잠토의 잠망경

이게 되려면 license가 필요하다. 난 실패 ㅜㅜ 목적 아래 그림과 같은 구조로 splunk를 구조화할 것이다. 총 5대의 pc가 필요하다. ※ forwarder는 설치대상은 아니다. 마스터 - 설정 1. 설정 → 분산환경: 인덱서 클러스터링 선택 2. 인덱서 클러스터링 → 인덱서 클러스터링 활성화 클릭 3. 마스터 노드를 선택한다. 4. 마스터 노드 설정 → 마스터 노트 활성화 아래와 같이 설정한다. 복제 팩터: 수집 데이터 복제수 검색 팩터: 검색 사본수 보안키: 클러스터링되는 서버에 공유할 키 값, 인덱서와 서치헤드에서 클러스터링 설정시 사용 클러스터 레이블: 사용자가 구분하기 쉽게 하기 위한 용도 5. 지금 다시 시작 클릭 6. 다시 접속해본다. 인덱서 - 설치 0. 라이선싱 설정 → 라이선싱..

설치 과정 0. vmware를 사용해서 진행했다. linux는 ubuntu를 사용했다. 1. splunk-7.3.4.2-cb574b3d103e-Linux-x86_64.tgz 파일을 /opt/ 폴더로 옮긴다. 2. 압축을 푼다. $ sudo tar xvzf splunk-7.3.4.2-cb574b3d103e-Linux-x86_64.tgz 3. 이동 및 splunk 실행 $ cd /opt/splunk/bin $ sudo ./splunk start 4. license 내용을 읽는다. 그리고 admin id 및 password를 설정한다. 5. http://localhost:8000으로 접속이된다. 6. vamware로 했기때문에 외부컴퓨터에서도 접속이 가능하다. 재실행 한경우에 다음 내용을 볼 수 있다.

Lab13 - Search 1에서 검색에서 열기 클릭 다른이름으로 저장 → 대시보드 패널 클릭 아래 내용 추가한다. 대시보드 새로 만들기 대시보드 제목 student004-Vendor Sales Analysis 대시보드 ID student004_bcg_vendor_form_sales_analaysis 패널 제목 All Vendor Sales 패널 제공 인라인 검색 패널 콘텐츠 통계 편집 클릭 돋보기(검색 편집) 클릭 sourcetype="vendor_sales" v_country_tok v_state_tok v_city_tok | timechart count 내용을 아래와 같이 수정한다. sourcetype="vendor_sales" $v_country_tok$ $v_state_tok$ $v_city_t..

보고서 → 검색에서 열기를 클릭한다. 다름이름으로 저장 → 대시보드 패널을 클릭 category 선택 대시보드 기존 대시보드 이름 student004-Version 2: Web Store Server Errors 패널 제목 Purchase 패널 제공 인라인 검색 패널 콘텐츠 통계 테이블 저장하고 대시보드 보기를 클릭 Purchase가 추가되었으며 편집을 누른다. source 클릭한다. Purchase search product_name!=NULL action=purchase | stats sum(price) as Purchases -7d@d now 1 20 none none false false false true search에다 base의 baseSearch를 추가하고 일부 삭제 처리한다. Purcha..

해당 자료는 MDS의 Splunk 기초 교육의 내용을 실습하면서 정리한 사항이다. 강의 교재를 바탕으로 진행되었다. 대시보드 → student4-web Store Server Errors를 선택한다. 편집을 클릭한다. All Status Errors by Location에서 톱니바퀴를 선택한다. 미리 작성된 패널로 변환을 클릭한다. id: student004_bcg_webstore_all_status_errors_by_location 검색에서 열기를 클릭한다. 다른 이름으로 저장 → 대시보드 패널 을 선택한다. 그리고 아래 내용을 입력한다. category 입력값 대시보드 새로만들기 대시보드 제목 student004-Version 2: Web Store Server Errors 대시보드 ID studen..

trendtype 이동 평균선에 관한 것들(주식) sourcetype="access_combined" action=purchase status=200 | timechart span=2h sum(price) as sales | trendline sma2(sales) as trend시각화 일반 > 다중계열모드: 아니오, 데이터 값 표시: 최소/최대 차트오버레이 > 오버레이: trend iplocation sourcetype="linux_secure" (fail* OR invalid) | iplocation src_ip※ 정확도가 낮다.(detail 능력이 떨어짐) 지도 그림 지도 그림 그리기 sourcetype="linux_secure" (fail* OR invalid) | iplocation src_ip ..

[Splunk] Study - 2월 21일(time 2) 단축키 자동 정렬: ctrl + \ report 생성 command 긍정문으로 해야 속도가 빠름 pipeline table sourcetype="access_combined" | table clientip, action, productid, stutsrename sourcetype="access_combined" | table clientip, action, productid, stuts | rename clientip as "client"fields -, + : 쓸데없는 column 제거용도 dedup 중복 제거용도 sourcetype="access_combined" | table clientip, action, productid, stuts |..

Lab 2 - Searching command 기본 내용 공백의 경우 기본 AND이다. OR, AND, NOT는 대문자로 typing해보자 기본 search error OR fail*error 이 포함된것과 fail*이 포함된것을 검색한다. 기본 search - AND fail* password공백에는 AND가 포함된것이다. 기본 search - sourcetype으로 범주 설정 sourcetype="linux_secure" fail* passwordsourcetype으로 범주를 설정할 수 있다. time s=seconds, m=minus, h=hours, d=days, w=week, mon = months, y=year시간은 keyword로 대표된다. snap이란? @로 표현되면 끊어준다고 표현된다. ..