잠토의 잠망경

[Splunk] Study - 2월 21일(time 1) 본문

공부/Splunk

[Splunk] Study - 2월 21일(time 1)

잠수함토끼 2020. 2. 21. 09:45

Lab 2 - Searching

command 기본 내용

공백의 경우 기본 AND이다.
OR, AND, NOT는 대문자로 typing해보자

기본 search

error OR fail*

error 이 포함된것과 fail*이 포함된것을 검색한다.

기본 search - AND

fail* password

공백에는 AND가 포함된것이다.

기본 search - sourcetype으로 범주 설정

sourcetype="linux_secure" fail* password

sourcetype으로 범주를 설정할 수 있다.

time

s=seconds, 
m=minus, 
h=hours, 
d=days, 
w=week, 
mon = months, 
y=year

시간은 keyword로 대표된다.

snap이란?

@로 표현되면 끊어준다고 표현된다.

job(작업)

job으로 실행된것들은 file로 만들어진다. default는 10분뒤에 삭제된다.
다른 사람과 내용 공유할때 유용하며 Linked To Job(작업에 연결)으로 공유한다.

해당부분은 잘 이용되지 않는다.

inspect job(작업 검사)를 통해서 job 동작을 review할 수 있고 해당 부분을 통하여 튜닝이 가능하다.

job 이력 확인

작업(Activity) > 작업(jobs)에서 job 이력을 확인가능

이벤트 샘플링

새로운 검색에서 search를 하고 검색하는데 시간이 오래걸린다.
나오는 data의 sampling을 통하여 직관적으로 바라보기 위해 사용한다.

주의 할점은 양산 적용시 해당 부분은 적용하지 말아야함!

관심 필드

해당 field에 값이 20% 이상 있는 경우에만 보여준다.
그래도 보고 싶다면 아래와 같이 한다.

모든 필드 → 선택

특수문자 문자 숫자

특수 문자: data type
문자: field 명
숫자: 해당 fields의 data 종류

fast(고속) & smart & verbose(상세모드) 차이

field discover 진행의 유무로 구분된다.
filed discover: 해당 field의 통계값

!= 와 NOT 에는 차이가 있다.

설명충 설명충

우선순위

OR가 가장 높아요
나머지는 오는 순서대로입니당.

a=1 OR a=2 b=3
(a=1 OR a=2) b=3
Comments