Bigdata/Splunk
Splunk - Depolyment and Intermediate/Heavy forwarder 구성
올엠
2024. 8. 12. 10:45
반응형
Depolyment 서버
앞서 Depolyment 서버를 Universal Forwarder 를 설치할 때 지정할 수 있다.
Depolyment 서버를 지정할 경우 Depolyment 서버에서 Universal Forwarder의 상태와 설치된 앱를 모니터링 할 수 있으므로, Splunk Universal forwarder를 관리하는 용도로 활용할 수 있다.
관리 화면은, Splunk의 포워더 관리에서 가능하다.
메뉴에 들어가면 현재 관리되는 클라이언트 수와 오류가 있는 클라이언트를 쉽게 확인이 가능하다.
현재 배포된 App은 실제 SplunkUniversalForwarder\etc\app에서 확인 할 수 있다.
이외에도 Depolyment 서버의 IP를 변경하고자 한다면, SplunkUniversalForwarder\etc\system\local 에서 deploymentclient를 설정해서 구성을 변경할 수 있다.(Linux와 동일)
세부적인 배포 상태로그는 index="_internal" host="서버이름"으로 확인이 가능하다.
index="_internal" host="서버이름"
Universal forwarder - Receiver/Heavy Forwarder 구성
Universal forwarder에는 자체적으로 Receiver 구성이 가능하다.
Universal forwarder를 통한 Receiver 구성을 보통 Intermediate forwarder 라고 한다.
여기에서 몇가지 구성에 따라 Receiver 유형이 달라지는데, 여기서는 단순 Receiver와 Heavy Forwarder를 알아보도록 하겠다.
Receiver
자체 Receiver를 구성하게 되면, 여러 Universal forwarder를 모아서 전달하는 역활을 수행하게 된다.
여러 시스템의 로그를 하나의 게이트웨이로 받아서 저장하고자 할때 가볍게 사용할 수 있는 옵션이라고 할 수 있다.
아래 명령을 이용해서 수신 포트를 활성화가 가능하다. 그리고 데이터 수신시 전달할 Splunk 서버도 함께 구성해 두어야 한다.
./splunk enable listen <port> -auth <username>:<password>
# 전달 받은 데이터를 Splunk 서버로 전달하기 위해 전달자를 구성
./splunk add forward-server <host>:<port> -auth <username>:<password>
이제 Recevier 준비가 완료 되었기에,
다른 시스템에서는 forward-server로 지정해서 사용이 가능하다. 아래와 같이 add forward-server 명령으로 방금 위에 구성한 서버로 추가하도록 하자.
./splunk add forward-server <host>:<port>Heavy Forwarder
Heavy Forwarder의 큰 장점은 바로 자체적으로 전송 전에 로그를 저장하여 전달하므로, 데이터 지연에 따른 유실이 발생하지 않는 다는 점이다.
다만 Heavy Forwarder를 구성하기 위해서는 Universal Forwarder가 아닌 Splunk 서버를 이용해야 한다.
Splunk 를 설치하면 Forwarder 앱을 이용할 수 있기 때문에 이 Forwarder 앱을 활성화 하여서 Heavy Forwarder를 구축할 수 있다.
splunk enable app SplunkForwarder -auth <username>:<password>
splunk add forward-server <host>:<port> -auth <username>:<password>참고
반응형