올코의 우당탕탕 공부하기

 보고서 목록에서 사용자가 대시보드에 추가하고 싶은 보고서의 이름을 클릭한다. 보고서의 검색 결과 페이지에서 우측 상단의 ‘대시보드에 추가’ 버튼을 클릭한다. 대시보드에 추가버튼을 클릭하면 대시보드에 보고서를 추가를 하는데 필요한 설정 화면이 나타나게 된다. 대시보드를 새로 만들어서 보고서를 추가하고 싶으면 새로 만들게 될 대시보드의 ID를 필수적으로 입력해 주고, 선택적으로 추가 설정을 해준 뒤 저장 버튼을 클릭하면 된다.

 보고서가 추가된 대시보드를 확인하고 싶으면 검색 앱에서 대시보드 항목을 클릭한다. 대시보드 페이지가 나타나면서 검색 앱의 대시보드 목록이 나타난다. 보고 싶은 대시보드가 있으면 대시보드 제목(ID)를 클릭하면 대시보드 화면이 나타난다.

2. 보고서를 기존의 대시보드에 추가

 이전에 생성한 보고서를 대시보드에 추가하기 위해서는 대시보드 화면에서 ‘편집’버튼을 클릭하여 대시보드 편집 페이지로 이동해야 한다.

 대시보드 편집 페이지에서 ① ‘+패널 추가’ 버튼을 클릭하면 우측에 ② 패널 추가 창이 나타난다. 만들어져 있는 보고서를 대시보드에 추가하기 위해 ‘보고서에서 새로 만들기’ 항목에서 대시보드에 추가하고 싶은 보고서를 선택한다. 선택된 보고서의 정보에 대하여 미리보기 창이 패널 추가 창의 우측에 나타나면 ③ ‘대시보드에 추가’ 버튼을 클릭하여 대시보드에 추가한다. 추가된 패널에서 ④ 부분과 같이 회색선을 드래그하여 기존 대시보드에 추가된 패널의 위치를 지정해 준다. 대시보드의 편집이 완료되면 우측 상단의 ⑤ ‘저장’버튼을 클릭하여 대시보드의 수정사항을 저장해 준다.

 이번 포스팅에서는 보고서 활용법에 대하여 설명할 것이다. 보고서는 작업과는 다르게 검색 쿼리문과 검색 결과 모든 정보를 가지고 있다. 이러한 보고서를 생성하는 방법 두 가지인 검색문에서 바로 생성하는 방법과 필드 사이드바를 통해 생성하는 방법과 저장된 보고서를 수정하는 방법들을 다루어 볼 것이다.

 쿼리를 통해 검색 결과가 나오면 우측 상단의 ’다른 이름으로 저장’에서 ‘보고서’ 버튼을 클릭하면 보고서 저장을 위한 설정 화면이 나온다. ① 검색 결과를 저장할 제목과 해당 검색 결과에 대한 설명을 작성해 준다. 보고서는 작업과 다르게 검색 결과 값들이 모두 저장되므로 이후에 해당 쿼리에 대한 결과의 날짜를 변경해가며 확인하고 싶으면 ’시간 범위 선택기’ 항목을 ‘예’로 선택해야 한다.

 ② 저장한 보고서들을 확인하고 싶으면 검색 앱에서 보고서를 클릭하면 보고서 페이지로 이동하게 된다. 보고서 페이지에서 저장된 보고서 목록을 확인/검색할 수 있다. 보고서의 이름을 클릭하면 해당 보고서의 검색 결과를 확인하거나 보고서의 검색 결과에 검색 조건을 추가해서 확인하고 싶으면 보고서명 옆의 검색에서 열기 버튼을 클릭하면 된다.

2. 저장된 보고서 수정

  저장된 보고서 중 수정을 원하는 보고서 페이지에서 우측 상단의 '편집' 버튼을 클릭한 후 '검색에서 열기' 항목을 선택한다. 해당 보고서의 쿼리문으로 검색된 결과와 함께 검색 창이 새로 나타나게 되면 사용자가 원하는 대로 검색 조건을 변경하여 준다. 수정한 보고서의 내용을 기존의 보고서에 저장하고 싶으면 우측 상단의 '저장' 버튼을 클릭하고 보고서 저장과 관련된 설정 화면이 나오게 되면 사용자가 원하는 대로 수정한 후 저장 버튼을 클릭하면 된다. 수정된 보고서의 내용을 새로운 보고서로 작성하고 싶으면 위의 검색문에서 보고서 생성과 같이 '다른 이름으로 저장'을 통해 새로운 보고서를 생성하면 된다.

3. 필드 사이드바에서 보고서 생성 후 통계 탭과 시각화 탭 보기

 검색 결과 화면에서 사이드바의 필드를 선택하면 해당 필드로 생성할 수 있는 보고서 항목들과 빈도에 따른 값들에 대한 정보가 나온다. 보고서를 생성할 수 있는 값들 중 원하는 값을 선택하면 새로운 검색창에 시각화 결과와 통계 결과들이 나타난다.

 해당 결과들을 보고서로 저장하고 싶으면 위와 같이 ‘다른 이름으로 저장’ > ‘보고서’ 클릭을 통해 보고서를 저장하면 된다.

 이번 포스팅에서는 검색 결과를 통해 얻어낸 필드의 할용 방법과 검색 시간을 단축시킬 수 있도록 이전 검색문들을 수정하여 재사용 할 수 있는 방법에 대하여 다룰 예정이다.

 검색을 스마트 모드/상세모드(①에서 설정)로 실행하여 검색화면이 나오면 좌측 사이드바(②)에 검색 결과 이벤트들의 필드 정보들이 나타나게 된다. 사이드바의 필드 중 값에 대한 정보가 필요하거나 검색 조건에 추가를 원하는 필드를 선택하면 해당 필드의 값의 빈도에 대한 정보가 나온다. 그 중 검색에 추가를 원하는 값을 클릭하면 ‘필드명=값’ 형태의 쿼리가 추가된다.

* 고속모드 – 검색 성능을 우선하여 필드 탐색(기본 필드가 아닌 다른 필드를 추출하는 것)을 하지 않아 시간이 더 빠름

* 상세모드 – 검색 가능한 모든 필드를 탐색하는 대신 시간이 더 오래걸림

* 스마트모드 – 상황에 따라 검색모드(변환 명령어를 포함하지 않은 경우)와 상세모드(변환 명령어를 포함하는 경우)를 선택하여 검색하는 모드

2. 이전 검색문을 재사용/수정을 위한 검색 내역 활용

① Splunk의 검색 페이지에서 하단의 ‘> 검색 내역 펼치기’ 항목을 통해 이전에 실행한 검색문을 확인할 수 있다. 검색을 원하는 검색문을 검색에 추가 버튼을 클릭하면 검색창에 검색문이 추가 된다.

② ‘작업’ 기능과는 다르게 검색문만 저장되므로 검색창에 검색문이 추가되면 시간범위는 사용자가 원하는 시간범위로 지정하여 검색을 실행해야 한다.

 본 포스팅에서는 Splunk 서비스에서 입력된 데이터에서 새로운 데이터를 추출하기 위한 검색 기능의 기본적인 부분에 대하여 설명을 하려 한다. 검색 결과를 확인하기 용이하도록 검색 결과를 좁히거나 조건을 추가하여 새로운 결과를 나타내고 타임라인을 통해 결과 값을 시간 기준으로 변경하여 확인하는 방법과 결과들을 저장하는 방법을 다룰 예정이다

^[각주:1]

 Splunk의 검색은 기본적으로 검색창에 검색문을 입력을 하고, 기간을 설정하여 검색버튼을 클릭하면 된다. 이때 원하는 데이터를 정확히 추출하기 위해 기본적으로 index를 지정해주는게 좋다. 쿼리문에 원하는 조건을 입력을 하면 검색의 결과에서 해당 조건은 결과값에서 ①과 같이 노란색으로 강조되어 나타나게 된다. 

^[각주:2]

 쿼리를 통해 나온 검색 결과를 더욱 좁히기 위한 기본적인 두가지 방법으로 검색어 추가와 시간 좁히기가 있다.

 샘플 데이터를 통해 확인을 해보기 위해서 처음에는 ‘index=“oidemo” GET’ 라는 검색어를 통해 데이터를 검색한다. “oidemo” 인덱스 내에 GET 이라는 정보를 가지고 있는 이벤트를 검색하기 위한 쿼리이다. 이 때 검색된 결과를 확인해보면 243,294개의 이벤트가 발생된다. 검색어를 추가하여 결과를 좁히는 방법의 예로 ①과 같이 이벤트의 데이터에 포함된 기기명들 중 iPhone을 검색어에 추가를 해주면 검색 결과 이벤트의 수가 52,129개로 줄어든 것을 확인 할 수 있다. 여기에 추가적으로 검색 결과를 줄이기 위해 ②와 같이 기간을 줄여주면 이벤트의 수가 2,232개로 줄어드는 것을 확인 할 수 있다. 

^[각주:3]

검색을 세분화하여 결과를 확인한 뒤 세분화 전의 검색으로 돌아가려면 해당 항목을 클릭하여 ‘검색에서 제거’ 버튼을 클릭하거나 검색문에서 해당 항목을 삭제하여 검색하면 된다.

2. 타임라인을 통해 이벤트 발생 추이를 확인

^[각주:4]

 타임라인을 통하여 시간대별 이벤트 발생량을 한눈에 확인할 수 있고 날짜 시간 범위를 수정하지 않고도 시간대를 변경하여 결과를 확인할 수 있다.

 원하는 시간대의 검색 결과를 확인하려면 타임라인에서 해당 칼럼을 클릭하여 쉽게 확인할 수 있다. 해당 시간대를 더욱 세분화하여 타임라인으로 보고 싶다면 ’선택 항목 확대/축소’ 기능을 통해 확인할 수 있다. 위의 사진과 같이 ’선택 항목 확대/축소’ 기능을 사용하면 타임라인의 x축인 시간 단위가 바뀌어 타임라인이 변경되는 것을 확인할 수 있다.

3. 검색 결과 저장 및 공유

^[각주:5]

 해당 검색에 대하여 공유 혹은 저장을 하여 이후에도 검색을 사용하려 할 때 ’작업’메뉴에서 ‘작업 설정 편집’을 클릭하여 해당 작업에 대하여 저장 및 공유를 할 수 있다. 작업 설정을 할 때 해당 작업의 읽기 권한(해당 작업에 접근할 수 있는 권한 설정)과 수명(해당 작업이 시작된 후 엑세스가 가능한 시간, 지정된 기간 내에 작업에 엑세스 하지 않으면 작업이 제거 됨)을 설정해주고 저장하면 된다. 작업에 연결 항목의 URL을 통해 접근도 가능하다.

^[각주:6]

 저장된 작업은 Splunk 메뉴 바의 ‘작업’ > ‘작업’ 항목에서 작업들의 목록을 확인할 수 있다. 작업 목록중에서 검색 실행을 원하는 검색문을 클릭하여 해당 검색문에 대한 검색 결과를 얻을 수 있다.

 작업은 보고서와 다르게 검색에 사용된 쿼리가 저장되어 작업명을 클릭하면 '검색 및 보고' 앱에서 검색문이 실행된 결과를 확인할 수 있다.

4. 신규검색 수행

기존의 검색이 아닌 새로운 검색을 시작하려 하면 [사진 1]의 검색버튼(②)을 클릭하여 새로운 검색화면에서 검색을 시작하면 된다.  

Splunk 서비스에 데이터가 업로드 한 후 데이터들을 쿼리를 통하여 검색 및 가공하여 보고서 생성, 대시보드 추가를 할 수 있다. 이를 위해 데이터 검색에 관한 포스팅을 시작할 것이다. 먼저 이번 포스팅에서는 데이터 검색을 위한 사용자 설정 및 화면에 대한 설명을 먼저 하려고 한다.

 먼저 Splunk 서버의 사용자 정보에 대하여 설정하기 위해 상단의 사용자 명을 클릭하여 계정 설정 페이지로 넘어간다.

 계정 설정 페이지에서 전역 항목 내에서 데이터를 검색할 때 timestamp의 기준이 될 시간대를 설정해 주어야 한다. 기본 어플리케이션은 사용자가 기본으로 설정하기를 원하는 앱으로 선택해 준 후 하단의 저장 버튼을 클릭해준다.

 데이터 검색을 하기 위해서는 각 앱에서 데이터를 검색하는 방법도 있지만 'Search & Reporting' 앱에서 전체 앱에 대하여 검색을 할 수 있다. Splunk 홈페이지에서 좌측 상단의 Splunk 로고 옆의 앱 선택에서 'Search & Reporting' 앱을 선택한다.

 Search & Reporting(검색 및 보고) 페이지이다. 기본 검색화면에서 현재 사용자가 검색할 수 있는 데이터에 관한 정보를 알고 싶으면 가운데의 '데이터 요약' 버튼을 클릭하여 host, source, sourcetype에 대한 정보를 확인할 수 있다.

Splunk에 App을 추가하는 방법중에 새로운 App을 만드는 방법도 있지만 이미 존재하는 App의 압축파일을 Splunk에 업로드 하는 방법도 있다. 이번 포스팅에서는 압축된 App을 Splunk 서비스에 업로드하는 방법을 다룰 것이다.

(포스팅에서는 Splunk 사이트에서 제공하는 Github Addon 앱을 다운받아 업로드를 진행할 것이다. https://splunkbase.splunk.com/app/3739/)

앱을 업로드하기 위해 Splunk 서비스 페이지 좌측 상단의 앱 관리 버튼을 클릭한다.

앱 관리 페이지이다. 앱의 파일을 가지고 있으므로 좌측 상단의 '파일에서 앱 설치' 버튼을 클릭한다.

앱 업로드 페이지이다. 가운데의 '파일 선택' 버튼을 클릭하여 업로드할 파일을 찾아서 선택한다. 업로드할 파일은 spl 혹은 tar.gz 형식의 압축파일이어야 한다.

설치가 완료되면 업로드 된 앱이 적용되도록 재시작을 해야 한다.

재시작이 완료되면 앱목록 화면이 나오면서 상단에 앱이 성공적으로 설치되었다는 메세지가 나타나면서 앱 목록에 설치한 앱의 이름이 추가되어 있다. 그리고 Splunk 서비스 페이지로 이동하면 좌측의 앱 목록에서 설치가 완료된 앱이 추가 된다.

앱을 업로드 하는 과정에서 파일의 형식에 맞지 않는 경우 위의 화면과 같이 에러가 발생한다. 이러한 경우에 CLI를 통해 앱을 설치하는 방법을 통해 앱을 설치해야 한다. (시범을 위해 Splunk 사이트에서 제공하는 Github Addon 앱을 다운받아 압축을 풀고 진행을 한다. - Github Addon 압축파일을 압축 해제하면 TA_Github라는 이름의 폴더가 생성 됨)

업로드 하고자 하는 앱이 압축파일일 경우 압축을 해제 해준다.(tgz 파일일 경우

 Splunk의 기본 홈 화면 이다. 홈 화면은 기본적으로 ⓵ 앱 관리, ⓶ 계정 정보, ⓷ Splunk의 알림 메세지, ⓸ Splunk 설정, ⓹ 작업 버튼으로 이루어져 있다. 위 기능들에 대하여 순차적으로 소개를 하고자 한다.

⓵ 앱 관리

App 관리 기본 페이지이다. ①②③ 앱 관리에 관한 기능 버튼이 있고 ④ 부분에는 현재 사용자의 Splunk에서 사용할 수 있는 app들의 목록을 볼 수 있다. 상태 항목에서 앱의 활성화/비활성화를 선택할 수 있고 작업 항목에서 앱을 시작하거나 속성을 편집할 수 있다.

① 앱 더 찾아보기 버튼을 클릭하면 Splunk에서 제공하는 앱들의 목록을 볼 수 있다. 사용자가 필요로 하는 추가적인 App들을 찾은 후 설치 버튼을 통해 Splunk 서버에 추가를 할 수 있다.

② 파일에서 앱 설치 버튼을 클릭하면 사용자가 .spl/.tar.gz/.zip 등의 형태로 가지고 있는 앱을 Splunk에 업로드하여 설치하는 페이지가 나타난다. 파일 선택 버튼을 통해서 설치하고자 하는 파일을 선택하여 업로드 하면 된다.

③ 앱 만들기 버튼을 통해 사용자가 원하는 새로운 앱을 만들 수 있다. (http://kyeoneee.tistory.com/25)

⓶ 계정 설정

계정 설정에 대한 페이지이다.

① 개인 항목에서 사용자의 이름, 이메일 주소와 같은 정보를 수정할 수 있다.

② 암호 설정 항목에서 Splunk 페이지에 접속할 때의 암호를 바꿀 수 있다.

③ 전역 항목에서는 Splunk 서비스를 운영할 때 기준이 되는 시간을 바꿀 수 있다. 데이터의 timestamp를 계산하는 기준 시간이 된다. 기본 애플리케이션은 사용자가 Splunk 서비스를 운영할 때 기본적으로 접근하게 되는 애플리케이션을 선택하는 부분이다.

위의 사항들을 모두 입력한 뒤 우측 하단의 저장 버튼을 클릭하여 변경사항을 저장한다.

⓷ 메세지

 메세지 항목은 Splunk로 부터 알림/경고 메세지(splunk 새로운 버전 알림, license 위반, restart 알림 등)를 볼 수 있는 항목이다. 메세지가 없는 경우는 사진과 같이 메시지가 없다고 나타난다.

⓸ 설정

 설정 항목은 크게 지식, 데이터, 시스템, 사용자 및 인증 설정으로 나뉘어진다. 그 중에 중요한 부분인 ①~⑥ 부분에 대하여 설명을 할 것이다.

① 데이터 추가 버튼을 클릭하면 나오는 화면이다. 설정에서 데이터를 업로드 하는 방법은 두가지가 있는데 데이터 추가(①)와 데이터 입력(②)으로 나뉜다. 데이터 추가는 서버 컴퓨터가 아닌 Splunk 서비스에 접근하고 있는 사용자의 컴퓨터에 저장된 데이터를 업로드하는 기능이다. 

② 데이터 입력은 Splunk 서버 컴퓨터 내의 데이터를 업로드하는 기능이다.

(데이터 입력의 로컬 입력 중 파일 및 디렉터리 데이터를 입력하는 방법 -  http://kyeoneee.tistory.com/27)

③ 서버 설정 화면이다. 이중에서 일반 설정에서는 Splunk 서버의 이름, 관리포트와 Splunk 서비스 페이지의 웹 포트, 웹 서버 포트와 인덱스와 관련된 정보를 수정할 수 있다. 

④ 서버 컨트롤 화면이다. Splunk 서비스 페이지에서 Splunk 서버를 재시작 할 수 있는 화면이다. Splunk 재시작 버튼을 누른 후 알림창에서 재시작 확인 버튼을 클릭하고 기다리면 Splunk 서비스가 재시작 성공되었다는 메세지가 나타난다. 재시작 실패로 나오는 경우는 Splunk 설정이 잘못 되는 경우 나올 수 있다.

⑤ 라이선싱에 관한 화면이다. 

⒈ 라이선스의 마스터를 선택하는 화면이다. 다른 Splunk 인스턴스의 라이선스를 선택 할 경우 두번째 선택 인자인 '다른 Splunk 인스턴스를 마스터 라이선스 서버로 지정'을 선택하면 된다. 그러면 local 라이선스 서버는 비활성화 되고 지정된 라이선스 서버에 연결되어 해당 라이선스를 사용하게 된다.

⒉ 라이선스 그룹 변경 화면이다. 사용자가 Splunk 서버에서 사용하는 라이선스를 변경하기 위한 페이지이다.

⒊ 새 라이선스를 추가하는 페이지이다. Splunk 라이선스를 구매시 제공받은 .license 파일을 다운로드 받아서 파일을 업로드하거나 .license 파일내의 XML 형식의 데이터를 직접 복사하여 라이선스를 추가하는 방법이 있다.

⒋ 라이선스 사용량을 확인하는 페이지이다. 사용자가 일일 혹은 이전 30일동안 사용한 라이선스의 양을 확인할 수 있다. Enterprise 평가판/Free 라이선스 버전의 경우 500MB로 제한된 용량 중 사용자의 사용량을 확인할 수 있는 항복이 있다.

데이터 입력

인덱싱을 위한 원시 데이터를 입력해주는 과정이다. 데이터 추가와는 다르게 데이터 입력은 Splunk 서버내의 local 데이터를 추가 하거나 데이터를 전달받아 추가하는 방법이다.

1) Splunk 페이지에서 우측 상단의 설정 버튼을 누른다. 나타난 창에서 데이터 항목내의 데이터 입력을 선택한다.

2) 데이터 입력 페이지가 나타나면 원하는 데이터 입력 유형을 선택한다. Splunk 서비스가 실행되고 있는 컴퓨터에 저장된 csv형식의 데이터를 인덱싱하기 위해서 파일 및 디렉터리 항목을 선택했다. 

3) 새로운 파일을 입력하기 위해 좌측 상단의 새로만들기 버튼을 클릭한다.

4) 데이터 추가 화면이 나오게 되면 사용자가 추가하고 싶은 데이터를 파일 또는 디렉터리 항복의 찾아보기를 통해 파일이 저장되어 있는 경로를 통해 선택하면 된다. 파일 혹은 디렉터리 선택이 끝나면 상단의 다음 버튼을 클릭한다.

5) Source Type을 설정하는 페이지가 나오게 된다. 이 때 기본 설정 외에 이벤트 구분을 위한 설정이 필요하면 수정이 필요한 항목을 선택해 수정을 해 주면 된다. 그 후 Source Type 선택 버튼 옆의 다른 이름으로 저장을 통해 Source Type을 저장해 주면 된다. 이 때 두번째 이미지에서 처럼 앱을 데이터를 인덱싱 할 앱으로 선택해 주어야 한다. Source Type 설정이 끝나면 상단의 다음 버튼을 클릭한다.

6) 마지막으로 입력설정 페이지가 나오면 앱 컨텍스트와 인덱스 항목들이 제대로 앱과 인덱스를 선택했는지 확인하고 상단의 검토버튼을 클릭한다.

7) 컴토 페이지가 나오면 항목들을 제대로 선택했는지를 확인한 후 상단의 제출버튼을 클릭하면 데이터 입력이 완료된 것이다. Splunk 기본 화면(첫번째 사진)에서 좌측에 데이터를 입력한 앱을 선택하여 두번째 사진의 화면이 나오면 검색에 index="인덱스명" 명령어를 통해 이벤트의 갯수를 확인하여 데이터가 제대로 입력되었는지를 확인할 수 있다.

Splunk의 Index란?

Index는 Splunk 데이터를 위한 저장소이다. Splunk는 수신된 데이터를 이벤트로 변환하여 인덱스에 저장한다.

Splunk는 인덱싱 과정에서 데이터 스트림을 검색 가능한 개별 이벤트로 분리, 타임스탬프 만들기 또는 식별, host, source, sourcetype 등의 필드 추출, 수신 데이터에 대한 사용자 정의 작업 수행(예: 사용자 지정 필드 식별, 중요한 데이터 마스킹, 새로운 키 또는 수정된 키 쓰기, 원하지 않는 이벤트 필터링 등) 등의 방식으로 데이터를 개선한다. 그 후 압축형 원시 데이터(원시 데이터), 인덱스 파일(tsidx 파일이라고도 함)을 가리키는 인덱스와 일부 메타데이터 파일이 있는 한 묶음의 파일을 생성한다. (참고 및 자세한 사항 - http://docs.splunk.com/images/b/b4/Splunk-6.2.0-ko_KO-Indexer.pdf)

1. Index 생성

1) Splunk 페이지에서 우측 상단의 설정 버튼을 누른다. 나타난 창에서 데이터 항목내의 인덱스를 선택한다.

2) 인덱스들의 목록에 대한 창이 나온다. 새로운 인덱스를 생성하기 위해 우측 상단의 새로 만들기 인덱스 버튼을 클릭한다.

3) 새 인덱스를 만들기 위한 정보를 만드는 창이 나타나면 인덱스의 이름을 지정해주고, 인덱싱 후 데이터가 저장될 경로를 따로 지정해 주고 싶으면 홈 경로 항목에 데이터를 저장할 경로를 입력한다. 하단의 앱 항목에서 인덱스 정보를 저장할 앱을 선택해 주고 저장버튼을 클릭한다.

4) 인덱스가 잘 생성되면 인덱스 목록에 새로 생성한 인덱스가 추가가 된다.

앱 등록

1. 앞의 글에서와 같이 Splunk를 설치 후 사이트에 로그인을 하면 아래와 같은 화면이 나온다. 

앱을 등록하기 위해 화면 상단의 톱니바퀴 모양의 앱 관리 버튼을 클릭한다.

2. 앱 관리 버튼을 누르면 아래와 같은 화면이 나온다. 앱의 모든 목록들이 보여진다. 새로운 앱을 만들기 위해서 좌측 상단의 앱 만들기 버튼을 클릭한다.

3. 만들고자 하는 앱의 정보를 입력하는 창이 나오게 된다. 이 때 폴더 이름은 꼭 써주어야 한다. 한글은 안되니 영어로 폴더 이름을 지정해 준다. 나머지 정보들은 선택에 따라서 입력해 주면 된다.

정보 입력이 모두 끝나면 우측 하단의 저장 버튼을 눌러준다.

4. 저장 버튼을 누른 후 아래의 첫번째 화면과 같이 등록한 앱의 이름(appName)이 나오면 앱을 정상적으로 만든 것이다. 앱을 정상적으로 만든 후 Splunk의 기본 화면으로 돌아가면 아래의 두번째 화면과 같이 좌측에 앱이 추가 된다.

터미널에서 앱의 정보 등을 확인을 하고 싶으면

명령어를 통해 폴더에 접근하여 아래와 같이 앱들의 폴더에 접근하여 앱의 정보를 확인할 수 있다.