Spunk - Linux/Ubuntu Universal Forwarder 설치/구성

Splunk에서 제공하는 Universal Forwarder는 Splunk에 데이터를 입력하는데 효과적인 데이터 입력 도구라고 할 수 있다.

저번에 윈도우를 통해서 사용방법과 Receiver 구성 및 Depolyment에 대해서 알아 보았다면, 이번에는 Linux 머신에서 데이터를 수집하는 방법을 알아보도록 하겠다. Receiver 구성 및 Depolyment는 아래 문서에 정리하였으니 아래 링크에서 아랫 부분을 참고하면 도움이 될 것이다.

 

다운로드

다운로드는 아래 링크에서 진행할 수 있다.

Download Universal Forwarder for Remote Data Collection | Splunk

Linux 환경 특성상 CLI를 이용하기 때문에 아래 바로 다운받을 수 있는 링크를 이용하면 보다 효과적이다.

wget -O splunkforwarder-8.2.6-a6fe1ee8894b-linux-2.6-amd64.deb "https://download.splunk.com/products/universalforwarder/releases/8.2.6/linux/splunkforwarder-8.2.6-a6fe1ee8894b-linux-2.6-amd64.deb"

설치

설치는 패키지 마다 다르지만, deb 기준으로 dpkg 명령을 이용하면 간편하게 설치가 된다.

설치 기본 위치는 /opt/splunkforwarder 에 설치 된다.

sudo dpkg -i splunkforwarder-8.2.6-a6fe1ee8894b-linux-2.6-amd64.deb

Splunk Universal Forwarder는 Splunk와 실행 구조가 같다. 따라서 /opt/splunkforwarder/bin으로 이동하고 실제 사용해보도록 하자.  

사용

사용을 위해서는 3단계를 진행하면 된다.

1. 라이센스 승인

사용을 위해 라이센스를 승인을 진행하면, 최초 관리자 계정을 생성하게 된다. 이 계정은 이후 Splunk Universal Forwarder를 구성할 때 인증 용도로 사용되기 때문에 잘 기억해 두어야 한다.

sudo ./splunk start --accept-license

 

2. 데이터 전달 서버 지정

현재 서버의 데이터를 전달할 서버를 구성하도록 하자. 필자는 Splunk가 192.168.203.130이고 이미 9997로 Receiver 설정을 해둔 상태이다. 계정음 1. 단계에서 진행한 계정을 이용하면 된다.

sudo ./splunk add forward-server <host>:<port>

 

3. 데이터 전달 설정

Linux/Ubuntu의 기본 로그 위치는 /var/logs가 로그파일이 위치하기 때문에 아래와 같이 add monitor를 통해서 파일 디렉토리의 변화를 자동으로 감지해서 해당 경로의 파일을 Splunk로 데이터를 입력하게 된다.

sudo ./splunk add monitor /var/log

데이터 전달이 잘 되는지 Splunk로 들어가 확인해보면 잘 입력되는 것을 알 수 있다.

 

Deployment 서버 구성

추가로 Depolyment 서버를 구성하기 위해서는 다음과 같은 구성을 추가로 구성한 후 서비스를 재시작하도록 하자.

/opt/splunkforwarder/etc/system/local/depolymentclient.conf(새로 만들어야 한다.)

위 문서에 아래와 같이 현재 Splunk에 Deployment 설정을 한 IP를 추가하자.

[target-broker:deploymentServer]
targetUri = 192.168.203.130:8089

 

그후 splunk 서비스를 재시작 하면 된다.

sudo ./splunk restart