본문 바로가기
반응형

Bigdata/Splunk18

Splunk - 앱 더 찾아보기(Find More App) SSL certificate failed 해결 아마 이 오류는 프록시등이 사용되는 환경에서 발생하는 오류로 판단된다. 이 오류를 해결하기 위해서는 Splunk의 앱 관리에서 SSL 인증서 체크 부분을 비활성화 하면 된다. server.conf 파일의 기본 경로는 다음과 같다. %SPLUNK_HOME%/etc/system/default/server.conf applicationsManagement 를 찾아서 이동하면, 기본적으로 sslVerifyServerCert가 true로 되어 있는것을 false로 수정해주도록 하자. 수정은 vi 에디터로 아래 내용을 편집하면 되는데, 기본적으로 읽기 전용이라 !(느낌표)로 무시하고 저장하면 된다. 이후 재시작하면 정상적으로 접근이 가능하다. 2023. 4. 18.
Splunk - Mac M1 Docker Image 실행 실패 해결 Macbook M1에서 정상적으로 Splunk Docker 이미지를 실행하고자 한다면, 다음과 같은 조치를 진행해야 한다. Docker Desktop 4.15 혹은 4.16 버전이상 부터 제공하는 기능으로, Apple Silicon 을 Docker에서 에뮬레이터를 해주는 기능이다. 위 기능을 활성화 하고 아래와 같이 실행하면 임시 방편이지만, 실행이 가능하다. docker run -it -e SPLUNK_START_ARGS=--accept-license -e SPLUNK_PASSWORD=splunkdev --platform=linux/amd64 -p 8000:8000 splunk/splunk:8.2.9 start 아래와 같이 로그를 살펴보면 정상적으로 실행되는 것을 알 수 있다. 2023. 4. 18.
Splunk - KVStore 스키마 정의 및 삭제하기 REST API를 이용해서 데이터를 넣고, 업데이트하는데에는 상관 없지만, 사용자 편의를 위해 Splunk App for Lookup File Editing을 통한 GUI를 이용할 경우 스키마를 설정해 두지 않으면 정상적으로 데이터를 확인하기가 어렵다. 여기에서는 스키마를 생성하고 삭제하는 방법에 대해서 알아보도록 하자. 스키마 생성 스키마 생성은 config 경로의 콜렉션을 지정하고, field를 통해 생성이 가능하다 아래는 field1은 숫자타입, field2 문자열, field3 문자열 타입을 생성하는 예제이다. curl -k -u admin:password \ https://localhost:8089/servicesNS/nobody/my_app/storage/collections/config/al.. 2023. 4. 14.
Splunk - KVStore curl을 이용한 RestAPI 관리 여기에서는 KVStore를 CURL를 이용해서 관리하는 방법을 알아보고자 한다. 1. 콜렉션 생성/삭제 KVStore를 진행하기 위해서는 가장 먼저 콜렉션을 만들어야 한다. curl -k -u admin:password https://localhost:8089/servicesNS/nobody/my_app/storage/collections/config -d name=allmnet_collection KVStore를 잘못 생성한 경우 DELETE 메소드를 이용하여 삭제할 수 있다. curl -k -u admin:password -X DELETE "https://localhost:8089/servicesNS/nobody/my_app/storage/collections/config/allmnet_collect.. 2023. 4. 13.
Splunk - splunklib 설치시 pycrypto 오류 해결 현재 splunklib은 개발이 중단된 라이브러리 이다. 따라서 급하게 사용할 것이 아니라면, Splunk에서 계속 개발하고 있는 splunk-sdk를 정상적으로 사용할 수 있는 최신 Python을 설치하기를 권장한다. https://pypi.org/project/splunk-sdk/ splunk-sdk The Splunk Software Development Kit for Python. pypi.org 여기에서는 spunklib을 사용할 때 필자가 경험했던 오류인 pycrypto 설치 문제를 해결해 보고자 한다. 이오류를 해결 하기 위해서는 pycrypto가 아닌 pycryptodome를 설치하여 splunklib이 pycryptodome를 사용하도록 해야 한다. 순서는 다음과 같다. 1. 만약 pyc.. 2023. 4. 12.
Splunk - KV Store 데이터 저장 및 수정하기 KV Store는 Splunk에서 제공하는 기능이다. KV Store 용도는 데이터베이스 처럼 입력 저장 수정등, 쉽게 활용할 수 있어서, Splunk를 사용하고 있다면, 간편하게 사용하기 좋은 저장소라고 할 수 있다. 그럼 가장 간단하게 데이터를 저장하고 수정하는 Python 코드를 작성해보도록 하자. 여기에서는 Splunk에서 제공하는 라이브러리를 사용할 예정이며 코드는 다음과 같다. import splunklib.client as client # Splunk 인증 정보 host = "localhost" port = 8089 username = "admin" password = "your_password" # Splunk SDK 객체 생성 service = client.connect( host=hos.. 2023. 4. 11.
Splunk - Streaming 와 Transforming Commands 이해 Splunk에는 데이터 검색과 처리에 사용할 수 있는 SPL(Search Processing Language)이 존재한다. 그중에 가장 많이 사용되는 Streaming과 Transforming Command에 대해서 알아 보도록 하자. 아래와 같은 명령이 있다고 가정하자. action=purchase | stats count by status | rename count as “events” 위 명령애서 action=purchase 는 Streaming Command이고, stats 와 rename 은 Transforming Command이다. 이렇게 명령어의 타입이 구분되는 이유는, 동작 환경과 조건이 다르기 때문에 시스템 사용 리소스등을 고려할 때 유용핟. 그리고 명령어를 보다 최적화해서 사용할 수 있.. 2022. 5. 26.
Splunk - CustomCommand 개발 이해 Splunk에는 Custom Command라는 사용자가 직접 명령어를 개발하는 것이 가능하다. Splunk는 다른 데이터 분석 플랫폼보다 다양한 통계나 데이터 가공이 SPL를 통해서 진행할 수 있는데, Custom Command 를 이를 더욱 풍푸하게 해주는 기능이라고 할 수 있다. 예를 들어, 외부의 플랫폼의 데이터를 가져와서 Splunk에서 추가 통계 자료로 만들거나, Splunk 내 데이터와 함께 이용하는 것을 Custom Command를 통해서 가능하다고 할 수 있다. 1. Splunk에서 데이터 조회 | Custom Command 2. Custom Command로 외부 데이터 조회 | Splunk SPL 그럼 Custom Command를 어떻게 만들수 있는지 간단히 이해해보도록 하자. 1. 앱 .. 2022. 5. 23.
Splunk - 검색 결과 공유 하기, GUI/Rest API 활용 Splunk에서 검색을 진행한 경우 기본적으로 자기 자신만 보는것이 가능하다. 이를 공유할 수 있는 방법이 2가지 있는데, 이에 대해서 정리해 보자. 1. GUI 활동을 통해 공유 자신의 검색 활동은 Splunk의 작업에 저장된다. 여기에서 검색 결과를 공유할 수 있다. 먼저 작업을 클릭하자. 이후 공유하고자 하는 검색 결과의 작업을 누르면 작업 설정 편집을 들어갈 수 있다. 읽기 권한을 모든 사용자, 그리고 공유할 검색 내용의 수명을 선택할 수 있는데, 이는 본 검색 데이터가 마지막으로 접근한 기록을 기준이라는 점이다. 따라서 7일 이내 1번이라도 접근을 한다면, 해당 접근한 시점부터 다시 7일을 계산하는 방식으로 데이터가 유지된다. 그리고 작업에 연결 한글말이라 조금 부자연스러운데, 본 검색의 바로가.. 2022. 5. 1.