본문 바로가기
Bigdata

Splunk - Search Job and Share

by 올엠 2021. 8. 25.
반응형

Splunk는 기본적으로 Search 를 진행할 때 Job 기반으로 처리하게 된다.

해당 작업에 대한 리스트는 Activity --> Jobs 에서 확인 할 수 있다.

 

Job 리스트 확인

 

Job에는 검색한 결과를 보관하도록 되어 있는데, 이를 공유할 수 있는 방법에 대해 짧게 정리해 본다.

작업을 공유하기 위해서는 검색을 완료하게 되면, Edit Job Settings을 통해 할 수 있다.

 

Job 설정 수정

 

JobSettings 에 들어가면, 현재 설정이 나타난다.

기본설정으로는 Private(비공개), Lifetime(결과 저장 시간) 10분으로 설정되어 있다.

결과 저장 시간이 왜 짧은가? 라는 질문이 있을 수 있는데, Activity --> Jobs 에 들어가 보면, 작업별로 용량을 차지하는 것을 알 수 있다. 만약에 기업에서 사용하는데 검색 결과의 저장 시간이 길게되면 저장소 낭비가 일어날 수 있기 때문에 10분이 기본 설정이다.

검색 결과를 포함하고 있기 때문에 용량을 차지한다.

추가로 여기에서 10분이란 아무도 이 검색을 조회하지 않은 시간으로 TTL(Time to life)값이기 때문에 10분이내이 접근하게 되면 마지막 접근 시간 기준으로 다시 10분이 갱신된다.

여기에서 검색 결과를 저장하고 있다는 얘기는 다시 생각해보면 동일한 검색을 위해 추가로 검색 시간이 필요하지 않고 바로 결과를 볼 수 있다는 얘기가 된다. 특히 기업에서 사용하는 경우 광범위한 검색이 필요해, 많은 시간이 소요 될 수 있으므로, 공유를 통해 시간을 절약할 수 있다.

이러한 이유로 여러분들이 특별히 다른 사용자에게 본 검색 결과를 공유해야 겠다면, Read Permission을 Everyone으로 바꾸고 Lifetime을 7 days로 변경후 Save를 눌려주면 공유가 가능하게 된다. 그리고 Like to Job을 통해 검색 결과에 바로 갈 수 있는 URL 을 통해 쉽게 공유가 가능하다.

 

추가적으로 만약 10분이라는 기본 검색 시간이 너무 짧은 경우 특정 검색시 noop 명령을 이용해 noop 명령을 이용한 검색 결과에 대해 저장 시간을 변경할 수 있다.  아래와 같이 12시간 혹은 1일로 특정 하나의 검색에 대해 결과를 보관하도록 설정이 가능하다.

index="_audit" | noop set_ttl=12h
index="_audit" | noop set_ttl=1d

https://docs.splunk.com/Documentation/Splunk/8.2.2/SearchReference/Noop

 

noop - Splunk Documentation

noop The noop command is an internal, unsupported, experimental command. See About internal commands. Description The noop command is an internal command that you can use to debug your search. It includes several arguments that you can use to troubleshoot

docs.splunk.com

그리고 장시간 검색이 필요한 경우 GUI 상으로 검색을 진행할 경우 Timeout이 발생하기 때문에 꼭 "Send Job to Background"를 진행해야 정상적으로 처리 결과를 확인 할 수 있다. 

장시간 검색시 백그라운드로 전달

반응형

'Bigdata' 카테고리의 다른 글

Splunk - Search Job and Share  (0) 2021.08.25
Logstash - Debugging mode  (0) 2021.08.11
Azure ML 이상탐지 라이브러리  (0) 2021.04.19
Elasticsearch - 기본  (0) 2020.12.03

태그

, , ,

댓글0