[SK 쉴더스 루키즈] Splunk Universal Forwarder를 이용한 로그 수집 및 전송

전체 흐름

서버에서 발생하는 log파일을 forwarder가 읽어서 192.168.56.1:9997(windows splunk)로 전달하는 작업이다.

forwarder를 설치하지 않고 전달을 누르면 포워더 목록이 안 뜰 것이다.(당연함)

 

1. 서버에 forwarder 설치해주기

rpm -i splunkforwarder-9.1.3-d95b3299fa65.x86_64.rpm

 

 

/opt/splunkforwarder 경로로 이동해준 후 최초 실행 시 명령어는 다음과 같다.

bin/splunk start --accept-license

 

그 다음부터 시작

bin/splunk start

 

상태 확인

bin/splunk status

 

내 서버에서 밖으로 데이터가 나가는 거기 때문에 방화벽을 열어줘야 한다.

 

2. 방화벽 열어주기

 

3. 설정을 받아올 서버 알려주는 명령어

bin/splunk set deploy-poll 192.168.56.1:8089

 

서버에 직접 접속해서 8089 포트가 열린 것을 확인해 볼 수 있다.

 

 

재시작

bin/splunk restart

 

로그를 어디로 보낼지 설정하는 명령어

bin/splunk add forward-server 192.168.56.1:9997

로그는 linux 서버에서 발생하고, 이걸 windows(192.168.56.1)로 보내야 한다.

windows에서 로그를 받는 포트가 9997인 것이다.

 

 

이제 다시 전달을 눌러주면 

 

1. 포워더 선택

포워더가 뜬다. 클래스(그룹)이름도 설정해주자.

 

2. 어느 파일을 가져올 것인가?

 

 

3. 입력 설정

Source type source type은 Splunk 플랫폼이 모든 수신 데이터에 할당하는 기본 필드 중 하나입니다. 이를 통해 Splunk 플랫폼은 사용자가 어떤 데이터를 갖고 있는지 알고 인덱싱 중에 데이터 형식을 지능적으로 지정할 수 있습니다. source type은 데이터를 쉽게 검색할 수 있게 분류하는 방법이기도 합니다.

 

 

인덱스 Splunk 플랫폼은 수신한 데이터를 선택된 인덱스에 이벤트로 저장합니다. 데이터의 source type을 파악하는 데 문제가 있는 경우 "테스트용" 인덱스를 만들어서 사용할 수 있습니다. 테스트용 인덱스를 사용하면 프로덕션 인덱스에 영향을 주지 않고 설정 문제를 해결할 수 있습니다. 나중에 언제든지 이 설정을 변경할 수 있습니다.

 

4. 연결 확인

로그인을 새로 해서 로그를 하나 추가해보자.

 

로그인

 

linux 서버

 

 

windows splunk UI 화면

 

잘 연동/추가가 되는 것을 확인할 수 있다.