반응형 Bigdata/Splunk13 Splunk - KVStore 스키마 정의 및 삭제하기 REST API를 이용해서 데이터를 넣고, 업데이트하는데에는 상관 없지만, 사용자 편의를 위해 Splunk App for Lookup File Editing을 통한 GUI를 이용할 경우 스키마를 설정해 두지 않으면 정상적으로 데이터를 확인하기가 어렵다.여기에서는 스키마를 생성하고 삭제하는 방법에 대해서 알아보도록 하자. 스키마 생성스키마 생성은 config 경로의 콜렉션을 지정하고, field를 통해 생성이 가능하다 아래는 field1은 숫자타입, field2 문자열, field3 문자열 타입을 생성하는 예제이다.curl -k -u admin:password https://localhost:8089/servicesNS/nobody/my_app/storage/collections/config/allmne.. 2024. 8. 12. Splunk - 앱 더 찾아보기(Find More App) SSL certificate failed 해결 아마 이 오류는 프록시등이 사용되는 환경에서 발생하는 오류로 판단된다.이 오류를 해결하기 위해서는 Splunk의 앱 관리에서 SSL 인증서 체크 부분을 비활성화 하면 된다.server.conf 파일의 기본 경로는 다음과 같다.%SPLUNK_HOME%/etc/system/default/server.confapplicationsManagement 를 찾아서 이동하면, 기본적으로 sslVerifyServerCert가 true로 되어 있는것을 false로 수정해주도록 하자.수정은 vi 에디터로 아래 내용을 편집하면 되는데, 기본적으로 읽기 전용이라 !(느낌표)로 무시하고 저장하면 된다.이후 재시작하면 정상적으로 접근이 가능하다. 2024. 8. 11. Splunk - Custom Search Commands 에서 Debug log 활성화 Splunk 개발을 진행할 때 오류가 날 경우 로그를 통해서 파악하는 것이 유용하다. 이때 사용이 용이한 방법으로 바로 noop log_DEBUG=* 를 통해 Debug 로그를 활성화 할 수 있다. 문제가 있는 명령을 실행하고 뒤에 파이프라인을 통해 | noop log_DEBUG=* 를 입력하면 Debug 로그가 활성화 된 상태로 실행된다.이후 작업 검사에서 search.log 내용을 확인하여 명령의 문제점을 보다 쉽게 파악이 가능하다.이외에도 Debug 로그를 활성화 하는 방법은 아래 문서에서 확인이 가능하다.Turn on debug logging in Splunk Enterprise Security - Splunk Documentation 2024. 8. 11. Splunk - 검색 결과에서 공유 데이터 확인하기 Splunk를 이용할 때 다수의 중복 값들중에 고유간 값들만 남기고 확인하는 구조로 가져갈 수 있는 방법에 대해서 간단하게 사용할 수 있는 기능이 존재하는데, 바로 dedup 이다. dedup은 검색 결과에서 중복되는 내용을 삭제해주는 역활을 진행한다. 아래와 같이 특정 필드명을 지정하면, 해당 필드를 기준으로 중복되는 내용들을 삭제해준다. | dedup id . 위와 같이 하나의 필드 뿐만 아니라 여러 필드를 지정하게 되면, 해당 필드가 모두 동일한 경우에만 중복으로 보기 때문에 유용하다. | dedup id host 2024. 2. 21. 이전 1 2 다음 반응형
