SPLUNK 데이타 분석 도구
Splunk Enterprise Overview
About Splunk Enterprise
Splunk Enterprise features
- Indexing : machine data 에 대해 인덱싱, 라이센스에 따라 인덱싱 볼륨이 달라짐
- Data model : 하나 혹은 그 이상의 데이타셋에 대해 서치 타임에 계층적으로 구조화한 데이타 모델을 생성
- Pivot
- Search
- Alerts
- Reports
- Dashboards
About Splunk Enterprise users
Administrator - network engineer, system administrator
Knowledge Manager - data analyst, system administrator
Search User - data analyst, IT professional, network engineer, security analyst, system administrator
Pivot User - business professional, data analyst, executive, IT professional, manager, system administrator
Developer - system integrator, professional developer
About Splunk Enterprise deployments
USER, ADMIN 모두 WEB Browser 를 통해 접근한다.
ADMIN 의 경우 CLI 도 사용가능하다.
Splunk Enterprise Components
- Apps : 사용자 정의 오브젝트, 뷰, 대시보드
- Forwarder : 데이타를 다른 sPLUNK eNTERPRISE INSTANCE 나 3rd 파티 시스템으로 전달
- Indexer : 인덱싱, Raw data 를 events 로 변환하고 이를 인덱스에 저장한다. 또 검색 요청에 대해 응답하는 역할도 한다.
- Receiver : forwarder 로부터 데이타를 받는 인스턴스, 인덱서나 또 다른 포워더가 될 수 있다.
- Search head : 분산 된 검색 환경에서 이는 search manaement functions 을 핸들링한다.
- Search peer :
Installation Manual
System requirements
Linux.2.6- 지원
Windows 의 경우는 Server 군 제품을 제외하고 Splunk Enterprise 테스트 할 수 없음
지원 브라우저
Firefox ESR (24.2) and latest
Internet Explorer 9, 10, and 11
Safari (latest)
Chrome (latest)
더불어 최신 버전의 Adobe Flash 가 인스톨 되어 있어야 한다.
추천 / 최소 사양 정보
Non-Windows platforms
권장 : 2x six-core, 2+ GHz CPU, 12 GB RAM, Redundant Array of Independent Disks (RAID) 0 or 1+0, with a 64 bit OS installed.
최소 : 1x1.4 GHz CPU, 1 GB RAM
Windows platforms
권장 : 2x six-core, 2+ GHz CPU, 12 GB RAM, RAID 0 or 1+0, with a 64 bit OS installed.
최소 : Intel Nehalem CPU or equivalent at 2 GHz, 2 GB RAM
Universal 과 light forwarder 는 최소 사양으로 충분
Universal 과 light forwarders 에 대한 사양
Recommended Dual-core 1.5 GHz+ processor, 1 GB+ RAM
Minimum 1.0 Ghz processor, 512 MB RAM
Linux 의 ext2/3/4 지원
*nix-based OS 에서 ulimit -n 의 결과가 최소 8192 가 나와야 한다.
Splunk 는 파일 레벨 스토리지보다 블록 레벨의 스토리지를 권고한다.
Splunk Enterprise architecture and processes
인스톨 시 splunkd 프로세스가 생성된다.
splunkd 는 8089 포트에서 SSL/HTTPS 로 수행된다.
또한 8000 포트로 SSL/HTTPS 로 수행된다.
Install on Linux
RPM, DEB, TAR 를 이용해 인스톨이 가능하다.
( 여기서는 TAR 를 이용하여 진행 )
tar xvzf splunk_package_name.tgz
Start Splunk
$SPLUNK_HOME/bin/splunk start
최초 수행시엔 다음과 같이 수행한다.
$SPLUNK_HOME/bin/splunk start --accept-license
Launch Splunk Web and log in
Default port 는 8000
최초 로그인은 admin / changeme
개개 프로세스 컨트롤은 다음과 같이 한다.
$SPLUNK_HOME/bin/splunk start splunkd
$SPLUNK_HOME/bin/splunk disable webserver
추가 정보는 다음과 같이 수행한다.
$SPLUNK_HOME/bin/splunk help start
What happens next ?
인스톨 후에 무엇을 할 것인가?
2.6+ kernel Linux distributions (64-bit) 를 다운로드