반응형
Splunk에서 검색을 진행한 경우 기본적으로 자기 자신만 보는것이 가능하다.
이를 공유할 수 있는 방법이 2가지 있는데, 이에 대해서 정리해 보자.
1. GUI 활동을 통해 공유
자신의 검색 활동은 Splunk의 작업에 저장된다.
여기에서 검색 결과를 공유할 수 있다. 먼저 작업을 클릭하자.
이후 공유하고자 하는 검색 결과의 작업을 누르면 작업 설정 편집을 들어갈 수 있다.
읽기 권한을 모든 사용자, 그리고 공유할 검색 내용의 수명을 선택할 수 있는데,
이는 본 검색 데이터가 마지막으로 접근한 기록을 기준이라는 점이다.
따라서 7일 이내 1번이라도 접근을 한다면, 해당 접근한 시점부터 다시 7일을 계산하는 방식으로 데이터가 유지된다. 그리고 작업에 연결 한글말이라 조금 부자연스러운데, 본 검색의 바로가기 링크이다.
해당 주소를 복사해서 공유하면 바로 검색 결과로 접근할 수 있다.
2. REST API를 통한 acl 조정
원격지에서 REST API를 이용해서 검색을 공유 할 수 있는데, acl을 설정하는 방식으로 가능하다.
개별 검색들은 고유의 ID가 존재하며 하위에 acl이라는 권한을 관리하는 파라메터를 가지고 있다. 이를 통해서 검색 권한을 변경하는것이 가능하다.
import urllib2
import base64
import urllib
def modify_perms(search_id):
url = "https://localhost:8089/servicesNS/%s/search/saved/searches/%s/acl" % ("admin", ss)
request = urllib2.Request( url )
base64string = base64.encodestring("admin:changeme").strip()
request.add_header("Authorization", "Basic %s" % base64string)
request.add_header("Referer", url )
request.add_header("Content-Type", "application/x-www-form-urlencoded")
kwargs = { "sharing" : "app","owner":"nobody" }
response = urllib2.urlopen( request , urllib.urlencode(kwargs))
return response.read()
result = modify_perms("test")
반응형
'Bigdata > Splunk' 카테고리의 다른 글
| Splunk - Depolyment and Intermediate/Heavy forwarder 구성 (0) | 2024.08.12 |
|---|---|
| Spunk - Linux/Ubuntu Universal Forwarder 설치/구성 (0) | 2024.08.12 |
| Splunk - CustomCommand 개발 이해 (0) | 2024.08.12 |
| Splunk - KV Store 데이터 저장 및 수정하기 (0) | 2024.08.12 |
| Splunk - KVStore curl을 이용한 RestAPI 관리 (0) | 2024.08.12 |
