[Splunk] 데이터 입력

데이터 입력

인덱싱을 위한 원시 데이터를 입력해주는 과정이다. 데이터 추가와는 다르게 데이터 입력은 Splunk 서버내의 local 데이터를 추가 하거나 데이터를 전달받아 추가하는 방법이다.

1) Splunk 페이지에서 우측 상단의 설정 버튼을 누른다. 나타난 창에서 데이터 항목내의 데이터 입력을 선택한다.

2) 데이터 입력 페이지가 나타나면 원하는 데이터 입력 유형을 선택한다. Splunk 서비스가 실행되고 있는 컴퓨터에 저장된 csv형식의 데이터를 인덱싱하기 위해서 파일 및 디렉터리 항목을 선택했다. 

3) 새로운 파일을 입력하기 위해 좌측 상단의 새로만들기 버튼을 클릭한다.

4) 데이터 추가 화면이 나오게 되면 사용자가 추가하고 싶은 데이터를 파일 또는 디렉터리 항복의 찾아보기를 통해 파일이 저장되어 있는 경로를 통해 선택하면 된다. 파일 혹은 디렉터리 선택이 끝나면 상단의 다음 버튼을 클릭한다.

5) Source Type을 설정하는 페이지가 나오게 된다. 이 때 기본 설정 외에 이벤트 구분을 위한 설정이 필요하면 수정이 필요한 항목을 선택해 수정을 해 주면 된다. 그 후 Source Type 선택 버튼 옆의 다른 이름으로 저장을 통해 Source Type을 저장해 주면 된다. 이 때 두번째 이미지에서 처럼 앱을 데이터를 인덱싱 할 앱으로 선택해 주어야 한다. Source Type 설정이 끝나면 상단의 다음 버튼을 클릭한다.

6) 마지막으로 입력설정 페이지가 나오면 앱 컨텍스트와 인덱스 항목들이 제대로 앱과 인덱스를 선택했는지 확인하고 상단의 검토버튼을 클릭한다.

7) 컴토 페이지가 나오면 항목들을 제대로 선택했는지를 확인한 후 상단의 제출버튼을 클릭하면 데이터 입력이 완료된 것이다. Splunk 기본 화면(첫번째 사진)에서 좌측에 데이터를 입력한 앱을 선택하여 두번째 사진의 화면이 나오면 검색에 index="인덱스명" 명령어를 통해 이벤트의 갯수를 확인하여 데이터가 제대로 입력되었는지를 확인할 수 있다.