Work Hard, Study Hard!

1.보고서를 새로운 대시보드에 추가 보고서 목록에서 사용자가 대시보드에 추가하고 싶은 보고서의 이름을 클릭한다. 보고서의 검색 결과 페이지에서 우측 상단의 ‘대시보드에 추가’ 버튼을 클릭한다. 대시보드에 추가버튼을 클릭하면 대시보드에 보고서를 추가를 하는데 필요한 설정 화면이 나타나게 된다. 대시보드를 새로 만들어서 보고서를 추가하고 싶으면 새로 만들게 될 대시보드의 ID를 필수적으로 입력해 주고, 선택적으로 추가 설정을 해준 뒤 저장 버튼을 클릭하면 된다. 보고서가 추가된 대시보드를 확인하고 싶으면 검색 앱에서 대시보드 항목을 클릭한다. 대시보드 페이지가 나타나면서 검색 앱의 대시보드 목록이 나타난다. 보고 싶은 대시보드가 있으면 대시보드 제목(ID)를 클릭하면 대시보드 화면이 나타난다. 2. 보고서를..

이번 포스팅에서는 보고서 활용법에 대하여 설명할 것이다. 보고서는 작업과는 다르게 검색 쿼리문과 검색 결과 모든 정보를 가지고 있다. 이러한 보고서를 생성하는 방법 두 가지인 검색문에서 바로 생성하는 방법과 필드 사이드바를 통해 생성하는 방법과 저장된 보고서를 수정하는 방법들을 다루어 볼 것이다. 1.검색문에서 보고서 생성 쿼리를 통해 검색 결과가 나오면 우측 상단의 ’다른 이름으로 저장’에서 ‘보고서’ 버튼을 클릭하면 보고서 저장을 위한 설정 화면이 나온다. ① 검색 결과를 저장할 제목과 해당 검색 결과에 대한 설명을 작성해 준다. 보고서는 작업과 다르게 검색 결과 값들이 모두 저장되므로 이후에 해당 쿼리에 대한 결과의 날짜를 변경해가며 확인하고 싶으면 ’시간 범위 선택기’ 항목을 ‘예’로 선택해야 한..

이번 포스팅에서는 검색 결과를 통해 얻어낸 필드의 할용 방법과 검색 시간을 단축시킬 수 있도록 이전 검색문들을 수정하여 재사용 할 수 있는 방법에 대하여 다룰 예정이다. 1. 사이드바를 통해 검색결과 필드별 확인 및 검색항목 추가 검색을 스마트 모드/상세모드(①에서 설정)로 실행하여 검색화면이 나오면 좌측 사이드바(②)에 검색 결과 이벤트들의 필드 정보들이 나타나게 된다. 사이드바의 필드 중 값에 대한 정보가 필요하거나 검색 조건에 추가를 원하는 필드를 선택하면 해당 필드의 값의 빈도에 대한 정보가 나온다. 그 중 검색에 추가를 원하는 값을 클릭하면 ‘필드명=값’ 형태의 쿼리가 추가된다.* 고속모드 – 검색 성능을 우선하여 필드 탐색(기본 필드가 아닌 다른 필드를 추출하는 것)을 하지 않아 시간이 더 빠..

본 포스팅에서는 Splunk 서비스에서 입력된 데이터에서 새로운 데이터를 추출하기 위한 검색 기능의 기본적인 부분에 대하여 설명을 하려 한다. 검색 결과를 확인하기 용이하도록 검색 결과를 좁히거나 조건을 추가하여 새로운 결과를 나타내고 타임라인을 통해 결과 값을 시간 기준으로 변경하여 확인하는 방법과 결과들을 저장하는 방법을 다룰 예정이다 1. 기본적인 검색 수행 및 검색 결과 좁히기 Splunk의 검색은 기본적으로 검색창에 검색문을 입력을 하고, 기간을 설정하여 검색버튼을 클릭하면 된다. 이때 원하는 데이터를 정확히 추출하기 위해 기본적으로 index를 지정해주는게 좋다. 쿼리문에 원하는 조건을 입력을 하면 검색의 결과에서 해당 조건은 결과값에서 ①과 같이 노란색으로 강조되어 나타나게 된다. 쿼리를 통..

Splunk 서비스에 데이터가 업로드 한 후 데이터들을 쿼리를 통하여 검색 및 가공하여 보고서 생성, 대시보드 추가를 할 수 있다. 이를 위해 데이터 검색에 관한 포스팅을 시작할 것이다. 먼저 이번 포스팅에서는 데이터 검색을 위한 사용자 설정 및 화면에 대한 설명을 먼저 하려고 한다. 먼저 Splunk 서버의 사용자 정보에 대하여 설정하기 위해 상단의 사용자 명을 클릭하여 계정 설정 페이지로 넘어간다. 계정 설정 페이지에서 전역 항목 내에서 데이터를 검색할 때 timestamp의 기준이 될 시간대를 설정해 주어야 한다. 기본 어플리케이션은 사용자가 기본으로 설정하기를 원하는 앱으로 선택해 준 후 하단의 저장 버튼을 클릭해준다. 데이터 검색을 하기 위해서는 각 앱에서 데이터를 검색하는 방법도 있지만 'Se..

Splunk에 App을 추가하는 방법중에 새로운 App을 만드는 방법도 있지만 이미 존재하는 App의 압축파일을 Splunk에 업로드 하는 방법도 있다. 이번 포스팅에서는 압축된 App을 Splunk 서비스에 업로드하는 방법을 다룰 것이다.(포스팅에서는 Splunk 사이트에서 제공하는 Github Addon 앱을 다운받아 업로드를 진행할 것이다. https://splunkbase.splunk.com/app/3739/) 앱을 업로드하기 위해 Splunk 서비스 페이지 좌측 상단의 앱 관리 버튼을 클릭한다. 앱 관리 페이지이다. 앱의 파일을 가지고 있으므로 좌측 상단의 '파일에서 앱 설치' 버튼을 클릭한다. 앱 업로드 페이지이다. 가운데의 '파일 선택' 버튼을 클릭하여 업로드할 파일을 찾아서 선택한다. 업로..

Splunk의 기본 홈 화면 이다. 홈 화면은 기본적으로 ⓵ 앱 관리, ⓶ 계정 정보, ⓷ Splunk의 알림 메세지, ⓸ Splunk 설정, ⓹ 작업 버튼으로 이루어져 있다. 위 기능들에 대하여 순차적으로 소개를 하고자 한다. ⓵ 앱 관리 App 관리 기본 페이지이다. ①②③ 앱 관리에 관한 기능 버튼이 있고 ④ 부분에는 현재 사용자의 Splunk에서 사용할 수 있는 app들의 목록을 볼 수 있다. 상태 항목에서 앱의 활성화/비활성화를 선택할 수 있고 작업 항목에서 앱을 시작하거나 속성을 편집할 수 있다. ① 앱 더 찾아보기 버튼을 클릭하면 Splunk에서 제공하는 앱들의 목록을 볼 수 있다. 사용자가 필요로 하는 추가적인 App들을 찾은 후 설치 버튼을 통해 Splunk 서버에 추가를 할 수 있다.②..

데이터 입력인덱싱을 위한 원시 데이터를 입력해주는 과정이다. 데이터 추가와는 다르게 데이터 입력은 Splunk 서버내의 local 데이터를 추가 하거나 데이터를 전달받아 추가하는 방법이다. 1) Splunk 페이지에서 우측 상단의 설정 버튼을 누른다. 나타난 창에서 데이터 항목내의 데이터 입력을 선택한다.2) 데이터 입력 페이지가 나타나면 원하는 데이터 입력 유형을 선택한다. Splunk 서비스가 실행되고 있는 컴퓨터에 저장된 csv형식의 데이터를 인덱싱하기 위해서 파일 및 디렉터리 항목을 선택했다. 3) 새로운 파일을 입력하기 위해 좌측 상단의 새로만들기 버튼을 클릭한다.4) 데이터 추가 화면이 나오게 되면 사용자가 추가하고 싶은 데이터를 파일 또는 디렉터리 항복의 찾아보기를 통해 파일이 저장되어 있는..

Splunk의 Index란?Index는 Splunk 데이터를 위한 저장소이다. Splunk는 수신된 데이터를 이벤트로 변환하여 인덱스에 저장한다.Splunk는 인덱싱 과정에서 데이터 스트림을 검색 가능한 개별 이벤트로 분리, 타임스탬프 만들기 또는 식별, host, source, sourcetype 등의 필드 추출, 수신 데이터에 대한 사용자 정의 작업 수행(예: 사용자 지정 필드 식별, 중요한 데이터 마스킹, 새로운 키 또는 수정된 키 쓰기, 원하지 않는 이벤트 필터링 등) 등의 방식으로 데이터를 개선한다. 그 후 압축형 원시 데이터(원시 데이터), 인덱스 파일(tsidx 파일이라고도 함)을 가리키는 인덱스와 일부 메타데이터 파일이 있는 한 묶음의 파일을 생성한다. (참고 및 자세한 사항 - http:..

앱 등록 1. 앞의 글에서와 같이 Splunk를 설치 후 사이트에 로그인을 하면 아래와 같은 화면이 나온다. 앱을 등록하기 위해 화면 상단의 톱니바퀴 모양의 앱 관리 버튼을 클릭한다. 2. 앱 관리 버튼을 누르면 아래와 같은 화면이 나온다. 앱의 모든 목록들이 보여진다. 새로운 앱을 만들기 위해서 좌측 상단의 앱 만들기 버튼을 클릭한다. 3. 만들고자 하는 앱의 정보를 입력하는 창이 나오게 된다. 이 때 폴더 이름은 꼭 써주어야 한다. 한글은 안되니 영어로 폴더 이름을 지정해 준다. 나머지 정보들은 선택에 따라서 입력해 주면 된다.정보 입력이 모두 끝나면 우측 하단의 저장 버튼을 눌러준다. 4. 저장 버튼을 누른 후 아래의 첫번째 화면과 같이 등록한 앱의 이름(appName)이 나오면 앱을 정상적으로 만..