잠토의 잠망경

splunk spl 내에서 db에 임의의 값을 insert하는 방법에 대해서 논해보고자 한다. 1. table이 준비되어 있는지 확인한다. 2. splunk DB Connect로 이동한다. 3. outputs로 이동한다. 4. sample SPL을 넣어준다. | makeresults | eval S_DATE = "2020516", C_NAME = "SAMPLE", S_VOLUME=1000 5. 대상 db table 정보를 넣어주고 클릭 6. SPL과 Table Column을 Mapping해준다. 7. 해당 Command의 이름을 지정해준다. 아래 주의 ※ 오류: 애플리케이션이 Splunk DB Connect일 경우 정상적으로 동작하지 않았다. 근데 또 원복하니 된다. ㅡㅡ; 뭐지 8. Sample Tes..

SPL 안에서 직접 Query를 날릴 수 있어서 편하다. 1. 기본 형태 | dbxquery connection="192.168.0.42" query="SELECT * FROM mellowlee.splunk_test_db" 2. 직접 날려본 결과 DashBoard에서 해보기 1. 입력 추가를 하고 연필을 선택한다. 2. 아래와 같이 token을 입력한다. 3. 실제 이용할 SPL을 수정한다. 아래와 같이 | dbxquery connection="192.168.0.42" query="SELECT * FROM mellowlee.splunk_test_db where 1=1 and C_NAME='$MY_C_NAME$'" 4. 입력을 하면 잘 조회한다.

SPL 내에서도 주석을 붙여볼 수 있다. index="mynas_idx01" | table S_DATE, C_NAME, S_CLOSE `comment("table 내용을 산출중")` | where C_NAME = "AP위성" | chart avg(S_CLOSE) by S_DATE `comment("chart 만드는 중")` 아래와 같이 SPL이 동작하는데 영향을 미치지 않는다. https://answers.splunk.com/answers/48865/add-a-comment-to-a-search.html

검색 내용을 DashBoard에 넣기 index="mynas_idx01" | table S_DATE, C_NAME, S_CLOSE input 값 통한 내용 변경해보기 드롭다운 만들어보기 예시 화면 [편집]을 클릭한다. [+입력 추가]를 클릭한다. [▼ 드롭다운]을 클릭한다. [펜]을 클릭한다. 레이블을 바꾸고 해당 내용을 다른데서 쓸 수 있도록 토큰을 정의한다. ※ 토큰을 사용할 때는 $토큰$ 형태 이며 여기서는 $COMPANY$ 이다. 또한 드롭다운 내용은 동적으로 내용을 넣어준다. index="mynas_idx01" | table C_NAME | dedup C_NAME SPL 내용을 기입한다. 그리고 레이블 및 값으로 사용될 필드를 저장해야한다. 여기서는 C_NAME을 지정하였다. 사용은 $C_NAM..