[Splunk] master, indexer, search 설치

이게 되려면 license가 필요하다.

난 실패 ㅜㅜ

목적

아래 그림과 같은 구조로 splunk를 구조화할 것이다.

총 5대의 pc가 필요하다. 

※ forwarder는 설치대상은 아니다.

 

---

마스터 - 설정

1. 설정 → 분산환경: 인덱서 클러스터링 선택

2. 인덱서 클러스터링 → 인덱서 클러스터링 활성화 클릭

 

3. 마스터 노드를 선택한다.

4. 마스터 노드 설정 → 마스터 노트 활성화

  아래와 같이 설정한다.

복제 팩터: 수집 데이터 복제수

검색 팩터: 검색 사본수

보안키: 클러스터링되는 서버에 공유할 키 값, 인덱서와 서치헤드에서 클러스터링 설정시 사용

클러스터 레이블: 사용자가 구분하기 쉽게 하기 위한 용도

5. 지금 다시 시작 클릭

6. 다시 접속해본다.

---

인덱서 - 설치

0. 라이선싱

설정 → 라이선싱

 

 

1. splunk를 설치한 pc로 이동합니다. 

 

   여기다가는 idx1을 설정할 예정입니다.

2. 설정 → 분산환경: 인덱서 클러스터링 선택

3. 인덱서 클러스터링 → 인덱서 클러스터링 활성화 클릭

 

4. 클러스터링 활성화 → 피어 노드 선택 

5. 피어 노드 설정

 

마스터 URI : http://마스터ip:8089

피어복제포트: 8080 (indexer간 복제를 위한 용도)

보안키 : 마스터에서 설정한 것

6. 재실행

 

---

서비헤드 - 설치

1. splunk를 설치한 pc로 이동합니다. 

   여기다가는 idx1을 설정할 예정입니다.

2. 설정 → 분산환경: 인덱서 클러스터링 선택

3. 인덱서 클러스터링 → 인덱서 클러스터링 활성화 클릭

 

4. 클러스터링 활성화 → 검색 헤드 노드를 클릭

5. 검색 헤드 노드 설정 → 검색 헤드 노드 활성화

 

6. 재부팅

---

인덱서 - 데이터 수신 설정(idex 모두 적용)

1. 접속한다.

 

2. 설정 → 전달 및 수신

3. 전달 및 수신 → 데이터 수신 → 새로 추가 클릭

 

4. 수신 설정 → 이 포트에 수신 대기(9997, 입력) → 저장

 

---

마스터, search 등 - 데이터 사용 설정

 

1. 설정 → 전달 및 수신

3. 전달 및 수신 → 데이터 전달 → 전달 설정 → 새로 추가 클릭

 

4. index 정보 추가(192.168.131.131:9997)

5. 다른 index를 추가하기 위하여 새 전달 호스트를 클릭한다.

6. 다음과 같은 화면을 만날 수 있다.