본 포스팅에서는 Splunk 서비스에서 입력된 데이터에서 새로운 데이터를 추출하기 위한 검색 기능의 기본적인 부분에 대하여 설명을 하려 한다. 검색 결과를 확인하기 용이하도록 검색 결과를 좁히거나 조건을 추가하여 새로운 결과를 나타내고 타임라인을 통해 결과 값을 시간 기준으로 변경하여 확인하는 방법과 결과들을 저장하는 방법을 다룰 예정이다
Splunk의 검색은 기본적으로 검색창에 검색문을 입력을 하고, 기간을 설정하여 검색버튼을 클릭하면 된다. 이때 원하는 데이터를 정확히 추출하기 위해 기본적으로 index를 지정해주는게 좋다. 쿼리문에 원하는 조건을 입력을 하면 검색의 결과에서 해당 조건은 결과값에서 ①과 같이 노란색으로 강조되어 나타나게 된다.
쿼리를 통해 나온 검색 결과를 더욱 좁히기 위한 기본적인 두가지 방법으로 검색어 추가와 시간 좁히기가 있다.
샘플 데이터를 통해 확인을 해보기 위해서 처음에는 ‘index=“oidemo” GET’ 라는 검색어를 통해 데이터를 검색한다. “oidemo” 인덱스 내에 GET 이라는 정보를 가지고 있는 이벤트를 검색하기 위한 쿼리이다. 이 때 검색된 결과를 확인해보면 243,294개의 이벤트가 발생된다. 검색어를 추가하여 결과를 좁히는 방법의 예로 ①과 같이 이벤트의 데이터에 포함된 기기명들 중 iPhone을 검색어에 추가를 해주면 검색 결과 이벤트의 수가 52,129개로 줄어든 것을 확인 할 수 있다. 여기에 추가적으로 검색 결과를 줄이기 위해 ②와 같이 기간을 줄여주면 이벤트의 수가 2,232개로 줄어드는 것을 확인 할 수 있다.
검색을 세분화하여 결과를 확인한 뒤 세분화 전의 검색으로 돌아가려면 해당 항목을 클릭하여 ‘검색에서 제거’ 버튼을 클릭하거나 검색문에서 해당 항목을 삭제하여 검색하면 된다.
2. 타임라인을 통해 이벤트 발생 추이를 확인
타임라인을 통하여 시간대별 이벤트 발생량을 한눈에 확인할 수 있고 날짜 시간 범위를 수정하지 않고도 시간대를 변경하여 결과를 확인할 수 있다.
원하는 시간대의 검색 결과를 확인하려면 타임라인에서 해당 칼럼을 클릭하여 쉽게 확인할 수 있다. 해당 시간대를 더욱 세분화하여 타임라인으로 보고 싶다면 ’선택 항목 확대/축소’ 기능을 통해 확인할 수 있다. 위의 사진과 같이 ’선택 항목 확대/축소’ 기능을 사용하면 타임라인의 x축인 시간 단위가 바뀌어 타임라인이 변경되는 것을 확인할 수 있다.
3. 검색 결과 저장 및 공유
해당 검색에 대하여 공유 혹은 저장을 하여 이후에도 검색을 사용하려 할 때 ’작업’메뉴에서 ‘작업 설정 편집’을 클릭하여 해당 작업에 대하여 저장 및 공유를 할 수 있다. 작업 설정을 할 때 해당 작업의 읽기 권한(해당 작업에 접근할 수 있는 권한 설정)과 수명(해당 작업이 시작된 후 엑세스가 가능한 시간, 지정된 기간 내에 작업에 엑세스 하지 않으면 작업이 제거 됨)을 설정해주고 저장하면 된다. 작업에 연결 항목의 URL을 통해 접근도 가능하다.
저장된 작업은 Splunk 메뉴 바의 ‘작업’ > ‘작업’ 항목에서 작업들의 목록을 확인할 수 있다. 작업 목록중에서 검색 실행을 원하는 검색문을 클릭하여 해당 검색문에 대한 검색 결과를 얻을 수 있다.
작업은 보고서와 다르게 검색에 사용된 쿼리가 저장되어 작업명을 클릭하면 '검색 및 보고' 앱에서 검색문이 실행된 결과를 확인할 수 있다.
4. 신규검색 수행
기존의 검색이 아닌 새로운 검색을 시작하려 하면 [사진 1]의 검색버튼(②)을 클릭하여 새로운 검색화면에서 검색을 시작하면 된다.
'Dev > Splunk' 카테고리의 다른 글
| [Splunk] 검색 - 보고서 생성 및 수정 (0) | 2017.11.16 |
|---|---|
| [Splunk] 검색 - 필드 활용 및 이전 검색문 활용 (0) | 2017.11.15 |
| [Splunk] 검색 - User interface 및 기본 검색 (0) | 2017.11.15 |
| [Splunk] 수동 App 설치 (0) | 2017.11.12 |
| [Splunk] Splunk 서비스 페이지 화면 소개 (0) | 2017.11.10 |