개의 서로 다른 categoryid를 찾았습 니다. 이 보고서에는 categoryid 값이 내림차순으로 나열됩니다. top 명령은 다음과 같은 2개의 새로운 필드를 생성합니다. count 는 필드의 각 값이 발생한 횟수이며, percent는 개수를 총 개 수와 비교한 값입니다. top 명령어에 대한 자세한 내용은 검색 참조 매뉴얼을 참조하십시오. 시각화 탭에서 보고서 보기 및 형식 지정 변환 검색의 결과를 시각화 탭에서 보고 차트 유형의 형식을 지정할 수도 있습니다. 예를 들어 top 명령어를 사용한 검색을 원 형 차트로 나타낼 수 있습니다. 1. 시각화 탭을 클릭합니다. 기본적으로 시각화 탭은 세로막대형 차트와 함께 열립니다. 2. 세로막대형을 클릭하여 시각화 유형 선택기를 엽니다. 이 데이터 집합에는 세로막대형, 막대형 및 원형 차트가 권장됩니다. 3. 원형을 선택합니다. 이제 보고서가 다음과 같이 표시됩니다. 30
4. 형식과 일반에서 드릴다운 옆의 켜기를 클릭합니다. 드릴다운을 사용하면 검색에서 생성된 테이블과 차트에 제공된 정보의 세부사항을 더 자세히 살펴볼 수 있습니다. a. 각 파이 영역 위로 마우스를 옮겨 각 categoryid의 카운트 및 백분율 값을 확인합니다. b. "Strategy" 등의 영역을 클릭합니다. 드릴다운을 사용하도록 설정했으므로 Splunk Enterprise는 categoryid=strategy를 성공적인 구매에 대한 원래 검색에 추가 하고 이 새로운 검색을 실행합니다. 31
Splunk 데이터 시각화 매뉴얼에서 드릴다운 작업에 대해 자세히 알아보십시오. 다음 단계 다음 항목으로 이동하여 이벤트와 하위 검색 상관 분석에 대해 알아보십시오. 하위 검색 사용 이 항목에서는 이벤트를 하위 검색과 연결하는 예를 살펴봅니다. 하위 검색은 검색 파이프라인을 인수로 갖는 검색입니다. 하위 검색은 대괄호 안에 포함되어 있으며 먼저 평가된 다음 하위 검색 결과를 기본 검색(또는 외부 검색)의 인수로 사용합니다. 검색 매뉴얼의 "하위 검색"을 참조하십시오. 예 1: 하위 검색 사용 안 함 Buttercup Games 온라인 상점을 가장 자주 이용하는 고객과 이 고객이 무엇을 구입했는지 알아보겠습니다. 이렇게 하려면 온라인 상점에 가장 자주 액세스한 고객을 검색합니다. 1. top 명령어를 사용합니다. sourcetype=access_* status=200 action=purchase top limit=1 clientip clientip에 대한 결과를 하나만 반환하도록 top 명령어를 제한합니다. "상위 구입 고객"을 둘 이상 표시하려면 이 제한 값을 변경합니다. 사용법 및 구문에 대한 자세한 내용은 검색 참조 매뉴얼의 "top" 명령어 페이지를 참조하십시오. 이 검색은 VIP 고객을 식별하는 데 사용할 하나의 clientip 값을 반환합니다. 2. stats 명령어를 사용하여 이 VIP 고객의 구입 횟수를 계산합니다. sourcetype=access_* status=200 action=purchase clientip=87.194.216.51 stats count, dc(productid) by clientip 32
이 검색에서는 고객의 총 구입 수만 반환하는 count() 함수를 사용했습니다. dc() 함수는 고객이 몇 개의 다른 제품을 구입하 는지 계산하는 데 사용됩니다. 이 방법의 단점은 이 테이블을 작성할 때마다 두 개의 검색을 실행해야 한다는 점입니다. 특정 시간 범위의 상위 구입 고객이 동일한 사람이 아닐 수도 있습니다. 예 2: 하위 검색 사용 1. 다음을 검색란에 입력하거나 복사하여 붙여넣습니다. sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase top limit=1 clientip table clientip] stats count, dc(productid), values(productid) by clientip 여기서 하위 검색은 대괄호 []로 묶인 세그먼트입니다. 이 검색 search sourcetype=access_* status=200 action=purchase top limit=1 clientip table clientip는 마지막 연결 명령을 제외하고 예제 1의 1단계와 동일합니다. table clientip top 명령어는 count 및 percent 필드도 반환하기 때문에 table 명령어는 clientip 값을 보관하는 데만 사용됩니다. 동일한 시간 범위에 대해 실행할 경우 이 결과는 이전 결과와 동일합니다. 그러나 시간 범위를 변경할 경우 상위 구입 고객이 달라지기 때문에 다른 결과가 표시될 수 있습니다. 참고: 이 하위 검색의 성능은 stats=200 action=purchase와 일치하는 개별 IP 주소의 수에 좌우됩니다. 개별 IP 주소가 수천 개인 경우 top 명령어가 최상위 주소 1개를 반환하기 전까지 모든 주소를 계속 추적해야 하기 때문에 성능이 저하됩니다. 기 본적으로 하위 검색은 결과를 10,000개까지 반환하며. 최대 실행 시간은 60초입니다. 대규모 실제 운영 환경에서는 이 예의 하위 검색이 완료되기 전에 제한 시간이 초과될 수 있습니다. 이 경우 쿼리를 다시 작성하여 하위 검색이 처리해야 하는 이벤 트의 수를 제한하는 것이 최선의 방법입니다. 아니면 최대 결과 및 최대 실행 시간 매개변수를 늘릴 수 있습니다. 2. 정보를 더 쉽게 이해할 수 있도록 컬럼의 이름을 바꿉니다. sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase top limit=1 clientip table clientip] stats count AS "Total Purchased", dc(productid) AS "Total Products", values(productid) AS "Products ID" by clientip rename clientip AS "VIP Customer" 33
다른 기간 동안 검색을 실행하면 어떤 일이 발생합니까? 가장 많이 판매된 제품이 무엇이고 해당 제품을 얼마나 많은 사람이 구입했는지를 알려면 어떻게 해야 합니까? 다음 단계 다음 항목에서는 필드 룩업을 사용하여 이벤트에 새 정보를 추가하는 방법을 배웁니다. 필드 룩업 사용 이 항목에서는 필드 룩업을 사용하여 새 필드를 이벤트에 추가하는 과정을 안내합니다. 필드 룩업을 사용하면 이벤트 데이터 의 필드와 일치하는 필드를 외부 CSV 파일에서 참조할 수 있습니다. 이 일치를 사용하면 더 의미있는 정보와 검색 가능한 필 드를 각 이벤트 데이터에 추가하여 데이터를 풍부하게 만들 수 있습니다. 다음 파일을 다운로드하여 압축을 풉니다. http://docs.splunk.com/images/d/db/prices.csv.zip 중요: 튜토리얼의 나머지 부분을 완료하려면 이 항목의 절차를 수행해야 합니다. 필드 룩업을 설정하지 않으면 다음 항목의 검색에서 올바른 결과를 생성할 수 없습니다. 룩업 관리자 찾기 1. 오른쪽 상단에 있는 Splunk 메뉴 모음에서 설정을 클릭합니다. 2. 지식에서 룩업을 클릭합니다. 그러면 새 룩업을 만들거나 기존 룩업을 편집할 수 있는 룩업 편집기가 열립니다. 34
테이블에서 룩업 테이블 파일, 룩업 정의 및 자동 룩업에 대한 링크를 클릭하여 기존 룩업을 보고 편집할 수 있습니다. 룩업 테이블 파일 업로드 1. 룩업 관리자의 룩업 테이블 파일에 대한 "작업"에서 새로 추가를 클릭합니다. 그러면 필드 룩업 정의에 사용할 CSV 파일을 업로드할 수 있는 새로 추가 룩업 테이블 파일 뷰로 이동합니다. 2. 룩업 테이블 파일을 검색 앱에 저장하려면 대상 앱을 search로 선택합니다. 3. 룩업 파일 업로드에서 업로드할 CSV 파일(prices.csv)을 찾아봅니다. 4. 대상 파일 이름에서 파일 이름을 prices.csv로 지정합니다. 이 이름은 룩업 정의에서 파일을 참조하는 데 사용하는 이름입니다. 5. 저장을 클릭합니다. 그러면 룩업 파일이 검색 앱에 업로드되고 룩업 테이블 파일 리스트로 돌아갑니다. 참고: Splunk가 파일을 인식하지 못하거나 업로드할 수 없으면 업로드를 다시 시도하기 전에 파일이 압축 해제되었는지 확 인하십시오. 룩업 테이블 파일 전역 공유 룩업 파일을 공유하지 않으면 룩업을 정의할 때 룩업 파일을 선택할 수 없습니다. 1. 룩업 테이블 파일 리스트로 이동합니다. 2. prices.csv 룩업 테이블 경로에 대한 공유에서 권한을 클릭합니다. 35
2. prices.csv 룩업 테이블 경로에 대한 공유에서 권한을 클릭합니다. 그러면 prices.csv 룩업 파일에 대한 권한 대화상자가 열립니다. 3. 개체 표시 위치에서 모든 앱을 선택합니다. 4. 저장을 클릭합니다. 이제 룩업 테이블은 전역 권한으로 공유해야 합니다. 필드 룩업 정의 추가 1. 룩업 관리자로 돌아갑니다. 2. 룩업 정의에 대한 작업에서 새로 추가를 클릭합니다. 그러면 필드 룩업을 정의하는 룩업 정의 새로 추가 뷰로 이동합니다. 3. 대상 앱을 search로 선택합니다. 4. 룩업의 이름을 prices_lookup으로 지정합니다. 5. 유형에서 파일 기반을 선택합니다. 파일 기반 룩업은 일반적으로 CSV 파일인 정적 테이블에서 필드를 추가합니다. 6. 룩업 파일에서 prices.csv(룩업 테이블 이름)를 선택합니다. 7. 시간 기반 룩업 설정 및 고급 옵션을 선택하지 않습니다. 8. 저장을 클릭합니다. 그러면 prices_lookup이 파일 기반 룩업으로 정의됩니다. 36
룩업 정의를 모든 앱과 공유 1. 룩업 정의 리스트로 돌아갑니다. 2. prices_lookup에 대한 공유에서 권한을 클릭합니다. prices.lookup에 대한 권한 대화상자가 열립니다. 3. 개체 표시 위치에서 모든 앱을 선택합니다. 4. 저장을 클릭합니다. 이제 prices_lookup은 전역 권한으로 공유해야 합니다. 룩업 자동화 1. 룩업 관리자의 자동 룩업에 대한 "작업"에서 새로 추가를 클릭합니다. 그러면 룩업을 자동으로 실행하도록 설정할 수 있는 자동 룩업 새로 추가 뷰로 이동합니다. 2. 대상 앱을 search로 선택합니다. 3. 자동 룩업 이름을 price_lookup으로 지정합니다. 4. 룩업 테이블에서 prices_lookup을 선택합니다. 37
5. 적용 대상 및 값에서 sourcetype을 선택하고 access_combined_wcookie를 입력합니다. 6. 룩업 입력 필드에서 productid를 룩업 입력 필드 아래에 있는 텍스트 영역 2개에 모두 입력합니다. Splunk Enterprise는 룩업 테이블의 필드(왼쪽에 지정된 필드)를 오른쪽 필드(이벤트 내 필드)와 일치시킵니다. 이 사례에서 는 필드 이름이 일치합니다. 7. 룩업 출력 필드에서 입력 필드 일치를 기준으로 이벤트 데이터에 추가할 필드의 이름을 입력하고 필드의 이름을 바꿉니다. 7.1 첫 텍스트 영역에 각 productid에 대한 설명 이름이 포함된 product_name을 입력합니다. 7.2. 등호 뒤의 두 번째 텍스트 영역에 productname을 입력합니다. 그러면 필드 이름이 productname으로 바뀝니다. 7.3. 다른 필드 추가를 클릭하여 첫 번째 필드 뒤에 더 많은 필드를 추가합니다. 7.4. 각 productid에 대한 가격이 포함된 price 필드를 추가합니다. 이 필드의 이름을 바꾸지 마십시오. 8. 필드 값 덮어쓰기를 선택하지 않습니다. 9. 저장을 클릭합니다. 그러면 자동 룩업 리스트로 돌아가고, 설정한 룩업이 보입니다. 새 필드를 검색 결과에 표시 1. 앱 메뉴에서 검색을 클릭하여 검색 뷰로 돌아갑니다. 2. 웹 액세스 활동 검색을 실행합니다. sourcetype=access_* 3. 필드 사이드바에서 관심 있는 필드의 리스트를 스크롤하고 price 필드를 찾습니다. 4. price를 클릭하여 가격 필드 요약 대화상자를 엽니다. 38
5. 선택됨 옆의 예를 클릭합니다. 6. 대화상자를 닫습니다. 필드 사이드바의 선택된 필드 아래에 price 필드가 나타납니다. 6. productname 필드에 대해 3-5단계를 반복합니다. 새 룩업 필드를 사용하여 검색 1. 이전 하위 검색 예제를 복사하여 붙여넣거나 입력하여 VIP 고객이 구입한 내용을 확인합니다. 이번에는 productid 필드를 productname으로 대체합니다. sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase top limit=1 clientip table clientip] stats count AS "Total Purchased", dc(productid) AS "Total Products", values(productname) AS "Product Names" by clientip rename clientip AS "VIP Customer" 제품을 설명하는 이름을 추가하여 VIP 고객의 구입에 더 많은 의미가 부여되었다는 점만 제외하고, 결과는 이전 하위 검색 예제와 동일합니다. 39
다음 절에서는 이 검색을 "VIP Customer"라는 보고서로 저장하는 과정을 안내합니다. 다음 단계 더 많은 검색을 실행함에 따라 검색을 저장하여 재사용하거나 다른 사람들과 공유하려고 합니다. "보고서 저장 및 공유"로 이 동하여 보고서 저장 및 공유에 대해 알아보십시오. 파트 6: 보고서 저장 및 공유 보고서 저장 및 공유 앞에서는 Splunk Enterprise에서 검색의 기초와 하위 검색을 사용하고 룩업 테이블에서 필드를 추가하는 방법을 배웠습니 다. 이 절에서는 검색 저장 방법과 추가 검색 예제에 대해 설명합니다. 보고서로 저장 1. 어제를 시간 범위로 선택하고 다음 검색을 실행합니다. (이 검색은 이전 항목인 "필드 룩업 사용"에서 실행한 것과 동일합 니다.) sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase top limit=1 clientip table clientip] stats count AS "Total Purchased", dc(productid) AS "Total Products", values(productname) AS "Product Names" by clientip rename clientip AS "VIP Customer" 참고: 검색에서 결과가 반환되지 않는 경우 검색 시간 범위를 늘리십시오. 예를 들어 검색의 시간 범위를 지난 주 또는 전체 시간으로 지정하여 실행할 수 있습니다. 2. 검색란 위의 다른 이름으로 저장을 클릭하고 보고서를 선택합니다. 그러면 보고서로 저장 대화상자가 열립니다. 3. 제목으로 VIP Customer를 입력합니다. 4. (선택 사항) Buttercup Games most frequent shopper를 설명으로 입력합니다. 40
5. 보고서는 테이블이기 때문에 시각화에 대해 없음을 클릭합니다. 6. 시간 범위 선택기를 포함시키려면 예를 클릭합니다. 7. 저장을 클릭합니다. 보고서가 생성되었습니다 대화상자가 열립니다. 이 창에는 다른 옵션이 있습니다. 편집 계속을 통해 검색 및 보고서 형식을 상세히 지정합니다. 대시보드에 추가를 선택하면 보고서를 새 대시보드나 기존 대시보드에 추가할 수 있습니다. 뷰를 선택하면 보고서를 볼 수 있습니다. 8. 뷰를 클릭합니다. 저장된 보고서 보기 및 편집 이 보고서 뷰에서 저장된 보고서를 보고 편집할 수 있습니다. 1. "VIP Customer"에 대한 보고서 뷰에서 편집을 클릭합니다. 보고서를 검색 뷰에서 열고 저장된 검색의 설명, 권한, 스케줄 및 가속화를 편집할 수 있습니다. 이 메뉴에서 보고서를 복제, 첨부 및 삭제할 수도 있습니다. 41
첨부 및 삭제할 수도 있습니다. 2. 추가 정보를 클릭합니다. 보고서의 다양한 속성(스케줄, 가속화, 권한 및 첨부 등)을 보고 편집할 수 있습니다. 3. 왼쪽 상단에 위치한 시간 범위 선택기를 확인합니다. 이 보고서는 시간 범위 선택기를 사용하여 저장되었습니다. 시간 범위 선택기를 사용하여 이 검색을 실행하는 시간을 변경할 수 있습니다. 예를 들어, 이 시간 범위 선택기를 사용하여 간단히 사전 설정 시간 범위를 선택하거나 사용자 지정 시간 범위를 정의하는 방식으로 VIP 고객에 대한 이 검색을 주간 누계, 최근 60분, 최근 24시간에 대해 실행할 수 있습니다. "시간 범위 선택기"를 참조하십시오. 저장된 보고서 찾기 및 공유 앱 탐색 메뉴 모음에서 저장된 보고서에 액세스할 수 있습니다. 1. 보고서를 클릭하여 보고서 리스트 페이지를 엽니다. 새 보고서를 저장하면 권한이 비공개로 설정됩니다. 이는 사용자 본인만 보고서를 보고 편집할 수 있음을 의미합니다. 권한 을 변경하여 다른 앱에서 보고서를 보거나 편집하도록 허용할 수 있습니다. 42
1. VIP Customer 보고서에 대한 작업에서 편집을 클릭하고 권한 편집을 선택합니다. 그러면 권한 편집 대화상자가 열립니다. 2. 권한 편집 대화상자에서 표시를 앱으로 설정하고 읽기 아래에서 모든 사용자 상자를 선택합니다. 이 작업을 수행하면 이 앱에 액세스하는 모든 사람에게 볼 수 있는 권한이 부여됩니다. 3. 저장을 클릭합니다. 보고서 리스트 페이지로 돌아가면 VIP 고객에 대한 공유가 이제 앱으로 표시됩니다. 보고서 가속화 검색에 이벤트 수가 많아서 완료하는 데 시간이 오래 걸리는 경우, 다시 검색할 때 검색을 더 빨리 완료하도록 결과 보고서를 가속화할 수 있습니다. 이 옵션은 검색을 통해 작성된 보고서가 가속화에 적합할 경우에 사용할 수 있습니다. "VIP Customer" 보고서는 변환 검색 기반이므로 가속화에 적합하지 않습니다. 이 튜토리얼에서 사용된 샘플 데이터는 볼륨이 제한되어 있으며, 전체 검색은 하루 동안(어제)의 데이터를 대상으로 실행됩 니다. 이 상자를 선택해도 이 검색과 이 튜토리얼에서 저장할 이후 모든 검색의 속도에 영향을 미치지 않습니다. 보고 매뉴얼의 "보고서 가속화" 항목에서 보고서 가속화 및 보고서 가속화에 적합한 검색 유형에 대해 자세히 알아보십시오. 다음 단계 43
계속하여 추가 검색 예제를 실행하고 추가 보고서를 저장하십시오. 추가 검색 및 보고서 이 항목에서는 더 많은 검색 예제를 안내합니다. 예 1: 사용자 작업 수 비교 이 예제에서는 각 제품 유형의 보기 수, 구입 수 및 장바구니에 추가한 횟수를 계산합니다. 이 보고서에는 필드 룩업 예제의 productname 필드가 필요합니다. 룩업을 추가하지 않은 경우 해당 예를 참조하고 절차를 따 르십시오. 1. 검색 뷰로 돌아가서 다음 검색을 실행합니다. sourcetype=access_* status=200 chart count AS views count(eval(action="addtocart")) AS addtocart count(eval(action="purchase")) AS purchases by productname rename productname AS "Product Name", views AS "Views", addtocart AS "Adds to Cart", purchases AS "Purchases" 이 검색에서는 chart 명령어를 사용하여 action=purchase 및 action=addtocart인 이벤트 수를 계산합니다. 2. 시각화 뷰 옵션을 사용하여 결과를 세로막대형 차트 형식으로 나타냅니다. 예 2: 오버레이 작업 및 한 차트에서의 변환율 1. 다음 검색을 실행합니다. sourcetype=access_* status=200 stats count AS views count(eval(action="addtocart")) AS addtocart 44
count(eval(action="purchase")) AS purchases by productname eval viewstopurchase=(purchases/views)*100 eval carttopurchase=(purchases/addtocart)*100 table productname views addtocart purchases viewstopurchase carttopurchase rename productname AS "Product Name" views AS "Views", addtocart as "Adds To Cart", purchases AS "Purchases" chart 명령어 대신 이 검색에서는 사용자 작업을 계산하는 데 stats 명령어를 사용합니다. 그런 다음, "구입을 위해 제품을 본 횟수" 및 "구입을 위해 장바구니에 추가한 횟수"에 대한 변환율을 계산하는 두 개의 새로운 필드를 정의하는 데 eval 명령어 를 사용합니다. 2-6단계에서는 시각화 형식을 다시 지정하여 변환 데이터 열(viewsToPurchases와 carttopurchase)을 작업 데이터 열(보 기, 장바구니에 추가 및 구입) 위에 겹쳐 표시합니다. 2. 시각화를 클릭합니다. 이것은 "viewstopurchase" 및 "carttopurchase" 두 개의 추가 열이 포함된 예제 1과 동일한 차트입니다. 3. 형식과 X축을 차례로 클릭합니다. 45
3.1 레이블을 -45도 각도로 회전하고 레이블을 자르지 않습니다. 3.2 적용을 클릭합니다. 4. 형식과 Y축을 차례로 클릭합니다. 4.1 제목에 대해 사용자 지정을 선택하고 "Actions"를 입력합니다. 4.2 간격을 500으로 설정하고 최대값을 2500으로 설정합니다. 4.3 적용을 클릭합니다. 5. 형식과 차트 오버레이를 차례로 클릭합니다. 5.1 "viewstopurchase" 및 "carttopurchase" 필드를 입력하거나 선택합니다. 5.2 축으로 보기에 대해 켜기를 클릭합니다. 5.3 제목에 대해 사용자 지정을 선택하고 Conversion Rates를 입력합니다. 5.4 눈금에 대해 선형을 선택합니다. 5.5 간격을 20으로 설정하고 최대값을 100으로 설정합니다. 5.6 적용을 클릭합니다. 46
6. 다른 이름으로 저장을 클릭하고 보고서를 선택합니다. 6.1 보고서로 저장 대화상자에서 제목에 "Comparison of Actions and Conversion Rates by Product"를 입력합니다. 6.2 (선택 사항) 설명에 "The number of times a product is viewed, added to cart, and purchased and the rates of purchases from these actions"를 입력합니다. 7. 저장을 클릭합니다. 예 3: 시간별로 구입한 제품 이 보고서의 경우 각 품목마다 완료된 구입 수를 차트화합니다. 이 보고서에는 필드 룩업 예제의 productname 필드가 필요합니다. 룩업을 추가하지 않은 경우 해당 예를 참조하고 절차를 따 르십시오. 1. 다음을 검색합니다. sourcetype=access_* timechart count(eval(action="purchase")) by productname usenull="f" useother="f" 47
count() 함수를 사용하여 action=purchase 필드가 있는 이벤트의 수를 셉니다. usenull 및 useother 인수를 사용하여 productname에 대한 값을 가진 이벤트를 차트에서 계산하도록 합니다. 그러면 다음 통계 테이블이 생성됩니다. 2. 시각화 탭을 클릭하고 X축, Y축 및 범례의 형식을 지정하여 다음 꺾은선형 차트를 작성합니다. 3. 다른 이름으로 저장을 클릭하고 보고서를 선택합니다. 3.1 보고서로 저장 대화상자에서 제목에 "Product Purchases over Time"을 입력합니다. 3.2 (선택 사항) 설명에 "The number of purchases for each product."를 입력합니다. 4. 저장을 클릭하고 보고서를 봅니다. 48
예 4: 구입 동향 이 예에서는 sparkline을 사용하여 시간별 구입 수의 동향을 표시합니다. stats 및 chart 검색의 경우 결과 테이블에 sparkline을 추가할 수 있습니다. sparkline은 검색 결과 테이블 내에 표시되는 인 라인 차트로, 각 행의 기본 키와 연관된 시간 기반 동향을 표시하도록 설계되어 있습니다. 검색 매뉴얼의 "검색 결과에 sparkline 추가"를 참조하십시오. 이 예에는 필드 룩업 예제의 productname 필드가 필요합니다. 룩업을 추가하지 않은 경우 해당 예를 참조하고 절차를 따르십 시오. 1. 다음 검색을 실행합니다. sourcetype=access_* status=200 action=purchase chart sparkline(count) AS "Purchases Trend" count AS Total by categoryid rename categoryid AS "Category" 이 검색에서는 chart 명령을 사용하여 각 제품 productname에 대해 구입 수 action="purchase"를 계산합니다. 차이점은 구입 수가 이제 sparkline() 함수의 인수라는 것입니다. 3. 다른 이름으로 저장을 클릭하고 보고서를 선택합니다. 49
4. 보고서로 저장 대화상자에서 제목에 "Purchasing trends"를 입력합니다. 5. (선택 사항) 설명에 "Count of purchases with trending."을 입력합니다. 6. 저장을 클릭하고 보고서를 봅니다. 다음 단계 지금까지 검색을 보고서로 저장했습니다. "대시보드 만들기"로 계속 진행하여 대시보드와 검색 및 보고서를 대시보드 패널 로 저장하는 방법에 대해 알아보십시오. 파트 7: 대시보드 만들기 대시보드 대시보드는 검색란, 필드, 차트, 테이블 및 리스트와 같은 모듈을 포함한 패널로 구성된 뷰입니다. 대시보드 패널은 일반적으 로 저장한 검색에 연결됩니다. 시각화 또는 보고서를 만든 후에는 다른 이름으로 보고서 저장 대화상자를 사용하여 새 대시보드나 기존 대시보드에 추가할 수 있습니다. 대시보드 편집기를 사용하여 대시보드를 만들고 기존 대시보드를 편집할 수도 있습니다. 대시보드 편집기를 사 용하면 대시보드에 빨리 추가하고 싶은 여러 저장된 보고서가 있을 때 유용합니다. 대시보드 권한 변경 대시보드 편집기에서 대시보드에 대한 액세스 권한을 지정할 수 있습니다. 그러나 사용자 역할(및 해당 역할에 대해 정의된 기능)에 따라 정의할 수 있는 액세스 유형이 제한될 수 있습니다. Splunk 사용자 역할이 (기본 기능 집합을 보유한) 관리자인 경우 특정 앱에만 표시되거나 모든 앱에 표시되는 비공개 대시보 드를 작성할 수 있습니다. 또한 사용자, 관리자 및 특정 기능을 보유한 다른 역할과 같이 다른 Splunk 사용자 역할에 대한 액 세스 권한을 제공할 수 있습니다. 대시보드 및 다른 knowledge object에 대한 권한을 설정하는 방법에 대한 내용은 관리자 매뉴얼의 "knowledge object 권한 관리"를 참조하십시오. 대시보드 패널 시각화 변경 대시보드 편집기를 사용하여 패널을 만든 후 시각화 편집기를 사용하여 패널에서 시각화 유형을 변경하고 해당 시각화가 표 시 및 작동하는 방식을 결정하십시오. 시각화 편집기를 사용하면 데이터 구조 요구 사항이 패널에 대해 지정된 검색과 일치 50
하는 시각화 유형 중에서 하나를 선택할 수 있습니다. 시각화 유형과 시각화 형식 지정/표시 옵션의 개요는 데이터 시각화 매뉴얼의 "시각화 참조" 항목을 참조하십시오. 다양한 시각화 유형에 필요한 데이터 구조에 대한 자세한 내용은 데이터 시각화 매뉴얼의 "시각화를 위한 데이터 구조 요구 사항"을 참조하십시오. 대시보드의 XML 설정 편집 XML을 사용하여 대시보드를 작성할 필요는 없지만 대시보드의 XML 설정을 편집하는 방식으로 대시보드의 패널을 편집할 수 있습니다. 따라서 대시보드 편집기에서 사용할 수 없는 기능을 편집할 수 있습니다. 예를 들어, XML 설정을 편집하여 대 시보드의 이름을 변경하거나 테이블의 사용자 지정 행 수를 지정할 수 있습니다. 개발자 매뉴얼에서 "단순 XML을 사용하여 대시보드 작성 및 편집"을 참조하십시오. 대시보드 및 대시보드 패널 만들기 이 항목에서는 검색을 대시보드 패널로 저장하고 대시보드에 입력 요소를 추가하는 방법을 살펴봅니다. 검색을 대시보드 패널로 저장 1. 다음 검색을 실행합니다. sourcetype=access_* status=200 action=purchase top categoryid 2. 시각화 탭을 클릭하고 원형 차트 유형을 선택합니다. 3. 검색 뷰에서 다른 이름으로 저장을 클릭하고 대시보드 패널을 선택합니다. 51
대시보드 패널로 저장 대화상자가 열립니다. 4. 새 대시보드와 대시보드 패널을 정의합니다. 4.1. 대시보드에 대해 새로 만들기를 클릭합니다. 4.2. 대시보드 제목에 "Buttercup Games Purchases"를 입력합니다. 그러면 대시보드 ID가 "buttercup_games_purchases"로 업데이트됩니다. 4.3. (선택 사항) "Reports on Buttercup Games purchases data"라는 대시보드 설명을 추가합니다. 4.4. 패널 제목에 "Top Purchases by Category"를 입력합니다. 4.5. 패널 제공을 인라인 검색으로 선택합니다. 5. 저장을 클릭합니다. 6. 대시보드 보기를 클릭합니다. 하나의 보고서 패널이 포함된 대시보드가 만들어집니다. 더 많은 보고서 패널을 추가하려면 새로운 검색을 실행하고 이 대시 보드에 새로운 검색을 저장하거나 저장된 보고서를 추가할 수 있습니다. 52
대시보드 패널 보기 및 편집 1. 앱 탐색 메뉴 모음에서 대시보드를 클릭합니다. 대시보드 리스트 페이지가 표시됩니다. 새 대시보드를 만들고 기존 대시보드를 편집할 수 있습니다. 만든 Buttercup Games Purchases 대시보드가 보입니다. 2. i 컬럼에서 Buttercup Games Purchases 옆의 화살표를 클릭하여 대시보드에 대한 추가 정보를 확인합니다. 대시보드 에 대한 자세한 정보가 나타납니다. 정보와 같은 줄에 있는 링크를 사용하여 대시보드의 스케줄 및 권한을 빠르게 편집할 수 있습니다. 대시보드에 입력 추가 1. 대시보드 리스트에서 Buttercup Games Purchases를 클릭하여 해당 대시보드로 돌아갑니다. 2. 편집을 클릭하고 패널 편집을 선택합니다. 편집: Buttercup Games Purchases 뷰가 열립니다. 이 뷰에는 입력 추가, 패널 추가 및 원본 편집이라는 편집 단추가 있습니다. 3. 입력 추가를 클릭하고 시간을 선택합니다. 53
그러면 시간 범위 선택기 입력 정보가 대시보드 편집기에 추가됩니다. 4. 시간 범위 선택기에 해당하는 입력 편집 아이콘을 클릭합니다. 연필처럼 생긴 아이콘입니다. 그러면 여러 입력 컨트롤이 열립니다. 시간 입력 유형이 미리 선택되어 있어야 합니다. a. (선택 사항) 토큰 값을 Buttercup_Games_Time_Range로 변경하고 적용을 클릭합니다. 선택 사항인 이 단계를 수행하면 시간 범위 선택기에 해당하는 입력 토큰의 이름이 재정의됩니다. 입력 토큰의 기본 이름은 그다지 구체적이지 않으므로(field1, field2, field3 등), 대시보드에 여러 입력을 지정하는 경우에는 이 단계를 수행하는 것이 좋습니다. 그러면 작업에 어떤 입력을 사용 중인지 더 쉽게 알 수 있습니다. b. (선택 사항) 기본값을 변경하여 선택기의 기본 시간 범위를 변경합니다. 현재 이 기본값은 전체 시간입니다. 다음 두 단계에서는 대시보드 패널을 이 시간 범위 선택기에 연결합니다. 6. 새로운 대시보드 패널에서 인라인 검색 아이콘을 클릭하고 검색 문자열 편집을 선택합니다. 검색 편집 대화상자가 열립니다. 54
7. 시간 범위를 클릭하고 공유된 시간 선택기(Buttercup_Games_Time_Range)를 선택합니다. 8. 저장을 클릭합니다. 이제 패널이 공유 시간 범위 선택기 입력에 연결됩니다. 패널에 정보를 제공하는 인라인 검색에는 이제 공유 시간 범위 선택 기에 사용하도록 선택한 시간 범위가 사용됩니다. 이 대시보드에 패널을 추가할 때 6-8단계를 반복하여 새 패널을 공유 시간 범위 선택기 입력에 연결하십시오. 공유 시간 범위 선택기와 함께 사용할 수 있는 패널과 고정된 시간 범위의 데이터를 표시하는 패널을 함께 제공하는 대시보 드를 만들 수 있습니다. 9. 완료를 클릭하여 대시보드에 적용한 변경 사항을 저장합니다. 다음 단계 다음 항목으로 이동하여 대시보드에 더 많은 보고서를 추가하십시오. 대시보드에 더 많은 패널 추가 이전 절에서는 검색을 실행하고 보고서로 저장했습니다. 이 항목에서는 저장된 보고서를 기존 대시보드에 추가합니다. 저장된 보고서를 대시보드에 추가 1. Buttercup Games Purchases 대시보드로 돌아갑니다. 55
2. 편집을 클릭하고 패널 편집을 선택합니다. 3. Buttercup Games Purchases 대시보드 편집기에서 패널 추가를 클릭합니다. 패널 추가 사이드바 메뉴 슬라이드가 열립니다. 4. 보고서에서 새 패널을 추가하려면 보고서에서 새로 만들기를 클릭합니다. 저장된 보고서 리스트가 열립니다. 56
5. Purchasing Trends를 선택합니다. 저장된 보고서의 미리보기가 열립니다. 6. 대시보드에 추가를 클릭합니다. 새로운 패널이 대시보드 편집기에 배치됩니다. 아무데나 클릭하여 패널 추가 사이드바 메뉴를 닫거나 대시보드에 추가할 다 른 보고서를 선택할 수 있습니다. 참고: 새 패널을 공유 시간 범위 선택기 입력과 함께 사용할 수 있도록 하려면 "대시보드에 입력 추가" 절차의 6-8단계를 반 복하여 패널을 해당 입력에 연결하십시오. 7. Comparison of Actions and Conversion Rates by Product 보고서를 선택하고 대시보드에 추가합니다. 57
8. 패널 추가 사이드바를 닫고 대시보드에 패널을 다시 배치합니다. 대시보드 편집기에 있을 때 패널을 끌어와서 대시보드에 다시 배치할 수 있습니다. 9. 완료를 클릭합니다. 완료된 대시보드는 다음과 같이 표시되어야 합니다. 58
추가 대시보드 작업 대시보드를 완료한 후 오른쪽 상단의 단추를 사용하여 PDF로 내보내기 및 대시보드 인쇄를 수행할 수 있습니다. 해당 권한 을 변경하여 다른 사용자와 대시보드를 공유할 수도 있습니다. 다음 단계 이번 과정에서 검색 튜토리얼을 마칩니다. 다음 단계 추가 Splunk 검색 참고 자료 이 튜토리얼에서 검색 인터페이스 탐색 및 검색 언어 사용에 대해 간략히 소개했습니다. 일부 기본 검색을 실행하고 결과를 보고서 및 대시보드로 저장하는 방법을 확인했지만 Splunk Enterprise를 사용하면 훨씬 더 많은 작업을 수행할 수 있습니다. 자세한 내용은 다음 매뉴얼을 참조하십시오. 검색 매뉴얼: Splunk SPL(검색 처리 언어)을 검색 및 사용하는 방법에 대해 설명합니다. 이 매뉴얼에서 통계를 계산하 고 필드를 평가하며 검색 결과에 대한 보고서를 작성하는 Splunk 검색 작성의 예를 자세히 살펴보십시오. 검색 참조 매뉴얼: Splunk Enterprise 사용자를 위한 검색 명령어 및 검색 명령어에 대한 전체 구문, 설명 및 사용 예제 가 수록된 검색 명령어 카탈로그를 제공합니다. 검색을 시작하려면 검색 명령어 요약서를 확인하십시오. 이는 설명과 예제가 완전히 갖춰진 빠른 가이드입니다. 튜토리얼 데이터를 조사하고 더 많은 검색을 실행하며 더 많은 대시보드를 만들어 보십시오. Splunk Enterprise의 데이터 모델 및 피벗 기능에 대해 자세히 알아보려면 데이터 모델 및 피벗 튜토리얼을 참조하십시오. Splunk Enterprise의 기능과 각 기능을 사용하는 방법에 대해 자세히 알아보려면 엄선된 Splunk 교육 비디오 및 강의를 참조 하십시오. 59