데이터 전달 Splunk Enterprise 6.1docs.splunk.com/images/a/a6/Splunk-6.1.1-ko_KO... · ·...

Splunk Enterprise 6.1.1

데이터 전달생성일: 2014-06-10 오후 12시 26분

Copyright (c) 2014 Splunk Inc. All Rights Reserved

3335

99

10111314

16161720

2121

2430

31

3232343940

4040454756

58586061

6262

Table of Contents개요

전달 및 수신에 대하여Forwarder 유형Forwarder 배포 토폴로지

전달 구성전달 및 수신 설정Forwarder와 인덱서 간 호환성수신기 활성화여러 컴퓨터에서 전송된 데이터 통합부하 분산 설정

범용 전달기(Universal Forwarder)범용 전달기(Universal Forwarder) 소개배포 개요지원되는 CLI 명령어

Windows 범용 전달기(Universal Forwarder) 배포설치 프로그램 GUI를 통해 Windows 범용 전달기(UniversalForwarder) 배포명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포정적 구성을 통해 Windows 범용 전달기(Universal Forwarder) 원격배포시스템 이미지의 일부로 범용 전달기(Universal Forwarder) 배포

nix 범용 전달기(Universal Forwarder) 배포*nix 범용 전달기(Universal Forwarder) 수동 배포정적 구성을 통해 *nix 범용 전달기(Universal Forwarder) 원격 배포시스템 이미지의 일부로 범용 전달기(Universal Forwarder) 배포*nix 경량형 전달기(Light Forwarder) 마이그레이션

고급 구성 수행outputs.conf를 사용하여 Forwarder 구성실행 중인 데이터의 손실 방지데이터 전송 및 필터링타사 시스템에 데이터 전달

중량형 및 경량형 전달기(Heavy 및 Light Forwarder)중량형 전달기(Heavy Forwarder) 배포경량형 전달기(Light Forwarder) 배포중량형 및 경량형 전달기(Heavy 및 Light Forwarder) 기능

전달 문제 해결Forwarder/수신기 연결 문제 해결

개요

전달 및 수신에 대하여중요: 이 매뉴얼을 읽기 전에 분산 배포 매뉴얼에 설명되어 있는 Splunk Enterprise 분산 배포에 대한 기본 사항을 숙지해야합니다.

한 Splunk Enterprise 인스턴스에서 다른 Splunk Enterprise 인스턴스나 비 Splunk 시스템에도 데이터를 전달할 수 있습니다. 전달 기능을 수행하는 Splunk Enterprise 인스턴스는 일반적으로 Forwarder라고 하는 더 작은 공간을 차지하는 SplunkEnterprise 버전입니다.

하나 이상의 Forwarder에서 전송한 데이터를 수신하는 Splunk Enterprise 인스턴스를 수신기라고 합니다. 수신기는 일반적으로 Splunk Enterprise 인덱서이지만 여기에 설명된 대로 다른 Forwarder일 수도 있습니다.

다음 그림에서는 Forwarder 3개에서 수신기(인덱서) 하나로 데이터를 보내면 해당 수신기에서 데이터를 인덱싱하고 검색을위해 제공합니다.

Forwarder는 다음과 같은 기능으로 인해 원시 네트워크 피드보다 훨씬 강력한 데이터 전달 솔루션입니다.

메타데이터(source, source type 및 host) 태깅버퍼링 설정 가능데이터 압축SSL 보안제공되는 모든 네트워크 포트 사용

전달 및 수신 기능을 통해 데이터 통합, 부하 분산 및 데이터 전송 등의 기능을 처리하는 온갖 종류의 흥미로운 SplunkEnterprise 토폴로지를 구성할 수 있습니다. Forwarder를 사용하여 만들 수 있는 배포 토폴로지 유형에 대한 자세한 내용은"Forwarder 배포 토폴로지"를 참조하십시오.

"Forwarder 유형"에서 설명한 대로 몇 가지 다른 유형의 Forwarder가 있습니다.

Forwarder 유형Forwarder 유형은 다음의 세 가지입니다.

범용 전달기(Universal Forwarder)는 데이터를 수신기에 전달하는 데 필요한 구성 요소만 포함되어 있는 SplunkEnterprise의 간소화된 전용 버전입니다.중량형 전달기(Heavy Forwarder)는 일부 기능을 비활성화하여 설치 공간을 줄인 전체 Splunk Enterprise 인스턴스입니다.경량형 전달기(Light Forwarder)도 대부분의 기능을 비활성화하여 설치 공간을 최대한 줄인 전체 Splunk

3

Enterprise 인스턴스입니다. 기능은 유사하지만 사용 공간을 더욱 줄인 범용 전달기(Universal Forwarder)는 대부분의 경우 경량형 전달기(Light Forwarder)를 대체합니다.

참고: 경량형 전달기(Light Forwarder)는 Splunk Enterprise 6.0 버전에서 지원이 중단되었습니다. 지원이 중단된 모든 기능리스트는 릴리스 노트의 "지원 중단 기능" 항목을 참조하십시오.

범용 전달기(Universal Forwarder)는 대부분의 경우 데이터를 인덱서에 전달하는 데 가장 효과적인 도구입니다. 범용 전달기(Universal Forwarder)의 가장 중요한 한계는 이 항목의 뒷부분에 설명된 대로 파싱된 데이터만 전달한다는 데 있습니다.따라서 이벤트 콘텐츠를 기준으로 한 데이터 전송에 사용할 수 없습니다. 이 경우 중량형 전달기(Heavy Forwarder)를 사용해야 합니다. 범용 전달기(Universal Forwarder)에서 데이터를 로컬로 인덱싱할 수도 없으며, 중량형 전달기(HeavyForwarder)만 인덱싱하고 전달할 수 있습니다.

범용 전달기(Universal Forwarder)

범용 전달기(Universal Forwarder)는 Splunk의 새로운 경량형 전달기(Lightweight Forwarder)입니다. 이 Forwarder는 다양한 입력에서 생성된 데이터를 수집하고 인덱싱 및 검색을 위해 Splunk Enterprise 서버에 전달하는 데 사용합니다. 데이터를 인덱서로 보내기 전의 중간 단계로, 데이터를 다른 Forwarder에도 전달할 수 있습니다.

범용 전달기(Universal Forwarder)는 데이터 전달에만 사용됩니다. 범용 전달기(Universal Forwarder)는 전체 SplunkEnterprise 인스턴스와 달리 데이터를 인덱싱하거나 검색하는 데 사용할 수 없습니다. 성능을 개선하고 공간을 줄인 범용 전달기(Universal Forwarder)는 다음과 같은 한계가 있습니다.

범용 전달기(Universal Forwarder)에는 검색 또는 인덱싱이나 경고 기능이 없습니다.범용 전달기(Universal Forwarder)는 데이터를 파싱하지 않습니다.범용 전달기(Universal Forwarder)에는 전체 Splunk Enterprise와 달리 Python 번들 버전이 없습니다.

범용 전달기(Universal Forwarder)의 기능에 대한 자세한 내용은 "범용 전달기(Universal Forwarder) 소개"를 참조하십시오.

참고: 범용 전달기(Universal Forwarder)는 별도로 다운로드할 수 있는 소프트웨어입니다. 이 Forwarder는 중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)와 달리 전체 Splunk Enterprise 인스턴스에서 사용할 수 없습니다.범용 전달기(Universal Forwarder)를 다운로드 및 설치하고 배포하는 방법에 대한 내용은 "범용 전달기(UniversalForwarder) 배포 개요"를 참조하십시오.

중량형 및 경량형 전달기(Heavy 및 Light Forwarder)

데이터를 전달할 때는 일반적으로 범용 전달기(Universal Forwarder)가 선호되지만, 중량형 전달기(Heavy Forwarder) 또는 경량형 전달기(Light Forwarder)도 사용해야 하는 이유(레거시 기반 등)가 있을 수 있습니다. 완전히 독립적인 간소화된실행 파일인 범용 전달기(Universal Forwarder)와 달리 중량형(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)는 모두 특정 기능을 사용할 수 없는 전체 Splunk Enterprise 인스턴스입니다. 중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)는 기능이 서로 다르며 차지하는 공간의 크기도 서로 다릅니다.

"일반 Forwarder"라고도 하는 중량형 전달기(Heavy Forwarder)는 Splunk Enterprise 인덱서보다 사용 공간이 더 작지만,분산 검색 기능이 없다는 점을 제외하고는 대부분의 기능을 유지하고 있습니다. 필요에 따라 Splunk Web과 같은 기본 기능을 대부분 비활성화하여 공간을 줄일 수 있습니다. 중량형 전달기(Heavy Forwarder)는 데이터를 전달하기 전에 파싱하며,소스 또는 이벤트 유형과 같은 기준에 따라 데이터를 전송할 수 있습니다.

중량형 전달기(Heavy Forwarder)의 중요한 장점 중 하나는 데이터를 로컬로 인덱싱하고 다른 Splunk Enterprise 인스턴스에 전달할 수 있다는 점입니다. 이 기능은 수동으로 켜야 하며, 기본적으로 사용할 수 없습니다. 자세한 내용은 이 매뉴얼의"outputs.conf에서 Forwarder 구성"을 참조하십시오.

경량형 전달기(Light Forwarder)는 공간이 더 작고 기능이 훨씬 더 제한적입니다. 이 Forwarder는 파싱되지 않은 데이터만전달합니다. 경량형 전달기(Light Forwarder)는 4.2 버전부터 공간은 더 작으면서 유사한 기능을 제공하는 범용 전달기(Universal Forwarder)로 대체되었습니다. 그리고 경량형 전달기(Light Forwarder)는 주로 기존 요구 사항을 충족하기 위해계속 제공됩니다. 파싱되지 않은 데이터를 전달할 때는 항상 범용 전달기(Universal Forwarder)를 사용하는 것이 좋습니다.범용 전달기(Universal Forwarder)를 설치할 때는 같은 컴퓨터에 위치한 (4.0 버전 이상의) 경량형 전달기(Light Forwarder)의 체크포인트 설정을 마이그레이션할 수 있습니다. 범용 전달기(Universal Forwarder) 및 경량형 전달기(Light Forwarder)의 자세한 비교는 "범용 전달기(Universal Forwarder) 소개"를 참조하십시오.

중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)의 기능에 대한 자세한 내용은 "중량형 전달기(HeavyForwarder) 및 경량형 전달기(Light Forwarder) 기능"을 참조하십시오.

중량형 전달기(Heavy Forwarder) 또는 경량형 전달기(Light Forwarder)를 활성화하고 배포하는 방법에 대해 알아보려면"중량형 전달기(Heavy Forwarder) 또는 경량형 전달기(Light Forwarder) 배포"를 참조하십시오.

Forwarder 비교

아래 테이블에는 세 가지 Forwarder 유형의 유사점과 차이점이 요약되어 있습니다.

특징 및 기능 범용 전달기(UniversalForwarder)

경량형 전달기(LightForwarder)

중량형 전달기(HeavyForwarder)

Splunk Enterprise 인스턴스유형

전용 실행 파일 대부분 기능을 사용할 수 없는 전체 Splunk Enterprise

일부 기능을 사용할 수 없는전체 Splunk Enterprise

공간(메모리, CPU 부하) 가장 작음 작음 중간 또는 큼(사용할 수 있는기능에 따라 다름)

4

기능에 따라 다름)

Python 번들? 아니요 예 예

데이터 입력 처리? 모든 유형(스크립트된 입력에는 Python 설치가 필요할수 있음)

모든 유형 모든 유형

Splunk Enterprise에 전달? 예 예 예

타사 시스템에 전달? 예 예 예

중간 Forwarder로 사용 가능?

예 예 예

인덱서 수신확인(전달 보장)? 선택 사항 선택 사항(버전 4.2+) 선택 사항(버전 4.2+)

부하 분산? 예 예 예

데이터 복제? 예 예 예

이벤트별 필터링? 아니요 아니요 예

이벤트 전송? 아니요 아니요 예

이벤트 파싱? 아니요 아니요 예

로컬 인덱싱? 아니요 아니요 선택 사항. 다음에서indexAndForward 속성 설정:outputs.conf

검색/경고? 아니요 아니요 선택 사항

Splunk Web? 아니요 아니요 선택 사항

특정 기능에 대한 자세한 내용은 이 항목의 나머지 부분과 기타 전달 관련 매뉴얼 항목을 참조하십시오.

Forwarder 데이터 유형

Forwarder에서는 다음과 같은 세 가지 유형의 데이터를 전송할 수 있습니다.

원시 데이터파싱되지 않은 데이터파싱된 데이터

Forwarder에서 보낼 수 있는 데이터 유형은 Forwarder 유형과 구성 방법에 따라 다릅니다. 범용 전달기(UniversalForwarder)와 경량형 전달기(Light Forwarder)는 원시 또는 파싱되지 않은 데이터를 전송할 수 있습니다. 중량형 전달기(Heavy Forwarder)는 원시 또는 파싱된 데이터를 전송할 수 있습니다.

원시 데이터를 전송할 때 데이터 스트림은 원시 TCP 형식으로 전달되고 Splunk 통신 형식으로 변환되지 않습니다.Forwarder에서는 데이터를 수집하고 전달만 합니다. 원시 데이터는 비 Splunk 시스템으로 데이터를 보낼 때 특히 유용합니다.

파싱되지 않은 데이터를 전송할 때 범용 전달기(Universal Forwarder)에서 최소한의 처리 작업만 수행합니다. 범용 전달기(Universal Forwarder)에서는 데이터 스트림을 조사하지 않지만, 전체 데이터 스트림에 source, source type 및 host를 구분하기 위한 메타데이터 태그를 적용합니다. 또한 데이터 스트림을 64K 블록으로 나누고 이벤트 자체에 확인 가능한 타임스탬프가 없을 경우, 수신 인덱서에서 사용할 수 있는 스트림에 몇 가지 기본적인 타임스탬프를 적용하는 작업도 수행합니다.범용 전달기(Universal Forwarder)에서는 개별 이벤트를 구분 또는 조사하거나 태깅하지 않습니다.

파싱된 데이터를 전송할 때 중량형 전달기(Heavy Forwarder)는 데이터를 개별 이벤트로 나누고 태깅한 다음 SplunkEnterprise 인덱서에 전달합니다. 또한 이벤트도 조사할 수 있습니다. 데이터가 파싱되었기 때문에 Forwarder에서는 필드값과 같은 이벤트 데이터를 기준으로 조건부 전송을 수행할 수 있습니다.

원시 데이터와 구별하기 위해 파싱된 형식과 파싱되지 않은 형식을 함께 가공된(cooked) 데이터라고도 합니다. Forwarder에서는 기본적으로 가공된 데이터를 전송합니다. 범용 전달기(Universal Forwarder)에서는 파싱되지 않은 데이터를 전송하고 중량형 전달기(Heavy Forwarder)에서는 파싱된 데이터를 전송합니다. 원시 데이터를 대신 전송하려면 outputs.conf에서 sendCookedData=false 속성/값 조합을 설정하십시오.

Forwarder와 인덱스

Forwarder에서는 데이터를 인덱스별로 전달 및 전송합니다. Forwarder에서는 기본적으로 모든 외부 데이터와 _audit 내부인덱스용 데이터를 전달합니다. 경우에 따라 Forwarder에서 _internal 내부 인덱스용 데이터를 전달하기도 합니다. 필요에따라 이 동작을 변경할 수 있습니다. 자세한 내용은 "대상 인덱스별 데이터 필터링"을 참조하십시오.

Forwarder 배포 토폴로지Forwarder 배포 시나리오는 매우 다양합니다. 이 항목에서는 Forwarder를 사용하여 만들 수 있는 가장 유용한 포톨로지 유형에 대해 대략적으로 설명합니다. 다양한 배포 포톨로지를 구성하는 방법에 대한 자세한 내용은 "Forwarder를 사용하여 배포 토폴로지 만들기" 절의 관련 항목을 참조하십시오.

5

데이터 통합

데이터 통합은 여러 Forwarder에서 단일 Splunk Enterprise 인스턴스로 데이터를 전송하는 가장 일반적인 토폴로지 중 하나입니다. 이 시나리오에는 일반적으로 파싱되지 않은 데이터를 워크스테이션 또는 비 Splunk 운영 서버에서 중앙 SplunkEnterprise 인스턴스로 전달하여 통합 및 인덱싱하는 범용 전달기(Universal Forwarder)가 포함됩니다. 범용 전달기(Universal Forwarder)는 설치 공간이 작기 때문에 상주하는 시스템의 성능에 미치는 영향이 미미합니다. 다른 시나리오에서는 중량형 전달기(Heavy Forwarder)에서 파싱된 데이터를 중앙 Splunk Enterprise 인덱서로 보낼 수 있습니다.

다음은 범용 전달기(Universal Forwarder) 3개에서 인덱서 하나로 데이터를 보내는 그림입니다.

데이터 통합에 대한 자세한 내용은 "여러 컴퓨터의 데이터 통합"을 참조하십시오.

부하 분산

부하 분산은 많은 데이터 볼륨 및 검색 성능 향상을 위한 수평 확장과 내결함성 같은 고려 사항을 처리하기 위해 여러 인덱서로 데이터를 분산시키는 프로세스를 단순화합니다. 부하 분산 시에는 Forwarder에서 지정된 간격으로 데이터를 다양한 인덱서로 전송합니다.

Forwarder는 지정된 시간 간격으로 수신기를 전환하는 자동 부하 분산을 수행합니다. 파싱을 사용하도록 설정하면 (중량형전달기(Heavy Forwarder)에 해당) 전환이 이벤트 경계에서 이루어집니다.

다음은 범용 전달기(Universal Forwarder) 3개에서 각각 2개의 인덱서로 부하를 분산시키는 작업을 수행하는 그림입니다.

6

부하 분산에 대한 자세한 내용은 "부하 분산 설정"을 참조하십시오.

전송 및 필터링

데이터 전송 시에는 Forwarder에서 이벤트를 source, source type 또는 이벤트 자체의 패턴과 같은 기준에 따라 특정Splunk Enterprise 또는 타사 서버로 전송합니다. 이벤트 수준에서 전송하려면 중량형 전달기(Heavy Forwarder)가 필요합니다.

또한 Forwarder에서는 이벤트를 필터링하고 특정 대기열로 전송하거나 null 대기열로 전송하여 이벤트를 모두 삭제할 수 있습니다.

다음은 중량형 전달기(Heavy Forwarder)에서 이벤트 패턴에 따라 세 가지 인덱서로 데이터를 전송하는 그림입니다.

7

전송 및 필터링에 대한 자세한 내용은 "데이터 전송 및 필터링"을 참조하십시오.

Forwarder와 클러스터

Forwarder를 사용하여 데이터를 클러스터의 피어 노드로 전송할 수 있습니다. 이 경우에는 부하 분산 Forwarder를 사용하는 것이 좋습니다.

다음은 데이터를 클러스터로 전송하는 부하 분산 Forwarder 2개의 그림입니다.

Forwarder와 클러스터에 대한 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "Forwarder를 사용하여 데이터 가져오

8

기"를 참조하십시오. 클러스터 전반에 대한 자세한 내용은 "클러스터 및 인덱스 복제에 대하여"를 참조하십시오.

비 Splunk 시스템에 전달

원시 데이터를 syslog aggregator 같은 타사 시스템으로 보낼 수 있습니다. 이 기능을 데이터 전송과 결합하여 일부 데이터를 비 Splunk 시스템으로 보내고 나머지 데이터를 하나 이상의 Splunk Enterprise 서버로 보낼 수 있습니다.

다음은 Forwarder 3개에서 Splunk Enterprise 서버 2대와 비 Splunk 시스템으로 데이터를 전송하는 그림입니다.

비 Splunk 시스템에 데이터를 전달하는 방법에 대한 자세한 내용은 "타사 시스템에 데이터 전달"을 참조하십시오.

중간 전달

고급 이용 사례를 처리하려는 경우 Forwarder 그룹과 인덱서 사이에 중간 Forwarder를 삽입할 수 있습니다. 이 시나리오 유형에서는 발신 Forwarder에서 데이터를 통합 Forwarder로 전송하고 통합 Forwarder는 일반적으로 데이터를 로컬 인덱싱한 후 인덱서에 다시 전달합니다.

중간 Forwarder는 일반적으로 "저장 후 전달" 요구 사항이나 로컬 검색을 지원하기 위해 중간 인덱스가 필요한 경우 사용됩니다. 이 경우에는 중량형 전달기(Heavy Forwarder)를 사용해야 합니다. 예를 들어 보안 상의 이유로 인덱서 컴퓨터에 대한액세스를 제한해야 하는 경우에도 중간 Forwarder를 사용할 수 있습니다.

중간 전달을 사용하려면 Forwarder를 Forwarder와 수신기로 모두 구성해야 합니다. 수신기 구성 방법에 대한 내용은 "수신기 활성화"를 참조하십시오.

전달 구성전달 및 수신 설정Forwarder 배포 토폴로지와 해당 토폴로지를 구현하는 데 필요한 Forwarder 유형을 결정한 후에 전달 및 수신을 설정하는절차는 간단합니다. 이 항목에서는 주요 절차에 대해 간략히 설명하고 자세한 항목으로 연결되는 링크를 제공합니다.

전달 및 수신을 설정하려면 기본적인 작업 2개를 다음 순서로 수행해야 합니다.

1. Splunk Enterprise 인덱서 하나 이상을 수신기로 설정합니다. 해당 수신기는 Forwarder로부터 데이터를 수신합니다.

2. Forwarder를 하나 이상 설정합니다. 해당 Forwarder는 수신기에 데이터를 전달합니다.

이 항목의 나머지 부분에서는 주요 관련 절차를 더 자세한 항목으로 연결되는 링크와 함께 나열합니다. 해당 절차는 범용 전달기(Universal Forwarder)를 사용할 때와 중량형/경량형 전달기(Heavy/Light Forwarder)를 사용할 때 약간 다릅니다. 범용전달기(Universal Forwarder)는 때때로 설치 및 구성을 한 단계에 완료할 수 있습니다. 중량형/경량형 전달기(Heavy/LightForwarder)는 전체 Splunk Enterprise 인스턴스로 먼저 설치한 다음 Forwarder로 구성합니다.

9

참고: 이 항목에서는 수신기가 인덱서라고 가정하지만, 다른 항목에서 설명하는 일부 시나리오에서는 Forwarder가 수신기역할도 합니다. 설정은 수신기 유형에 관계 없이 기본적으로 동일합니다.

참고: Forwarder와 수신기 간의 통신에서 HTTP 프로토콜을 사용하지 않기 때문에 프록시를 통해 데이터를 전송할 수 없습니다.


Forwarder를 사용하여 데이터를 클러스터의 피어 노드로 전송할 때 전달과 수신을 설정하는 방법은 이 항목에서 일반적으로 설명하는 방법과 약간 다릅니다. Forwarder와 클러스터에 대한 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의"Forwarder를 사용하여 데이터 가져오기"를 참조하십시오.

전달 및 수신 설정: 범용 전달기(Universal Forwarder)

1. 수신기로 사용할 전체 Splunk Enterprise 인스턴스를 설치합니다. 자세한 내용은 설치 매뉴얼을 참조하십시오.

2. Splunk Web 또는 CLI를 사용하여 수신기로 지정한 인스턴스에서 수신을 활성화합니다. 이 매뉴얼의 "수신기 활성화"를참조하십시오.

3. 범용 전달기(Universal Forwarder)를 설치 및 구성하고 배포합니다. 전달 관련 요구 사항에 따른 최선의 배포 시나리오가있습니다. 자세한 내용은 "범용 전달기(Universal Forwarder) 배포 개요"를 참조하십시오. 일부 시나리오에서는 설치 프로세스 중에 Forwarder를 설정할 수 있습니다.

4. 설치 중에 아직 각 범용 전달기(Universal Forwarder)에 대해 데이터 입력을 지정하지 않은 경우 지금 지정해야 합니다. 데이터 가져오기 매뉴얼의 "Splunk Enterprise에서 인덱스할 수 있는 대상"을 참조하십시오.

참고: 범용 전달기(Universal Forwarder)에는 Splunk Web이 포함되어 있지 않으므로 CLI 또는 inputs.conf를 통해 입력을구성해야 하며, Splunk Web에서 입력을 구성할 수 없습니다.

5. 설치 중에 아직 각 범용 전달기(Universal Forwarder)의 출력 구성을 지정하지 않은 경우 지금 지정해야 합니다. 이 작업은CLI를 통해 수행하거나 outputs.conf 파일을 편집하여 수행할 수 있습니다. outputs.conf를 편집하여 최적으로 사용할 수 있습니다. 자세한 내용은 이 항목의 "outputs.conf에서 Forwarder 구성" 및 기타 관련 항목을 참조하십시오.

6. 결과를 테스트하여 전달과 부하 분산 또는 필터링 같은 설정된 동작이 모두 올바르게 실행되는지 확인합니다.

전달 및 수신 설정: 중량형 전달기(Heavy Forwarder)또는 경량형 전달기(Light Forwarder)


1. Forwarder 및 수신기로 사용할 전체 Splunk Enterprise 인스턴스를 설치합니다. 자세한 내용은 설치 매뉴얼을 참조하십시오.

2. Splunk Web 또는 CLI를 사용하여 수신기로 지정한 인스턴스에서 수신을 활성화합니다. 이 매뉴얼의 "수신기 활성화"를참조하십시오.

3. Splunk Web 또는 CLI를 사용하여 Forwarder로 지정한 인스턴스에서 전달을 활성화합니다. 이 매뉴얼의 "중량형 전달기(Heavy Forwarder) 또는 경량형 전달기(Light Forwarder) 배포"를 참조하십시오.

4. Forwarder의 데이터 입력을 일반적인 방법으로 지정합니다. 데이터 가져오기 매뉴얼의 "Splunk Enterprise에서 인덱스할 수 있는 대상"을 참조하십시오.

5. Forwarder의 출력 구성을 지정합니다. 이 작업은 Splunk Web 또는 CLI를 통해 수행하거나 outputs.conf 파일을 편집하여수행할 수 있습니다. outputs.conf를 편집하여 최적으로 사용할 수 있습니다. 자세한 내용은 "중량형 전달기(HeavyForwarder) 또는 경량형 전달기(Light Forwarder) 배포"와 이 장의 "outputs.conf에서 Forwarder 구성"과 같은 기타 항목을 참조하십시오.

6. 결과를 테스트하여 전달과 부하 분산 또는 전송 등의 구성된 동작이 모두 올바르게 실행되는지 확인합니다.

Forwarder 관리

Forwarder가 여러 개인 환경에서는 배포 서버를 사용하여 Forwarder를 업데이트하고 관리하면 유용할 수 있습니다.Splunk Enterprise 인스턴스 업데이트 매뉴얼의 "배포 서버에 대하여"를 참조하십시오.

Forwarder 상태를 확인하려면 배포 모니터를 사용할 수 있습니다.

Forwarder와 인덱서 간 호환성Forwarder와 수신 인덱서 사이에는 버전 호환성과 관련된 다음과 같은 제약이 있습니다.

6.x Forwarder(범용/경량형/중량형(Universal/Light/Heavy))는 5.0.x 버전 이상의 인덱서까지 호환됩니다.6.x 인덱서는 5.0.x 버전의 Forwarder까지 호환됩니다.

6.0 버전의 다음과 같은 기능은 인덱서와 Forwarder 버전이 모두 6.0 이상인 경우에만 사용할 수 있습니다.

10

동적 파일 헤더Forwarder의 표준 시간대 전송. 중간 링크가 경량형 전달기(Light Forwarder) 또는 범용 전달기(UniversalForwarder)인 다중 레벨 전달 시나리오의 다중 전달 링크에서는 6.0+ 프로토콜의 표준 시간대 전송 기능이 유지되지않습니다.

앱별 호환성 제약에 대해 알아보려면 Splunk 앱에서 해당 앱의 설명서를 확인하십시오.

인덱서의 버전 레벨은 데이터를 해당 인덱서에 전송하는 Forwarder의 버전 레벨 이상이어야 합니다.

수신기 활성화전달과 수신을 활성화하려면 수신기와 Forwarder를 모두 구성합니다. 수신기는 데이터를 수신하는 Splunk Enterprise 인스턴스이고 Forwarder는 데이터를 수신기로 보냅니다.

필요(예: 부하 분산 활성화)에 따라 각 Forwarder에 수신기가 여러 개 있을 수 있습니다. 반대로, 수신기 하나는 일반적으로여러 Forwarder로부터 데이터를 수신합니다.

수신기는 Forwarder에서 전송한 데이터를 수신하도록 구성된 Splunk Enterprise 인덱서(일반적인 경우)이거나 다른Forwarder("중간 Forwarder"라고 함)입니다.

수신기를 먼저 설정해야 합니다. 그런 다음 해당 수신기에 데이터를 전송하도록 Forwarder를 설정할 수 있습니다.

수신 설정

Splunk Enterprise 인스턴스(인덱서 또는 Forwarder)를 수신기로 설정하려면 해당 인스턴스를 먼저 설치해야 합니다. 그런다음 Splunk Web, CLI 또는 inputs.conf 구성 파일을 통해 인스턴스에서 수신을 활성화할 수 있습니다.

Splunk Web을 통한 수신 설정

Splunk Web을 사용하여 다음과 같이 수신기를 설정하십시오.

1. Forwarder로부터 데이터를 수신할 서버에서 Splunk Web에 관리자로 로그인합니다.

2. 페이지 상단의 설정 링크를 클릭합니다.

3. 데이터 영역에서 전달 및 수신을 선택합니다.

4. 데이터 수신 절에서 새로 추가를 클릭합니다.

5. 수신기에서 수신을 대기할 TCP 포트를 지정합니다(수신 대기 포트. 수신 포트라고도 함). 예를 들어, "9997"을 입력한 경우 수신기는 포트 9997에서 데이터를 수신합니다. 규칙에 따라 수신기는 포트 9997에서 수신을 대기하지만 사용하지 않는아무 포트나 지정할 수 있습니다. netstat 등의 도구를 사용하여 시스템에서 사용 가능한 포트를 확인할 수 있습니다.splunkweb 또는 splunkd에서 사용 중이 아닌 포트를 선택해야 합니다.

6. 저장을 클릭합니다. 프로세스를 완료하려면 인스턴스를 재시작해야 합니다.

Splunk CLI를 통한 수신 설정

수신을 활성화하려면 다음 CLI 명령어를 실행하십시오.

splunk enable listen <port> -auth <username>:<password>

<port>를 수신기에서 수신 대기할 포트(수신 포트)로 대체합니다. 예를 들어, "9997"을 입력한 경우 수신기는 포트 9997에서데이터를 수신합니다. 규칙에 따라 수신기는 포트 9997에서 수신을 대기하지만 사용하지 않는 아무 포트나 지정할 수 있습니다. netstat 등의 도구를 사용하여 시스템에서 사용 가능한 포트를 확인할 수 있습니다. splunkweb 또는 splunkd에서 사용중이 아닌 포트를 선택해야 합니다.

splunk enable listen 명령어를 실행하면 [splunktcp] 스탠자가 inputs.conf에 생성됩니다. 예를 들어, 포트를 "9997"로 설정하면 [splunktcp://9997] 스탠자가 생성됩니다.

구성 파일을 통한 수신 설정

$SPLUNK_HOME/etc/system/local에 있는 inputs.conf를 구성하여 Splunk Enterprise 인스턴스에서 수신을 활성화할 수 있습니다. 범용 전달기(Universal Forwarder)를 중간 전달기(수신기 기능도 수행하는 Forwarder)로 구성하려면 이 방법을 사용하십시오.

수신을 활성화하려면 수신 포트를 지정하는 [splunktcp] 스탠자를 추가하십시오. 이 예에서 수신 포트는 9997입니다.

[splunktcp://9997]disabled = 0

자세한 내용은 inputs.conf spec 파일을 참조하십시오.

11

참고: [splunktcp://9997] 및 [splunktcp://:9997] 양식(콜론 1개 또는 2개)은 의미가 같습니다. 둘 중 하나를 사용하십시오.

다른 운영 체제에서 실행되는 Forwarder로부터 수신한 데이터 검색

다른 OS에서 실행되는 Forwarder로부터 데이터를 수신하는 Splunk Enterprise 인스턴스의 경우 대부분 해당 OS를 지원하는 앱을 설치해야 합니다. 그러나 이와 관련된 복잡한 사항들이 많습니다. 자세한 내용은 아래 항목을 참조하십시오.

전달과 인덱싱은 OS 독립 작업입니다. 인증된 OS에서 실행되는 모든 Forwarder와 수신기의 조합을 사용할 수 있습니다. 예를 들어 Linux 수신기는 Windows 범용 전달기(Universal Forwarder)로부터 수신한 데이터를 인덱싱할 수 있습니다.

데이터를 전달 및 인덱싱한 후의 다음 단계에는 데이터를 검색하거나 기타 데이터에 대한 지식 기반 작업을 수행합니다. 이때 해당 작업을 수행하는 인스턴스에는 조사할 데이터가 전송된 OS에 대한 정보가 필요할 수 있습니다. 이 문제는 일반적으로 해당 OS를 지원하는 앱을 설치하여 해결합니다. 예를 들어, Linux 인스턴스에서 Windows로부터 전달된 OS 관련 데이터를 검색하도록 하려면 일반적으로 Linux 인스턴스에 Windows 앱을 설치해야 합니다.

웹 로그와 같이 OS와 관련이 없는 데이터에 관심이 있다면 Splunk OS 앱을 설치하지 않아도 됩니다.

또한 수신기에서는 데이터 인덱싱만 하고 외부 검색 헤드에서 실제 검색을 수행할 경우에는 OS 앱을 수신기에 설치하지 않아도 되지만 검색 헤드에는 설치해야 합니다. 또는 해당 OS를 실행하는 검색 헤드를 사용할 수 있습니다. 예를 들어Windows에서 Linux 수신기에 전달된 데이터를 검색하려면 Linux 인덱서가 원격 검색 피어로 연결된 Windows 검색 헤드를사용할 수 있습니다. 검색 헤드에 대한 자세한 내용은 "분산 검색에 대하여"를 참조하십시오.

중요: 관련 OS 앱을 다운로드한 후 앱을 활성화하기 전에 inputs.conf 파일을 제거하여 기본 입력이 인덱서에 추가되지 않도록 하십시오. Windows 앱의 경우 이 파일은 다음 위치에 있습니다. %SPLUNK_HOME%\etc\apps\windows\default\inputs.conf.

요약하자면 수신기에서 전달된 OS 데이터를 검색하려는 경우 수신기(또는 검색 헤드)에만 Forwarder의 OS를 지원하는 앱을 설치하면 됩니다.

Forwarder와 수신기 연결 문제 해결

수신기의 수신기 및 관리 포트 혼동

Forwarder 설정 중에 수신기의 hostname/IP_address와 port를 지정하십시오. Forwarder에서 이 설정을 사용하여 데이터를수신기로 전송합니다. 수신기를 구성할 때 수신 포트로 설정한 포트를 지정해야 합니다. 수신기의 관리 포트를 잘못 지정한경우 수신기에서 다음과 같은 오류가 발생합니다.

splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error = error:140760FC:SSLroutines:SSL23_GET_CLIENT_HELLO:unknown protocolsplunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - ACCEPT_RESULT=-1 VERIFY_RESULT=0splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error for fd from HOST:localhost.localdomain,IP:127.0.0.1, PORT:53075splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error = error:140760FC:SSLroutines:SSL23_GET_CLIENT_HELLO:unknown protocolsplunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - ACCEPT_RESULT=-1 VERIFY_RESULT=0splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error for fd from HOST:localhost.localdomain,IP:127.0.0.1, PORT:53076splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error = error:140760FC:SSLroutines:SSL23_GET_CLIENT_HELLO:unknown protocolsplunkd.log:03-01-2010 13:35:28.654 ERROR TcpInputFd - ACCEPT_RESULT=-1 VERIFY_RESULT=0splunkd.log:03-01-2010 13:35:28.654 ERROR TcpInputFd - SSL Error for fd from HOST:localhost.localdomain,IP:127.0.0.1, PORT:53077splunkd.log:03-01-2010 13:35:28.654 ERROR TcpInputFd - SSL Error = error:140760FC:SSLroutines:SSL23_GET_CLIENT_HELLO:unknown protocolsplunkd.log:03-01-2010 13:35:28.654 ERROR TcpInputFd - ACCEPT_RESULT=-1 VERIFY_RESULT=0

수신기 소켓 닫힘

수신 인덱서의 대기열이 가득 차면 다른 Forwarder에서 인덱서에 연결하지 못하도록 수신기 소켓이 닫힙니다. 부하 분산이활성화된 Forwarder는 해당 수신기로 데이터를 더 이상 전달할 수 없을 경우 리스트에 있는 다른 인덱서로 데이터를 보냅니다. Forwarder에서 부하 분산을 사용하지 않을 경우에는 문제가 해결될 때까지 데이터 전송을 보류합니다.

대기열이 비면 수신기 소켓이 자동으로 다시 열립니다.

일반적으로 수신기에서 데이터 흐름의 처리가 지연되는 이유는 디스크가 가득 찼거나 수신기 자체에서 데이터를 수신하지않는 다른 Splunk Enterprise 인스턴스에 데이터를 전달하여 데이터를 더 이상 작성할 수 없기 때문입니다.

소켓이 차단되면 splunkd.log에 다음과 같은 경고 메시지가 표시됩니다.

Stopping all listening ports. Queues blocked for more than N seconds.

소켓이 다시 열리면 다음 메시지가 표시됩니다.

12

Started listening on tcp ports. Queues unblocked.

수신 비활성화

CLI를 통해 수신을 비활성화하려면 splunk disable listen 명령어를 실행하십시오.

splunk disable listen -port <port> -auth <username>:<password>

inputs.conf에서 [splunktcp] 스탠자를 삭제하여 수신을 비활성화할 수도 있습니다.

답변

질문이 있으십니까? Splunk Answers 페이지에 가면 전달 구성과 관련하여 Splunk 커뮤니티에서 올린 질문과 답변을 볼 수있습니다.

여러 컴퓨터에서 전송된 데이터 통합전달 기능은 일반적으로 여러 컴퓨터에서 발신된 데이터를 통합하기 위해 가장 많이 사용됩니다. 여러 컴퓨터에 있는Forwarder에서는 데이터를 중앙 Splunk Enterprise 인덱서에 전달합니다. 범용 전달기(Universal Forwarder)는 공간이 작기 때문에 일반적으로 컴퓨터의 성능에 거의 영향을 미치지 않습니다. 다음은 다양한 운영 체제를 실행하는 컴퓨터에 상주하는 범용 전달기(Universal Forwarder)에서 모든 데이터를 인덱싱하고 검색하는 기능을 제공하는 단일 Splunk Enterprise 인스턴스로 데이터를 전송하는 일반적인 시나리오에 대해 설명하는 그림입니다.

여기서는 소규모 배포 환경에 대해 설명합니다. 실제로 데이터 통합에 사용되는 범용 전달기(Universal Forwarder) 수는 수천에 이를 수 있습니다.

이러한 사례 유형은 쉽게 구성할 수 있습니다.

1. 어떤 컴퓨터에서 전송된 어떤 데이터에 액세스해야 하는지 확인합니다.

2. 일반적으로 Splunk Enterprise 인스턴스를 전용 서버에 설치합니다. 이 인스턴스는 수신기 역할을 수행하고, 모든 인덱싱및 검색이 이 인스턴스에서 이루어집니다.

3. Splunk Web 또는 CLI를 통해 인스턴스를 수신기로 설정합니다. CLI를 사용하여 $SPLUNK_HOME/bin/에서 다음 명령어를 입력합니다.

./splunk enable listen <port> -auth <username>:<password>

<port>,를 수신기에서 수신 대기할 포트로 대체합니다. 이 포트를 "수신기 포트"라고도 합니다.

13

4. 수신기와 다른 운영 체제에서 실행할 범용 전달기(Universal Forwarder)가 있으면 Forwarder의 OS 앱을 수신기에 설치합니다. 예를 들어 위 그림의 수신기가 Linux 컴퓨터에서 실행될 경우 수신기에 Windows 앱을 설치해야 합니다. *nix 앱도설치해야 할 수 있습니다. 그러나 수신기가 Linux에 설치되어 있으므로 해당 앱은 이미 설치한 상태입니다. 자세한 내용은 여기에서 확인할 수 있습니다.

관련 앱을 다운로드한 후 활성화하기 전에 inputs.conf 파일을 제거하여 기본 입력이 인덱서에 추가되지 않도록 하십시오.Windows 앱의 경우 이 파일은 다음 위치에 있습니다. $SPLUNK_HOME/etc/apps/windows/default/inputs.conf.

5. 범용 전달기(Universal Forwarder)를 데이터를 생성할 컴퓨터에 각각 설치합니다. 해당 Forwarder는 데이터를 수신기에전달합니다.

6. 각 Forwarder에 대해 입력을 설정합니다. "Splunk Enterprise에서 인덱스할 수 있는 대상"을 참조하십시오.

7. 수신기에 데이터를 전달하도록 각 Forwarder를 구성합니다. Windows Forwarder의 경우에는 이 작업을 설치 시 수행할수 있습니다(여기 참조). *nix Forwarder의 경우에는 이 작업을 CLI를 통해 수행해야 합니다.

./splunk add forward-server <host>:<port> -auth <username>:<password>

<host>:<port>,의 경우 수신기의 호스트 및 수신기 포트 번호를 대체합니다. 예: splunk_indexer.acme.com:9995.

Forwarder가 여러 개인 경우에는 outputs.conf 파일을 사용하여 수신기를 지정할 수 있습니다. 예:

[tcpout:my_indexers]server= splunk_indexer.acme.com:9995

이 파일을 한 번 만든 후에 파일의 복사본을 각 Forwarder에 배포할 수 있습니다.

부하 분산 설정부하 분산을 사용하면 Forwarder에서 데이터를 여러 수신 Splunk Enterprise 인스턴스에 배포합니다. 각 수신기는 전체 데이터의 일부를 수신하고 모든 데이터가 전체 수신기에 걸쳐 저장됩니다. 전달된 데이터에 모두 액세스하려면 모든 수신기에걸쳐 분산 검색을 설정해야 합니다. 분산 검색에 대한 내용은 분산 검색 매뉴얼의 "분산 검색에 대하여"를 참조하십시오.

부하 분산을 사용하면 수평 확장을 통해 성능을 개선할 수 있습니다. 또한 부하 분산의 자동 전환 기능은 컴퓨터 작동 중단 시복원력을 보장합니다. 컴퓨터 작동이 중단되면 Forwarder에서는 사용 가능한 다음 수신기로 데이터를 보내기 시작합니다.

부하 분산은 라우터 같은 네트워크 장치에서 데이터를 가져올 때도 유용할 수 있습니다. syslog와 포트 514에서 생성된 기타데이터를 처리하기 위해 단일 중량형 전달기(Heavy Forwarder)에서 포트 514를 모니터링하고 수신 데이터를 여러 인덱서에 배포할 수 있습니다.

참고: Forwarder와 수신기 사이에 부하 분산을 구현할 경우 Forwarder의 고유 기능을 사용해야 합니다. 외부 부하 분산 장치를 사용하지 마십시오. Forwarder와 수신기 사이에 외부 부하 분산 장치를 사용하면 올바르게 작동하지 않습니다. 시스템의 부하 분포를 모니터링할 준비가 되어 있지 않고 이러한 종류의 문제점이 발생하는 시점을 확인해야 할 책임이 있지 않다면 이를 시도하지 마십시오.

부하 분산 작동 방식

Forwarder는 "자동 부하 분산"을 수행합니다. Forwarder는 지정된 시간 간격을 기준으로 다른 인덱서로 데이터 경로를 설정합니다. 예를 들어, A, B, C라는 세 개의 인덱서를 구성하는 부하 분산 그룹이 있다고 가정해보겠습니다. 지정된 간격으로, 예를 들어, 30초마다 Forwarder는 데이터 스트림을 임의로 선택된 그룹의 또 다른 인덱서로 전환합니다. 즉, Forwarder는 인덱서 B에서 인덱서 A, 또는 인덱서 C로 전환될 수 있습니다. 한 인덱서 작동이 중단되면 Forwarder는 즉시 다른 노드로 전환합니다.

Forwarder가 모니터링하도록 구성된 입력 정보마다 데이터 스트림이 있습니다. Forwarder는 데이터 스트림을 다른 인덱서로 전환하는 것이 안전한지 결정합니다. 그런 다음 지정된 간격마다 데이터 스트림을 새로 선택된 인덱서로 전환합니다. 데이터 스트림을 새로운 인덱서로 안전하게 전환할 수 없는 경우 이전 인덱서와의 연결을 열어두고 데이터가 안전하게 전송될 때까지 계속해서 데이터 스트림을 보냅니다.

중요: 범용 전달기(Universal Forwarder)는 TCP 네트워크 데이터 스트림(Syslog 포함)을 모니터링할 때 EOF에 도달하거나 인덱서 작동이 중단되지 않는 경우 인덱서를 전환할 수 없습니다. EOF에 도달하거나 인덱서 작동이 중단되면 Forwarder가 인덱서를 리스트의 다음 인덱서로 자동 전환합니다. 범용 전달기(Universal Forwarder)는 (중량형 전달기(HeavyForwarder)와 달리) 데이터를 인덱서에 전달하기 전에 데이터를 파싱하고 이벤트 경계를 확인하지 않기 때문에 EOF를 수신하지 않는 경우에는 다음 인덱서로 안전하게 전환할 수 있는 시기를 알 수 없습니다.

참고: 과거에 자동 부하 분산 대신 사용할 수 있었던 라운드 로빈 부하 분산은 Splunk Enterprise 4.2 버전부터 지원이 중단되었습니다.

다음은 Forwarder 3개에서 부하 분산 데이터를 두 개의 수신 인덱서 집합으로 보내는 일반적인 부하 분산 시나리오의 그림입니다.

14

부하 분산 대상

대상 수신기 집합을 구성할 경우 DNS 또는 고정 리스트를 사용할 수 있습니다.

DNS 리스트를 사용하면 특히 배포 규모가 클 때 보다 유연하고 수직 확장이 간단합니다. DNS를 통해 각 Forwarder의outputs.conf 파일을 다시 편집하지 않고도 수신기 집합을 변경할 수 있습니다.

고정 리스트의 중요한 장점은 각 수신기에 서로 다른 포트를 지정할 수 있다는 데 있습니다. 이 기능은 단일 호스트에서 실행하는 여러 수신기에 걸쳐 부하 분산을 수행해야 할 경우에 유용합니다. 각 수신기는 서로 다른 포트에서 수신을 대기할 수 있습니다.

고정 리스트 대상

대상에 대한 고정 리스트를 사용하려면 Forwarder의 outputs.conf 파일에 있는 대상 그룹의 [tcpout] 스탠자에서 각 수신기를 지정하십시오. 이 예에서 대상 그룹은 IP 주소와 수신기 포트에서 지정된 수신기 3개로 구성됩니다.

[tcpout: my_LB_indexers]server=10.10.10.1:9997,10.10.10.2:9996,10.10.10.3:9995

범용 전달기(Universal Forwarder)는 리스트에 있는 수신기 3개에 부하를 분산시킵니다. 수신기 하나의 작동이 중단되면Forwarder에서 수신기를 리스트의 다른 수신기로 자동 전환합니다.

DNS 리스트 대상

DNS 리스트를 사용하려면 Forwarder의 outputs.conf 파일을 편집하여 대상 그룹의 [tcpout] 스탠자에서 호스트 하나를 지정하십시오. 예:

[tcpout:my_LB_indexers]server=splunkreceiver.mycompany.com:9997

DNS 서버에서 각 호스트의 IP 주소에 대해 outputs.conf.에서 지정한 서버 이름을 참조하여 DNS A 레코드를 만듭니다. 예:

splunkreceiver.mycompany.com A 10.10.10.1splunkreceiver.mycompany.com A 10.10.10.2splunkreceiver.mycompany.com A 10.10.10.3

Forwarder는 DNS 리스트를 사용하여 지정된 수신기를 번갈아 전환하면서 데이터를 정해진 간격으로 전송하는 방법으로 부하를 분산시킵니다. 사용할 수 없는 수신기가 있으면 Forwarder에서 해당 수신기를 건너뛰고 리스트에 있는 다른 수신기로데이터를 보냅니다.

15

토폴로지에 Forwarder가 여러 개인 경우 DNS 리스트 방식을 사용하면 Forwarder의 outputs.conf 파일을 수정하지 않고 한위치의 변경 사항만 적용하여 여러 수신기를 업데이트할 수 있습니다.

수평 확장을 위한 부하 분산 구성

부하 분산을 구성하려면 특히 수평 확장 및 페일오버 요구 사항 등의 필요한 항목을 먼저 파악해야 합니다. 그런 다음 해당 요구 사항을 기준으로 여러 Forwarder와 수신기, 그리고 여러 수신기에 걸쳐 검색을 실행할 검색 헤드로 구성될 수 있는 토폴로지를 개발합니다.

토폴로지에 3개의 범용 전달기(Universal Forwarder) 및 3개의 수신기가 있다고 가정하고 다음 단계를 통해 DNS 기반 부하분산을 설정합니다.

1. Splunk Enterprise 인스턴스 3개를 설치하고 수신기로 설정합니다. 이 예에서는 DNS 리스트를 사용하여 수신기를 지정하므로, 모든 수신기의 수신 대기 포트가 동일해야 합니다. 예를 들어, 포트가 9997번이면 각 수신기의 $SPLUNK_HOME/bin/ 위치로 이동하고 다음 CLI 명령어를 사용하여 각 수신기를 활성화하십시오.

./splunk enable listen 9997 -auth <username>:<password>

2. 여기에 설명된 대로 범용 전달기(Universal Forwarder) 집합을 설치합니다.

3. 각 수신기의 IP 주소에 대해 A 레코드가 있는 DNS 리스트를 설정합니다.

splunkreceiver.mycompany.com A 10.10.10.1splunkreceiver.mycompany.com A 10.10.10.2splunkreceiver.mycompany.com A 10.10.10.3

4. 모든 Forwarder에서 사용할 단일 outputs.conf 파일을 만듭니다. 다음 파일은 DNS 리스트에서 사용되는 DNS 서버 이름과 수신기의 수신 대기 포트를 지정합니다.

[tcpout]defaultGroup=my_LB_indexers

[tcpout:my_LB_indexers]disabled=falseautoLBFrequency=40server=splunkreceiver.mycompany.com:9997

이 outputs.conf 파일에서는 autoLBFrequency 속성을 사용하여 부하 분산 간격을 40초로 설정합니다. 각 Forwarder에서는40초마다 수신기를 다른 수신기로 전환합니다. 기본 간격은 30초로, 변경할 필요가 거의 없습니다.

5. outputs.conf 파일을 모든 Forwarder에 배포합니다. 배포 서버를 사용하여 배포 작업을 처리할 수 있습니다.

DNS 대신 고정 리스트를 사용할 경우 단계가 유사합니다.

CLI에서 부하 분산 지정

CLI를 사용하여 부하 분산을 지정할 수도 있습니다. 다음 구문을 사용하여 여러 수신기에 전달하기 시작할 때 이 작업을 수행하십시오.

./splunk add forward-server <host>:<port> -method autobalance

여기서 <host>:<port>는 수신기의 호스트 및 수신기 포트입니다.

다음은 수신기 4개로 구성된 부하 분산 그룹을 만드는 예입니다.

./splunk add forward-server indexer1:9997 -method autobalance




범용 전달기(Universal Forwarder)범용 전달기(Universal Forwarder) 소개범용 전달기(Universal Forwarder)는 Splunk의 경량형 전달기(Lightweight Forwarder)입니다. 범용 전달기(UniversalForwarder)는 다양한 입력에서 생성된 데이터를 수집하고 인덱싱 및 검색을 위해 Splunk Enterprise 서버에 전달하는 데 사용합니다.

분산 배포 매뉴얼의 이 항목에서는 다양한 시스템 및 필요에 따라 범용 전달기(Universal Forwarder)를 배포하는 방법에 대16

해 설명합니다. 다양한 유형의 Forwarder에 대한 내용과 각 Forwarder를 다양한 토폴로지 및 용도에 맞게 구성하는 방법에대한 자세한 내용은 이 매뉴얼의 "데이터 전달" 장을 참조하십시오.

범용 전달기(Universal Forwarder)는 경량형 전달기(Light Forwarder)를 대체합니다.

참고: 범용 전달기(Universal Forwarder)는 전체 Splunk Enterprise에서 별도로 실행할 수 있습니다. 전체 SplunkEnterprise 인스턴스와 범용 전달기(Universal Forwarder)는 같은 시스템에 공존할 수 있습니다.

범용 전달기(Universal Forwarder) 배포에 대한 내용은 "범용 전달기(Universal Forwarder) 배포 개요"를 참조하십시오.

범용 전달기(Universal Forwarder)와 전체 Splunk Enterprise 비교

범용 전달기(Universal Forwarder)는 데이터 전달에만 사용됩니다. 범용 전달기(Universal Forwarder)는 전체 SplunkEnterprise 인스턴스와 달리 데이터를 인덱싱하거나 검색하는 데 사용할 수 없습니다. 성능을 개선하고 공간을 줄인 범용 전달기(Universal Forwarder)는 다음과 같은 한계가 있습니다.

범용 전달기(Universal Forwarder)에는 검색 또는 인덱싱이나 경고 기능이 없습니다.범용 전달기(Universal Forwarder)는 데이터를 파싱하지 않습니다.범용 전달기(Universal Forwarder)는 syslog를 통해 데이터를 출력하지 않습니다.범용 전달기(Universal Forwarder)에는 전체 Splunk Enterprise와 달리 Python 번들 버전이 없습니다.

스크립트된 입력과 Python

전체 Splunk Enterprise에는 Python이 번들로 포함됩니다. 그러나 범용 전달기(Universal Forwarder)에는 Python이 번들로 포함되지 않으므로, 현재 스크립트된 입력을 Python과 함께 사용하고 있는데 해당 스크립트를 범용 전달기(UniversalForwarder)와 함께 사용하려면 자체 Python 버전을 먼저 설치해야 합니다. Splunk의 Python 라이브러리 전용 호출을 사용해 온 경우 해당 라이브러리가 전체 Splunk Enterprise에만 있기 때문에 범용 전달기(Universal Forwarder)를 통해 Python라이브러리 전용 호출을 사용할 수 없습니다. 대상 호스트에서 지원되는 다른 스트립트 언어를 범용 전달기(UniversalForwarder)를 통해 스크립트된 입력에 사용할 수 있습니다(예: Windows Server 2008의 Powershell).

범용 전달기(Universal Forwarder)와 경량형 전달기(Light Forwarder) 비교

범용 전달기(Universal Forwarder)는 다른 Splunk Enterprise 인스턴스에 데이터를 전달하는 데 필요한 구성 요소만 포함되어 있는 간소화된 전용 Forwarder입니다. 경량형 전달기(Light Forwarder)는 일부 기능을 비활성화하여 설치 공간을 줄인전체 Splunk Enterprise 인스턴스입니다. 범용 전달기(Universal Forwarder)는 모든 면에서 데이터를 인덱서에 전달하는 보다 효과적인 도구입니다. 범용 전달기(Universal Forwarder)를 설치할 때는 4.0 버전 이상의 기존 경량형 전달기(LightForwarder)에서 마이그레이션할 수 있습니다. 자세한 내용은 "경량형 전달기(Light Forwarder)에서 마이그레이션"을 참조하십시오.

범용 전달기(Universal Forwarder)는 경량형 전달기(Light Forwarder)에 비해 성능이 더 우수하면서도 더 간소화된 전달 솔루션입니다. 범용 전달기(Universal Forwarder)와 경량형 전달기(Light Forwarder)의 중요한 기술적 차이점은 다음과 같습니다.

범용 전달기(Universal Forwarder)는 CPU에 대한 부하가 더 적고, 메모리를 더 적게 사용하며, 디스크 공간을 더 적게차지합니다.범용 전달기(Universal Forwarder)의 기본 데이터 전송률은 256Kbps입니다.범용 전달기(Universal Forwarder)에는 Python이 번들로 제공되지 않습니다.범용 전달기(Universal Forwarder)는 Forwarder 기능만 수행하며, 전체 Splunk Enterprise 인스턴스로 변환할 수 없습니다.


계속 읽으십시오!

범용 전달기(Universal Forwarder) 배포에 대한 내용은 다음에 나오는 관련 항목을 참조하십시오.

범용 전달기(Universal Forwarder)를 데이터 전달에 사용하고 다양한 분산 토폴로지에 사용하는 방법에 대한 내용은 이 매뉴얼의 "데이터 전달" 절에서 관련 항목을 참조하십시오. 해당 항목에서는 중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)에 대해서도 설명합니다.

Splunk Enterprise 범용 전달기(Universal Forwarder)의 Windows 버전과 함께 제공되는 타사 Windows 바이너리에 대한내용은 설치 매뉴얼의 "Splunk Enterprise와 함께 배포되는 Windows 타사 바이너리에 대한 정보"를 참조하십시오.

범용 전달기(Universal Forwarder)를 Windows 안전 모드에서 실행하는 방법에 대한 내용은 설치 매뉴얼의 "SplunkEnterprise 아키텍처 및 프로세스"를 참조하십시오.

배포 개요이 장의 각 항목에서는 범용 전달기(Universal Forwarder)를 설치 및 배포하는 방법에 대해 설명합니다. 여기에는 다양한시나리오에서 Forwarder를 설치 및 구성하는 데 초점을 맞춘 사용 사례가 나와 있습니다.

중요: 범용 전달기(Universal Forwarder)를 배포하기 전에 전달 기능의 원리와 광범위한 모든 구성 문제에 대해 숙지해야 합니다. 자세한 내용은

17

전달 및 Forwarder 개요는 "데이터 전달" 장의 관련 항목에서 확인하십시오.Forwarder 구성 방법은 "전달 구성" 장의 관련 항목에서 확인하십시오.전달 및 수신 구성의 개요는 "전달 및 수신 설정: 범용 전달기(Universal Forwarder)" 하위 항목에서 확인하십시오.

배포 유형

주요 범용 전달기(Universal Forwarder) 배포 시나리오는 다음과 같습니다.

설치 프로그램 GUI를 사용하거나 명령줄에서 Windows 범용 전달기(Universal Forwarder) 수동 배포CLI를 사용하여 nix 범용 전달기(Universal Forwarder) 수동 배포 및 구성범용 전달기(Universal Forwarder)(Windows 또는 nix) 원격 배포시스템 이미지의 일부로 범용 전달기(Universal Forwarder) 구성

각 시나리오에 대해서는 별도의 항목에서 설명하며, 대부분의 시나리오에는 Windows 및 *nix 항목이 별도로 있습니다.

참고: 범용 전달기(Universal Forwarder)는 다운로드 가능한 독립 실행 파일로, 전체 Splunk Enterprise와 분리되어 있습니다. 중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)와 달리 범용 전달기(Universal Forwarder)는 전체 Splunk Enterprise 인스턴스에서 활성화하지 않습니다. 범용 전달기(Universal Forwarder)를 다운로드하려면http://www.splunk.com/download/universalforwarder로 이동하십시오.

시작하기 전에


Forwarder를 사용하여 데이터를 클러스터의 피어 노드로 전송하는 방법은 이 항목에서 설명하는 방법과 약간 다릅니다.Forwarder와 클러스터에 대한 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "Forwarder를 사용하여 데이터 가져오기"를 참조하십시오.

인덱서와 범용 전달기(Universal Forwarder)의 호환성

자세한 내용은 "Forwarder와 인덱서 간 호환성"을 참조하십시오.

시스템 요구 사항

특정 하드웨어 요구 사항과 지원 운영 체제는 설치 매뉴얼을 참조하십시오.

라이선싱 요구 사항

범용 전달기(Universal Forwarder)는 이미 설치된 라이선스와 함께 제공됩니다. 자세한 내용은 관리자 매뉴얼의 "SplunkEnterprise 라이선스 유형"을 참조하십시오.

기타 요구 사항

범용 전달기(Universal Forwarder)를 설치할 컴퓨터에 대해 관리자 또는 동등한 권한이 있어야 합니다.

배포 절차

실제 절차는 배포 유형에 따라 다르지만 일반적인 절차는 다음과 같습니다.

1. 배포를 계획합니다.

2. http://www.splunk.com/download/universalforwarder에서 범용 전달기(Universal Forwarder)를 다운로드합니다.

3. 범용 전달기(Universal Forwarder)를 테스트 컴퓨터에 설치합니다.

4. 설치 후 구성을 모두 수행합니다.

5. 배포를 테스트하고 조정합니다.

6. 범용 전달기(Universal Forwarder)를 전체 환경에 걸쳐 분산되어 있는 컴퓨터에 배포합니다(다중 컴퓨터 배포의 경우).

아래에는 각 단계에 대한 자세한 설명이 나와 있습니다.

중요: Forwarder 배포는 전달 및 수신을 설정하는 전체적인 과정의 한 단계에 불과합니다. 해당 프로세스의 개요는 "전달 및수신 설정: 범용 전달기(Universal Forwarder)"에서 확인하십시오.

배포 계획

배포를 계획할 때 고려할 사항은 다음과 같습니다.

배포 대상 컴퓨터의 수와 유형은?여러 OS에 배포할 것인가?기존 Forwarder에서 마이그레이션해야 하는가?배포 도구를 사용할 것인가? 어떤 도구를 사용할 것인가?

18

시스템 이미지를 통해 배포할 것인가, 아니면 가상 머신을 통해 배포할 것인가?완전히 구성된 범용 전달기(Universal Forwarder)를 배포할 것인가, 아니면 범용 전달기(Universal Forwarder)를 시스템 전체에 배포한 후 구성을 완료할 계획인가?범용 전달기(Universal Forwarder)와 인덱서의 통신에 요구되는 보안 수준은?

설치, 테스트, 구성, 배포

다음 단계에 대해서는 이 장에서 배포 요구 사항과 가장 일치하는 항목을 참조하십시오. 각 항목에는 설치부터 구성 및 배포까지의 배포 시나리오를 다루는 여러 사용 사례가 나와 있습니다.

"설치 프로그램 GUI를 통해 Windows 범용 전달기(Universal Forwarder) 배포"

"명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포"

"정적 구성을 통해 Windows 범용 전달기(Universal Forwarder) 원격 배포"

"nix 범용 전달기(Universal Forwarder) 수동 배포"

"정적 구성을 통해 nix 범용 전달기(Universal Forwarder) 원격 배포"

"시스템 이미지의 일부로 범용 전달기(Universal Forwarder) 배포"

그러나 먼저 다음 항목을 먼저 읽고 범용 전달기(Universal Forwarder) 구성에 대해 자세히 알아보십시오.

참고: 범용 전달기(Universal Forwarder)의 실행 파일 이름은 전체 Splunk Enterprise용 실행 파일과 동일한 splunkd입니다.서비스 이름은 SplunkUniversalForwarder입니다.

일반 구성 문제

범용 전달기(Universal Forwarder)에는 Splunk Web GUI가 없기 때문에 모든 구성 작업을 설치 도중(Windows만 해당)에수행하거나 나중에 별도로 수행해야 합니다. 설치 후 구성 작업은 CLI를 사용하거나 구성 파일을 직접 편집하거나 배포 서버를 사용하는 방법으로 수행할 수 있습니다.

구성 위치

주요 구성 파일로는 inputs.conf(데이터 입력용)와 outputs.conf(데이터 출력용) 등이 있으며, server.conf와deploymentclient .conf도 있습니다.

CLI를 통해 구성을 변경하면 범용 전달기(Universal Forwarder)가 구성 파일 변경 사항을 검색 앱에 작성합니다. 그러나outputs.conf에 대한 변경 사항은 $SPLUNK_HOME/etc/system/local/에 있는 파일에 작성됩니다. 범용 전달기(UniversalForwarder)를 사용하여 실제로 검색 작업을 수행할 수는 없지만, 범용 전달기(Universal Forwarder)의 기본 앱은 검색 앱입니다.

중요: Windows 설치 프로세스에서는 구성 변경 사항이 검색 앱이 아닌 "MSICreated" 앱에 작성됩니다.

참고: 범용 전달기(Universal Forwarder)에는 SplunkUniversalForwarder 앱도 함께 제공되는데, 이 앱을 활성화해야 합니다. (이 작업은 자동으로 수행됩니다.) 이 앱에는 범용 전달기(Universal Forwarder)의 간소화 모드 실행을 지원하는 사전 구성된 설정이 포함되어 있습니다. 여기에는 구성 변경사항이 작성되지 않습니다. 이 앱은 변경하거나 다른 정보를 추가하지 않는 것이 좋습니다.

구성에 대해 자세히 알아보기

참고 항목:

구성 파일의 작동 방식에 대한 자세한 내용은 관리자 매뉴얼의 "구성 파일에 대하여" 및 "구성 파일 우선 순위"에서 확인하십시오.outputs.conf에 대한 내용은 "outputs.conf에서 Forwarder 구성"에서 확인하십시오.CLI를 통한 출력 구성에 대한 내용은 "Forwarder를 사용하여 배포 토폴로지 만들기" 절의 관련 항목에서 확인하십시오.inputs.conf 또는 CLI를 통한 데이터 입력 구성에 대한 자세한 내용은 데이터 가져오기 매뉴얼의 "입력 구성"에서 확인하십시오.

구성 업데이트 배포

구성 업데이트를 전체 범용 전달기(Universal Forwarder) 집합에 배포하는 데 주로 사용되는 방법은 다음과 같습니다.

각 범용 전달기(Universal Forwarder)의 구성 파일을 수동으로 편집 또는 복사하는 방법(소규모 배포만 해당)Splunk 배포 서버를 사용하여 구성된 앱을 원하는 범용 전달기(Universal Forwarder) 집합으로 푸시하는 방법자체 배포 도구를 사용하여 구성 변경사항을 푸시하는 방법

범용 전달기(Universal Forwarder) 재시작

일부 구성 변경사항을 적용하려면 Forwarder를 재시작해야 합니다. 각 구성 변경사항에 대해 설명하는 항목에는 해당 변경사항을 적용하기 위해 재시작이 필요한지 여부가 나와 있습니다.

19

범용 전달기(Universal Forwarder)를 재시작하려면 전체 Splunk Enterprise 인스턴스를 재시작하기 위해 사용하는 것과 동일한 CLI restart 명령어를 사용하십시오.

Windows: %SPLUNK_HOME%\bin으로 이동하고 다음 명령을 실행합니다.

> splunk restart

*nix 시스템: 호스트의 셸 프롬프트에서 다음 명령어를 실행합니다.

# splunk restart

경량형 전달기(Light Forwarder) 마이그레이션

범용 전달기(Universal Forwarder)는 이전 경량형 전달기(Light Forwarder)의 기능을 모두 제공하지만 설치 공간이 더 작고 성능은 더 우수합니다. 따라서 기존에 설치한 경량형 전달기(Light Forwarder)를 범용 전달기(Universal Forwarder)로 마이그레이션하는 것이 좋습니다. Splunk에서는 마이그레이션 프로세스를 쉽게 수행할 수 있게 해주고 이전 경량형 전달기(Light Forwarder)에서 이미 전송한 데이터를 새 범용 전달기(Universal Forwarder)에서 다시 인덱서로 보내지 않도록 하기위한 도구를 제공합니다.

참고: 4.0 버전 이상의 경량형 전달기(Light Forwarder)에서만 마이그레이션할 수 있습니다.

마이그레이션은 범용 전달기(Universal Forwarder) 설치 프로세스 중에 선택할 수 있는 옵션입니다. 자세한 내용은"Windows Forwarder 마이그레이션" 또는 "nix Forwarder 마이그레이션"을 참조하십시오. 범용 전달기(UniversalForwarder)가 작동하면 (테스트를 통해 마이그레이션이 올바르게 완료되었는지 확인한 후) 이전 경량형 전달기(LightForwarder) 인스턴스를 제거하는 것이 좋습니다.

마이그레이션 시 수행되는 작업

마이그레이션하면 f ishbucket 디렉터리를 포함한 체크포인트 데이터가 이전 Forwarder에서 새 범용 전달기(UniversalForwarder)로 복사됩니다. 이 경우 이전 Forwarder에서 이미 인덱서에 보냈던 데이터를 범용 전달기(Universal Forwarder)에서 다시 전달하지 않습니다. 따라서 불필요한 재인덱싱이 방지되어 통계가 유지되고 라이선스 사용량이 지나치게 증가하지 않게 됩니다. 마이그레이션 시에는 다음 파일과 디렉터리 등이 복사됩니다.

f ishbucket 디렉터리(tailed 파일 seek 포인터 포함)

마이그레이션 시 수행되지 않는 작업

마이그레이션 시 inputs.conf 또는 outputs.conf 등의 구성 파일은 복사되지 않습니다. 그 이유는 기존 구성 파일의 모든 버전이 이전 Forwarder에서 상주했던 위치를 확실하게 알 수 없기 때문입니다. 따라서 데이터 입력과 출력을 설치 중 또는 설치후에 구성해야 합니다. 나중에 입력과 출력을 구성하는 방법을 선택하면 필요한 구성 파일을 수동으로 복사하거나 배포 서버를 사용하여 구성 파일을 모든 범용 전달기(Universal Forwarder)로 푸시할 수 있습니다. 구성 파일에 대한 자세한 내용은 이항목을 참조하십시오.

범용 전달기(Universal Forwarder)에서 사용하는 데이터 입력이 이전 Forwarder와 달라도 마이그레이션할 수 있습니다. 범용 전달기(Universal Forwarder)에 구성되지 않은 입력과 관련이 있는 마이그레이션된 체크포인트 데이터는 무시됩니다. 해당 입력을 나중에 추가할 경우 범용 전달기(Universal Forwarder)가 마이그레이션된 체크포인트를 사용하여 데이터 스트림에서 전달을 시작할 지점을 결정합니다.

마이그레이션할 때는 앱이 경량형 전달기(Light Forwarder)에서 복사되지 않습니다. 범용 전달기(Universal Forwarder)로마이그레이션할 앱이 있으면 수동으로 마이그레이션할 수 있습니다.

지원되는 CLI 명령어범용 전달기(Universal Forwarder)에서는 CLI 명령어에 사용할 수 있는 일부 개체를 지원합니다. index(예: add index)처럼 전체 Splunk Enterprise에서 유효한 일부 개체를 범용 전달기(Universal Forwarder)에서 사용하면 의미가 없습니다.

명령어는 개체에서 작용하므로, 유효하지 않은 명령어/개체 조합을 입력하면 범용 전달기(Universal Forwarder)에서 오류메시지가 반환됩니다.

유효한 CLI 개체

범용 전달기(Universal Forwarder)는 다음 개체에 대한 모든 CLI 명령어를 지원합니다.

add app config datastore-dir default-hostname deploy-client deploy-poll eventlog exec forward-server

20

monitor oneshot perfmon registry servername splunkd-port tcp udp user wmi

참고: start 및 stop과 같은 명령어 몇 개는 개체 없이도 실행할 수 있습니다. 개체가 없는 명령어도 범용 전달기(UniversalForwarder)에서 유효합니다.

CLI 구문 소개

일반적인 CLI 명령어 구문은 다음과 같습니다.

./splunk <command> [<object>] [[-<parameter>] <value>]...

위에서 설명한 대로 범용 전달기(Universal Forwarder)에 명령어가 유효한지 결정하는 것은 개체입니다. 예를 들어 위의 리스트에는 monitor 개체가 포함되어 있습니다. 따라서 add monitor와 edit monitor 명령어/개체 조합은 모두 유효합니다.monitor 개체에 대한 자세한 내용은 데이터 가져오기 매뉴얼의 "CLI를 사용하여 파일 및 디렉터리 모니터링"을 참조하십시오.

일반적인 CLI 사용에 대한 자세한 내용은 관리자 매뉴얼의 "CLI를 사용하여 Splunk Enterprise 관리" 장을 참조하십시오. 특히 "CLI 관리 명령어" 항목에서는 전체 Splunk Enterprise에서 지원되는 모든 명령어와 각 명령어가 작용할 수 있는 개체의리스트를 포함한 CLI 구문에 대해 자세히 설명합니다.

Windows 범용 전달기(Universal Forwarder) 배포설치 프로그램 GUI를 통해 Windows 범용 전달기(Universal Forwarder)배포

이 항목에서는 Windows 환경에서 설치 프로그램 GUI를 사용하여 범용 전달기(Universal Forwarder)를 수동으로 설치, 구성 및 배포하는 방법에 대해 설명합니다. 여기서는 배포 도구를 사용하지 않고 Windows 컴퓨터에 직접 설치한다고 가정합니다. 이 설치 방법은 다음과 같은 요구 사항에 가장 적합합니다.

소규모 배포개념 증명 테스트 배포최종 복제에 사용할 시스템 이미지 또는 가상 머신

다른 배포 방법 또는 운영 체제에 관심이 있다면 이 절에서 더 적합한 다른 항목을 찾아보십시오.

명령줄에서 msiexec을 사용하여 범용 전달기(Universal Forwarder)를 설치할 수도 있습니다. 명령행 배포에서 데이터 입력및 기타 설정에 대한 추가 구성 옵션을 제공합니다. 자세한 내용은 "명령줄을 통해 Windows 범용 전달기(UniversalForwarder) 배포"를 참조하십시오.

중요: 범용 전달기(Universal Forwarder)가 설치 후에 즉시 시작되지 않도록 하려면 명령줄을 통해 설치해야 합니다.

이 항목에서 설명하는 절차를 따르기 전에 "배포 개요"를 읽고 분산 Splunk Enterprise 배포의 역학에 대해 이해하십시오.

배포 절차

"배포 개요"의 설명에 따라 범용 전달기(Universal Forwarder)를 다운로드하고 배포를 계획한 후에는 다음 단계를 수행하십시오.

1. 범용 전달기(Universal Forwarder)를 설치합니다(마이그레이션 및 구성 옵션 사용).



4. 범용 전달기(Universal Forwarder)를 전체 환경에 배포합니다.

설치하기 전에

범용 전달기(Universal Forwarder)에서 가져올 데이터 선택

범용 전달기(Universal Forwarder)를 설치할 때 Forwarder에서 가져올 두 개의 데이터를 선택할 수 있습니다.

로컬 시스템

21

도메인 계정

로컬 시스템 사용자로 설치하도록 설치 프로그램에 지시할 경우 범용 전달기(Universal Forwarder)가 로컬 컴퓨터에서 사용가능한 모든 데이터 유형을 수집할 수 있습니다. 그러나 다른 컴퓨터에서 데이터를 수집할 수는 없습니다.

다음 작업을 수행할 계획이면 Forwarder를 도메인 사용자로 설치해야 합니다.

이벤트 로그 원격 읽기성능 카운터 원격 수집네트워크 공유 로그 파일 읽기Act ive Directory 모니터링을 사용하여 Act ive Directory 스키마 열거

도메인 사용자로 설치할 경우 모니터링할 데이터에 대해 액세스 권한을 갖고 있는 사용자를 지정해야 합니다. 원격Windows 데이터를 수집하기 전에 충족해야 하는 사용자 요구 사항에 대한 개념 및 절차는 설치 매뉴얼의 "Splunk 실행Windows 사용자 선택"을 참조하십시오.

도메인 사용자로 설치할 경우 사용자가 로컬 컴퓨터에서 관리 권한을 갖고 있는지 여부를 선택할 수 있습니다. 사용자에게 관리 권한을 제공하지 않기로 선택한 경우 범용 전달기(Universal Forwarder)가 "low-privilege" 모드를 활성화합니다. low-privilege 모드를 활성화하는 방법에 대한 추가 정보는 이 항목의 뒷 부분에 있는 설치 지침에서 확인하십시오.

중요: 원격 Windows 데이터 수집을 위해 범용 전달기(Universal Forwarder)를 설치하기 전에 Splunk 실행 사용자를 선택하고 구성해야 합니다.

Windows 환경에서 원격 데이터 수집 구성

원격 Windows 데이터를 수집하기 위해 범용 전달기(Universal Forwarder)를 설치할 필요가 없으면 아래 설치 설명으로 계속할 수 있습니다.

모니터링을 위해 원격 Windows 데이터를 수집할 범용 전달기(Universal Forwarder)를 설치하려는 경우 Forwarder를 올바르게 설치할 수 있도록 Windows 환경을 구성해야 합니다.

1. 범용 전달기(Universal Forwarder) 실행 사용자로 보안 그룹을 만들고 구성합니다.

2. 원하는 경우 범용 전달기(Universal Forwarder) 계정을 관리 서비스 계정으로 구성합니다.

3. 보안 정책 및 사용자 권한 할당을 위한 그룹 정책 개체(GPO)를 만들고 구성합니다.

4. GPO에 적절한 사용자 권한을 할당합니다.

5. 설정이 업데이트된 GPO를 해당 개체에 배포합니다.

참고: 위의 단계는 대략적인 절차일 뿐입니다. 단계별 지침은 설치 매뉴얼의 "Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비"를 참조하십시오. Forwarder를 low-privilege 모드에서 설치하는지 여부에따라 하나 이상의 단계가 필요하지 않을 수도 있습니다.

범용 전달기(Universal Forwarder) 설치

Windows 설치 프로그램에서는 범용 전달기(Universal Forwarder)를 설치하고 구성하는 과정을 안내합니다. 기존Forwarder에서 체크포인트 설정을 마이그레이션하는 옵션도 제공합니다.

범용 전달기(Universal Forwarder)를 설치하려면 다음 MSI 파일 중 하나를 두 번 클릭하십시오.

splunkuniversalforwarder-<...>-x86-release.msi (32비트 플랫폼)splunkuniversalforwarder-<...>-x64-release.msi (64비트 플랫폼)

<...> 값은 특정 릴리스에 따라 다릅니다(예: splunkuniversalforwarder-4.2-86454-x64-release.msi).

중요: 64비트 플랫폼에서는 32비트 버전의 범용 전달기(Universal Forwarder)를 실행하지 않는 것이 좋습니다.

일련의 대화 상자를 통해 설치 과정이 표시됩니다. 대화 상자의 메시지를 모두 수행한 후 다음을 클릭하여 다음 단계로 이동하십시오. 대화 상자 순서는 다음과 같습니다.

1. "시작" 대화 상자

설치를 시작하려면 다음을 클릭합니다.

2. "라이선스 계약" 대화 상자

라이선스 계약을 읽고 "라이선스 약관에 동의합니다"를 선택합니다.

3. "대상 폴더" 대화 상자

설치 프로그램에서 범용 전달기(Universal Forwarder)를 설치하는 기본 디렉터리는 C:\ProgramFiles\SplunkUniversalForwarder입니다.

다른 설치 디렉터리를 지정하려면 변경...을 클릭합니다.

주의: 범용 전달기(Universal Forwarder)를 기존에 설치된 전체 Splunk Enterprise에 설치하지 마십시오. 특히 "Windows22

경량형 전달기(Light Forwarder) 마이그레이션"의 설명에 따라 경량형 전달기(Light Forwarder)에서 업그레이드하는 경우에는 이 사항에 특히 주의해야 합니다. 전체 Splunk Enterprise 설치 기본 디렉터리는 C:\Program Files\Splunk이므로, 기본설정을 사용하면 안전합니다.

4. "배포 서버 지정" 대화 상자

배포 서버의 호스트 이름 또는 IP 주소와 관리 포트를 입력합니다. 기본 관리 포트는 8089입니다.

배포 서버를 사용하여 구성 업데이트를 범용 전달기(Universal Forwarder)로 푸시할 수 있습니다. 자세한 내용은 SplunkEnterprise 인스턴스 업데이트 매뉴얼의 "배포 서버에 대하여"를 참조하십시오.

참고: 이 단계는 선택 사항이지만, 건너뛸 경우에는 6단계에 수신 인덱서를 입력해야 합니다. 그렇지 않으면 범용 전달기(Universal Forwarder)에서 데이터를 전달할 인덱서를 결정할 방법이 없기 때문에 아무 작업도 수행되지 않습니다. 나중에구성 파일을 사용하여 Forwarder를 구성할 수 있습니다.

5. "수신 인덱서 지정" 대화 상자

수신 인덱서(수신기)의 호스트 이름 또는 IP 주소와 수신 포트를 입력합니다. 수신기 설정에 대한 내용은 "수신기 활성화"를참조하십시오.

참고: 이 단계는 선택 사항이지만, 건너뛸 경우에는 5단계에 배포 서버를 입력해야 합니다. 그렇지 않으면 범용 전달기(Universal Forwarder)에서 데이터를 전달할 인덱서를 결정할 방법이 없기 때문에 아무 작업도 수행되지 않습니다. 이를 표시하는 팝업 메시지가 나타납니다. 나중에 구성 파일을 사용하여 Forwarder를 구성할 수 있습니다.

6. "인증서 정보" 대화 상자

현재 컴퓨터의 ID를 확인하는 데 사용할 SSL 인증서를 선택합니다. 이 단계는 선택 사항입니다.

인증서 요건에 따라 인증서의 ID를 확인하기 위한 암호와 루트 CA(Cert if icate Authority) 인증서를 지정해야 합니다. 그렇지않으면 해당 필드를 비워둬도 됩니다.

참고: 이전 단계에서 수신 인덱서를 지정한 경우에만 이 대화 상자가 표시됩니다.

7. "계속하기 전에 자격 증명 테스트" 대화 상자

설치 프로그램에서 이 단계를 수행하려면 선택한 사용자 유형에 따라 한 개 또는 두 개 대화 상자가 필요합니다.

첫 번째 대화 상자에서 사용자 컨텍스트, 즉 범용 전달기(Universal Forwarder)를 Local System 사용자 또는 도메인 사용자로 실행할 것인지 지정합니다. 설치 프로그램에서는 이 정보를 사용하여 범용 전달기(Universal Forwarder)에 필요한 권한을 결정합니다.

참고: Local System을 선택하면 범용 전달기(Universal Forwarder)가 Local System 사용자로 설치됩니다. 이 범용 전달기(Universal Forwarder)가 원격 컴퓨터에서 이벤트 로그나 메트릭을 수집하지 않는 경우 보안 개선을 위해 Local System을 선택하는 것이 좋습니다.

자세한 내용은 이 항목 앞부분의 "설치하기 전에"를 참조하십시오.

선택했으면 다음을 클릭합니다.

Local System을 지정하면 두 번째 화면을 건너뛰고 "Windows 입력 활성화" 대화 상자로 바로 이동합니다.

도메인 계정을 지정하면 두 번째 대화 상자가 나타납니다. 여기서 현재 범용 전달기(Universal Forwarder) 인스턴스의 도메인 및 사용자 정보를 입력해야 합니다. 범용 전달기(Universal Forwarder)는 이 대화 상자에서 지정하는 사용자로 실행됩니다.

하단의 두 번째 창에는 "사용자를 로컬 관리자로 추가"라는 확인란이 있습니다. 확인란을 선택하면(기본값), 설치 프로그램은사용자가 지정한 도메인 사용자를 로컬 관리자 그룹에 추가합니다. 확인란을 선택하지 않으면 범용 전달기(UniversalForwarder)가 "low-privilege" 모드에서 설치됩니다. 이 모드는 서버에서 관리자로 프로그램을 실행할 수 없거나 실행하지않을 사용자가 사용할 수 있습니다. 추가 정보 및 주의 사항은 이 항목의 뒷 부분에 있는 "low-privilege 모드에서 범용 전달기(Universal Forwarder) 실행"을 참조하십시오.

로컬 관리 권한을 가진 사용자로 일반 설치를 가능하게 하려면 이 확인란을 선택한 상태로 두십시오.

중요: 대부분의 경우 지정한 사용자에는 설치를 완료하기 전에 특정 권한을 할당해야 합니다. 그렇지 않으면 설치에 실패할수 있습니다. 구체적인 내용과 단계별 지침으로 연결되는 링크는 이 항목 앞부분의 "설치하기 전에"를 참조하십시오.

8. "Windows 입력 활성화" 대화 상자

목록에서 Windows 입력 정보를 하나 이상 선택합니다.

이 단계는 선택 사항입니다. 범용 전달기(Universal Forwarder) 디렉터리에서 inputs.conf를 편집하여 입력 정보를 나중에활성화할 수 있습니다.

9. "프로그램 설치 준비 완료" 대화 상자

설치를 클릭하여 계속합니다.

설치 프로그램이 실행되고 설치 완료 대화 상자가 표시됩니다.

23

설치가 완료되면 범용 전달기(Universal Forwarder)가 자동으로 시작됩니다. SplunkForwarder 는 범용 전달기(UniversalForwarder) 서비스의 이름입니다. 해당 서비스가 실행되고 있는지 확인해야 합니다.

"low-privilege" 모드에서 범용 전달기(Universal Forwarder) 설치

도메인 사용자를 지정하고 해당 사용자에게 로컬 관리자 권한을 제공하지 않기로 선택한 경우 Forwarder가 설치되고 "low-privilege" 모드에서 실행됩니다.

이 작업을 수행하는 데 일부 주의 사항이 있습니다.

low-privilege 모드에서 범용 전달기(Universal Forwarder)를 실행할 경우 서버 또는 도메인의 리소스에 대해 관리 액세스 권한을 갖지 못합니다.원격 리소스에 액세스하려면 추가 도메인 그룹에 도메인 사용자를 추가해야 합니다. 그리고 권한있는 사용자만 액세스할 수 있는 로컬 리소스에 액세스하려면 사용자를 로컬 그룹에 추가해야 합니다.관리자가 아닌 사용자로 WMI(Windows Management Instrumentat ion) 데이터를 수집할 수 없습니다.

배포 테스트

구성한 범용 전달기(Universal Forwarder)를 전체 환경에 배포하기 전에 컴퓨터 한 대에서 테스트하여 기능이 올바르게 작동하는지 확인하십시오. 범용 전달기(Universal Forwarder)에서 해당 입력을 수신하고 올바른 출력을 인덱서로 보내는지 확인하십시오. 배포 모니터를 사용하여 범용 전달기(Universal Forwarder)를 확인할 수 있습니다.

기존 Forwarder에서 마이그레이션한 경우에는 범용 전달기(Universal Forwarder)에서 이전 Forwarder에 의해 전달되지않은 데이터부터 전달하는지 확인하십시오. 그렇지 않다면 데이터 입력을 이전 Forwarder와 일치하도록 수정하거나 추가해야 합니다.

중요: 마이그레이션할 때 구성 파일이 자동으로 복사되지 않습니다. 해당 설정은 사용자가 직접 수행해야 합니다. 이 작업은일반적으로 inputs.conf를 포함한 관련 파일을 이전 Forwarder에서 범용 전달기(Universal Forwarder)로 복사하는 방법으로 수행합니다. 범용 전달기(Universal Forwarder)와 이전 Forwarder의 inputs.conf 파일을 비교하여 유지 관리할 입력이범용 전달기(Universal Forwarder)에 모두 있는지 확인하십시오.

기존 Forwarder에서 마이그레이션한 경우 범용 전달기(Universal Forwarder)를 철저히 테스트하여 만족스러운 결과를 얻으면 이전 인스턴스를 삭제해도 됩니다.

추가 구성 수행

설치 후에 범용 전달기(Universal Forwarder)의 구성 파일(inputs.conf 및 outputs.conf 등)을 직접 편집하여 해당Forwarder의 구성을 업데이트할 수 있습니다. CLI를 사용하여 구성을 업데이트할 수도 있습니다. 관련 내용은 "배포 개요"를참조하십시오.

참고: CLI를 사용할 때 명령을 완료하기 위해 Forwarder에서 인증해야 할 수 있습니다. 범용 전달기(Universal Forwarder)의 기본 자격 증명은 다음과 같습니다.

사용자 이름: admin암호: changeme

구성 변경사항을 여러 범용 전달기(Universal Forwarder)에 배포하는 방법에 대한 내용은 Splunk Enterprise 인스턴스 업데이트 매뉴얼의 "배포 서버에 대하여"를 참조하십시오.

범용 전달기(Universal Forwarder)를 전체 환경에 배포

몇 개의 범용 전달기(Universal Forwarder)만 필요하다면 이 항목에서 설명한 수동 설치 프로세스를 반복하는 방법이 더 간단할 수 있습니다. 설치해야 하는 범용 전달기(Universal Forwarder)의 수가 더 많으면 배포 도구를 사용하여 원격으로 배포하거나 시스템 이미지 또는 가상 머신의 일부로 배포하는 방법이 더 쉬울 수 있습니다.

범용 전달기(Universal Forwarder) 제거

범용 전달기(Universal Forwarder)를 제거하려면 다음 단계를 수행하십시오.

1. 서비스 MMC 스냅인(시작 > 관리 도구 > 서비스)을 사용하여 SplunkForwarder 서비스를 중지합니다.

참고: 명령줄에서 다음 명령어를 사용하여 서비스를 중지할 수도 있습니다.

NET STOP SplunkForwarder

2. 프로그램 추가 또는 제거 제어판을 사용하여 Forwarder를 제거합니다. Windows 7, 8, Server 2008 및 Server 2012에서해당 옵션은 프로그램 및 기능에서 선택할 수 있습니다.

참고: 상황에 따라 제거 프로세스 중에 Microsoft 설치 프로그램에서 재부팅을 요청할 수 있습니다. 이 요청을 무시하고 재부팅하지 않아도 안전합니다.

명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포이 항목에서는 Windows 환경에서 명령줄 인터페이스를 사용하여 범용 전달기(Universal Forwarder)를 수동으로 설치, 구성 및 배포하는 방법에 대해 설명합니다. GUI 설치 프로그램을 사용하는 방법을 선호할 경우에는 "설치 프로그램 GUI를 통해

24

성 및 배포하는 방법에 대해 설명합니다. GUI 설치 프로그램을 사용하는 방법을 선호할 경우에는 "설치 프로그램 GUI를 통해Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오.

명령줄에서 설치해야 하는 경우

범용 전달기(Universal Forwarder)를 명령줄 프로프램 또는 PowerShell 창에서 수동으로 개별 컴퓨터에 설치할 수 있습니다. 명령줄에서 설치하는 방법이 유용한 시나리오는 다음과 같습니다.

Forwarder를 설치할 예정이지만 바로 시작하지 않을 경우스크립트를 사용하여 Forwarder 설치를 자동화하려는 경우나중에 복제할 시스템에 Forwarder를 설치하려는 경우Group Policy 또는 System Center Conf igurat ion Manager 같은 배포 도구를 사용하려는 경우Windows Server Core 버전을 실행합니다.

범용 전달기(Universal Forwarder) 설치에 대한 자세한 내용은 다음 항목을 참조하십시오.

"배포 개요" - 범용 전달기(Universal Forwarder)에 대한 기초"정적 구성을 통해 Windows 범용 전달기(Universal Forwarder) 원격 배포" - 명령줄 인터페이스를 배포 도구와 함께사용하는 방법

배포 절차

"배포 개요"의 설명에 따라 범용 전달기(Universal Forwarder)를 다운로드하고 배포를 계획했으면 다음 단계를 수행하십시오.

1. 범용 전달기(Universal Forwarder)를 설치합니다(구성 옵션 사용).



4. 범용 전달기(Universal Forwarder)를 전체 환경에 배포합니다.

설치하기 전에

범용 전달기(Universal Forwarder) 실행 Windows 사용자 선택

범용 전달기(Universal Forwarder)를 설치할 때 어느 사용자로 실행해야 하는지 선택할 수 있습니다. 기본 사용자는 LocalSystem입니다. 도메인 계정을 지정하려면 이 항목의 뒷부분에 설명되어 있는 LOGON_USERNAME 및 LOGON_PASSWORD 플래그를 사용하십시오.

로컬 컴퓨터에서 관리자가 아닌 사용자로 Forwarder를 설치할 수도 있습니다. Forwarder를 "low privilege" 모드에서 설치하려면 SET_ADMIN_USER 설치 플래그를 사용합니다.

Forwarder를 Local System 사용자로 설치하면 Forwarder가 로컬 컴퓨터에서 사용 가능한 모든 데이터 유형을 수집할 수있습니다. 그러나 다른 컴퓨터에서 데이터를 수집할 수는 없습니다. 이것은 잘못된 것이 아닙니다.

다음 작업을 수행할 계획이면 범용 전달기(Universal Forwarder)에 사용자 계정을 제공해야 합니다.

이벤트 로그 원격 읽기성능 카운터 원격 수집네트워크 공유 로그 파일 읽기Act ive Directory 모니터링을 사용하여 Act ive Directory 스키마 열거

원격 Windows 데이터를 수집하기 전에 충족해야 하는 사용자 요구 사항에 대한 개념 및 절차는 설치 매뉴얼의 "Splunk 실행 Windows 사용자 선택"을 참조하십시오.

중요: 원격 Windows 데이터 수집을 위해 범용 전달기(Universal Forwarder)를 설치하기 전에 Splunk 실행 사용자를 선택하고 구성해야 합니다. 그렇지 않으면 설치에 실패할 수 있습니다.

설치 전에 Windows 환경 구성

Forwarder가 올바르게 설치되도록 Windows 환경을 구성하려면 다음 단계를 수행하십시오.

1. 범용 전달기(Universal Forwarder) 실행 사용자로 보안 그룹을 만들고 구성합니다.

2. 원하는 경우 범용 전달기(Universal Forwarder) 계정을 관리 서비스 계정으로 구성합니다.

3. 사용자 권한 할당을 위한 그룹 정책 또는 로컬 보안 정책 개체를 만들고 구성합니다.

4. 적절한 보안 설정을 할당합니다.

5. Act ive Directory 사용 시 그룹 정책 개체를 업데이트된 설정과 함께 적절한 개체에 배포합니다.

참고: 위의 단계는 대략적인 절차일 뿐입니다. 단계별 지침은 설치 매뉴얼의 "Splunk Enterprise를 네트워크 또는 도메인 사용자로 설치하기 위해 Windows 네트워크 준비"를 참조하십시오.

25


Microsoft의 설치 프로그램인 msiexec.exe를 실행하여 명령줄에서 범용 전달기(Universal Forwarder)를 설치할 수 있습니다.

32비트 플랫폼에서는 splunkuniversalforwarder-<...>-x86-release.msi를 사용합니다.

msiexec.exe /i splunkuniversalforwarder-<...>-x86-release.msi [<flag>]... [/quiet]

64비트 플랫폼에서는 splunkuniversalforwarder-<...>-x64-release.msi를 사용합니다.

msiexec.exe /i splunkuniversalforwarder-<...>-x64-release.msi [<flag>]... [/quiet]

<...> 값은 특정 릴리스에 따라 다릅니다(예: splunkuniversalforwarder-4.2-86454-x64-release.msi).

중요: 64비트 플랫폼에서는 32비트 버전의 범용 전달기(Universal Forwarder)를 실행하지 않는 것이 좋습니다.

명령줄 플래그를 사용하여 설치 시 Forwarder를 구성할 수 있습니다. 명령줄 플래그를 사용하여 다음과 같은 설정을 지정할수 있습니다.

범용 전달기(Universal Forwarder) 실행 사용자. (전달할 콘텐츠에 액세스하는 데 필요한 권한을 보유한 사용자를 지정해야 합니다.)Forwarder가 "low-privilege" 모드에서 실행되는지 여부 - 로컬 관리 액세스 권한이 없는 사용자.범용 전달기(Universal Forwarder)에서 데이터를 보낼 수신 Splunk Enterprise 인스턴스.구성 업데이트용 배포 서버.인덱싱할 Windows 이벤트 로그.설치가 완료되면 범용 전달기(Universal Forwarder)가 자동으로 시작해야 하는지 여부.

다음 항목에는 사용 가능한 플래그 리스트와 다양한 구성의 몇 가지 예가 나와 있습니다.

지원 플래그 리스트

중요: 전체 Splunk Enterprise 버전의 설치 프로그램은 자체 설치 플래그가 있는 독립 실행 파일입니다. 설치 매뉴얼의"Windows에서 설치"를 참조하십시오.

플래그 용도 기본값

AGREETOLICENSE=Yes|No 이 플래그는 EULA 동의에 사용됩니다. 자동 설치를 위해서는 이 플래그를 Yes로 설정해야 합니다.

No

INSTALLDIR="<directory_path>" 설치 디렉터리를 지정합니다.

중요: 범용 전달기(UniversalForwarder)를 기존에 설치된 전체Splunk Enterprise에 설치하지 마십시오.

c:\ProgramFiles\SplunkUniversalForwarder

LOGON_USERNAME="<domain\username>"

LOGON_PASSWORD="<pass>"

각 플래그는 SplunkForwarder 서비스를 실행할 사용자의 도메인/사용자 이름 및 암호 정보를 제공하기 위해 사용합니다. 도메인은 다음과 같은 형식으로 사용자 이름과 함께 지정해야 합니다. domain\username. 이 플래그를 포함하지 않으면 범용 전달기(UniversalForwarder)가 Local System 사용자로 설치됩니다. "Splunk 실행Windows 사용자 선택"을 참조하십시오.

n/a

RECEIVING_INDEXER="<host:port>" 이 플래그는 범용 전달기(UniversalForwarder)에서 데이터를 전달할 수신 인덱서를 지정하기 위해 사용합니다. 수신기의 이름(호스트 이름 또는IP 주소)과 수신 포트를 입력합니다.이 플래그는 수신기 1개만 허용합니다. 부하 분산을 구현하기 위해 다중수신기를 지정하려면 CLI 또는outputs.conf를 통해 이 설정을 대신구성해야 합니다.

수신기 설정에 대한 내용은 "수신기활성화"를 참조하십시오. 참고: 이 플래그는 선택 사항이지만, 이 플래그를

n/a

26

지정하지 않고 DEPLOYMENT_SERVER도지정하지 않으면 범용 전달기(Universal Forwarder)가 데이터를전달할 인덱서를 알 수 없기 때문에올바르게 작동하지 않습니다.

DEPLOYMENT_SERVER="<host:port>" 이 플래그는 구성 업데이트를 범용 전달기(Universal Forwarder)에 푸시할배포 서버를 지정하기 위해 사용합니다. 배포 서버의 이름(호스트 이름 또는 IP 주소)과 포트를 입력하십시오.

참고: 이 플래그는 선택 사항이지만,이 플래그를 지정하지 않고RECEIVING_INDEXER도 지정하지 않으면범용 전달기(Universal Forwarder)가데이터를 전달할 인덱서를 알 수 없기때문에 올바르게 작동하지 않습니다.

n/a

LAUNCHSPLUNK=1|0 이 플래그는 설치 완료 시 범용 전달기(Universal Forwarder)가 자동으로시작되도록 구성해야 하는지 지정하기 위해 사용합니다.

1(예)

SERVICESTARTTYPE=auto|manual 이 플래그는 시스템 재부팅 시 범용전달기(Universal Forwarder)가 자동으로 시작해야 하는지 지정하기 위해사용합니다.

참고: LAUNCHSPLUNK를 0으로 설정하고SERVICESTARTTYPE을 auto로 설정하면다음에 시스템을 부팅할 때까지 범용전달기(Universal Forwarder)에서 전달을 시작하지 않습니다. 이 설정은시스템 이미지를 복제할 때 유용합니다.

auto

MONITOR_PATH="<directory_path>" 이 플래그는 모니터링할 파일 또는 디렉터리를 지정하기 위해 사용합니다.

n/a

WINEVENTLOG_APP_ENABLE=1|0

WINEVENTLOG_SEC_ENABLE=1|0

WINEVENTLOG_SYS_ENABLE=1|0

WINEVENTLOG_FWD_ENABLE=1|0

WINEVENTLOG_SET_ENABLE=1|0

각 플래그는 다음과 같은 Windows이벤트 로그를 활성화하기 위해 사용합니다.

applicat ion

security

system

forwarders

setup

참고: 플래그를 여러 개 지정할 수 있습니다.

0(아니요)

PERFMON=<input_type>,<input_type>,... perfmon 입력을 활성화하려면 이 플래그를 사용합니다. <input_type> 은다음 중 하나일 수 있습니다.

cpu memory network diskspace

n/a

ENABLEADMON=1|0 이 플래그는 원격 배포에 대해 Act iveDirectory 모니터링을 활성화하기 위해 사용합니다.

0(활성화되지 않음)

CERTFILE=<c:\path\to\certfile.pem>

ROOTCACERTFILE=<c:\path\to\rootcacertfile.pem>

CERTPASSWORD=<password>

각 플래그는 다음과 같은 SSL 인증서를 제공하기 위해 사용합니다.

공용/개인 키 조합을 포함하는 cert 파일의 경로

CERTFILE이 올바른지 확인하기 위한 루트 CA 인증서가 있는 파일의 경

n/a

27

로(선택 사항)

CERTFILE의 개인 키 암호(선택 사항)

참고: 이 플래그를 적용하려면RECEIVING_INDEXER를 설정해야 합니다.

CLONEPREP=1|0 모든 인스턴스별 데이터를 삭제하여컴퓨터 복제본을 만듭니다. 그러면CLI에서 splunk clone-prep 명령어가실행됩니다.

0(복제를 위해 인스턴스 준비 안함)

SET_ADMIN_USER=1|0 지정한 사용자가 관리자인지 지정합니다. 이 플래그를 0으로 설정한 경우범용 전달기(Universal Forwarder)를"low-privilege" 모드에서 로컬 컴퓨터에 대한 관리자 권한이 없는 사용자로 실행할 수 있습니다. 서버에서 관리자로 프로그램을 실행할 수 없는 사용자가 이 모드를 사용할 수 있습니다. 추가 정보 및 주의 사항은 이 항목의 뒷 부분에 있는 "low-privilege 모드에서 범용 전달기(UniversalForwarder) 실행"을 참조하십시오.

중요: 이 플래그를 사용하려면LOGON_USERNAME 및 LOGON_PASSWORD 플래그를 모두 설정해야 합니다. 이 플래그를 지정하지 않은 경우의 기본값인 "Local System"으로 Forwarder를 설치할 경우 설치 프로그램에서 이플래그를 무시합니다.

1(관리 권한이 있는 사용자로 범용 전달기(UniversalForwarder)를 설치합니다. 범용전달기(Universal Forwarder)는 "low-privilege" 모드가 아닌일반 모드에서 실행됩니다.)

"low-privilege" 모드에서 범용 전달기(Universal Forwarder) 설치

LOGON_USERNAME 및 LOGON_PASSWORD 플래그를 설정하고 SET_ADMIN_USER=0을 지정한 경우 Forwarder가 "low-privilege" 모드에서 설치 및 실행됩니다. 이는 지정하지 않은 사용자는 Forwarder를 실행하는 서버에서 관리 권한이 필요하지 않음을 의미합니다.

이 작업을 수행하는 데 일부 주의 사항이 있습니다.

low-privilege 모드에서 범용 전달기(Universal Forwarder)를 실행할 경우 서버 또는 도메인의 리소스에 대해 관리 액세스 권한을 갖지 못합니다.원격 리소스에 액세스하려면 추가 도메인 그룹에 도메인 사용자를 추가해야 합니다. 그리고 권한있는 사용자만 액세스할 수 있는 로컬 리소스에 액세스하려면 사용자를 로컬 그룹에 추가해야 합니다.관리자가 아닌 사용자로 WMI(Windows Management Instrumentat ion) 데이터를 수집할 수 없습니다.

범용 전달기(Universal Forwarder) 자동 설치

설치를 자동으로 실행하려면 /quiet을 설치 명령어 문자열 끝에 추가하십시오. AGREETOLICENSE=Yes 플래그도 설정해야 합니다.

시스템에서 (일부 시스템에서는 기본적으로 켜져 있는) UAC를 실행 중인 경우에는 설치를 관리자로 실행해야 합니다. 이렇게 하려면 명령 프롬프트를 열 때 마우스 오른쪽 단추를 클릭하고 "관리자로 실행"을 선택하십시오. 그런 다음 명령 프롬프트를 사용하여 자동 설치 명령어를 실행하십시오.

설치 중에 상세 표시 로깅 활성화

범용 전달기(Universal Forwarder) 설치 중에 상세 표시 로깅을 제공하려면 msiexec에서 제공하는 /l 옵션을 사용하십시오.자세한 내용은 아래 예제를 검토하십시오.

예

다양한 플래그의 일부 용례는 다음과 같습니다.

범용 전달기(Universal Forwarder)가 Local System 사용자로 실행되고 deploymentserver1에서 구성을 요청하도록설치

이 방법은 Forwarder를 새로 배포할 때 사용할 수 있습니다.

28

msiexec.exe /i splunkuniversalforwarder_x86.msi DEPLOYMENT_SERVER="deploymentserver1:8089" AGREETOLICENSE=Yes /quiet

범용 전달기(Universal Forwarder)가 도메인 사용자로 실행되지만 즉시 시작돠지 않도록 설치

이 방법은 복제를 위해 샘플 호스트를 준비할 때 사용할 수 있습니다.

msiexec.exe /i splunkuniversalforwarder_x86.msi LOGON_USERNAME="AD\splunk" LOGON_PASSWORD="splunk123"DEPLOYMENT_SERVER="deploymentserver1:8089" LAUNCHSPLUNK=0 AGREETOLICENSE=Yes /quiet

범용 전달기(Universal Forwarder) 설치, Windows 보안 및 시스템 이벤트 로그의 인덱싱 활성화, 설치 프로그램을 자동모드로 실행

이 방법은 "f ire-and-forget" 설치를 통해 보안 및 시스템 이벤트 로그만 수집하기 위해 사용할 수 있습니다.

msiexec.exe /i splunkuniversalforwarder_x86.msi RECEIVING_INDEXER="indexer1:9997" WINEVENTLOG_SEC_ENABLE=1WINEVENTLOG_SYS_ENABLE=1 AGREETOLICENSE=Yes /quiet

low-privilege 모드에서 범용 전달기(Universal Forwarder) 설치 및 로그 파일에 상세 표시 설치 로깅 활성화

로컬 서버에서 관리 권한이 없는 사용자로 Forwarder를 실행해야 할 경우 이를 수행할 수 있습니다.

msiexec.exe /i splunkuniversalforwarder_x64.msi /l*v install_splunkforwarder-6.1-201357-x64-release.msi.logLOGON_USERNAME=adtest1\lowpriv-testuser LOGON_PASSWORD=win1@splunk AGREETOLICENSE=Yes SET_ADMIN_USER=0 /quiet

배포 테스트


기존 Forwarder에서 마이그레이션한 경우에는 범용 전달기(Universal Forwarder)에서 이전 Forwarder에 의해 전달되지않은 데이터부터 전달하는지 확인하십시오. 그렇지 않은 경우 데이터 입력을 이전 Forwarder와 일치하도록 수정하거나 추가해야 합니다.

중요: 마이그레이션할 때 구성 파일이 자동으로 복사되지 않으므로, 설정은 직접 수행해야 합니다. 이 작업은 일반적으로inputs.conf를 포함한 관련 파일을 이전 Forwarder에서 범용 전달기(Universal Forwarder)로 복사하는 방법으로 수행합니다. 범용 전달기(Universal Forwarder)와 이전 Forwarder의 inputs.conf 파일을 비교하여 유지 관리할 입력이 범용 전달기(Universal Forwarder)에 모두 있는지 확인하십시오.



설치 후에 범용 전달기(Universal Forwarder)의 구성 파일(inputs.conf 및 outputs.conf 등)을 직접 편집하여 해당Forwarder의 구성을 업데이트할 수 있습니다. CLI를 사용하여 구성을 업데이트할 수도 있습니다. 관련 내용은 "배포 개요"를참조하십시오.

참고: CLI를 사용할 때 명령을 완료하기 위해 Forwarder에서 인증해야 할 수 있습니다. 범용 전달기(Universal Forwarder)의 기본 자격 증명은 다음과 같습니다.

사용자 이름: admin암호: changeme



몇 개의 범용 전달기(Universal Forwarder)만 필요하다면 이 항목에서 설명한 명령줄 설치 프로세스를 반복하는 방법이 더간단할 수 있습니다. 설치해야 하는 범용 전달기(Universal Forwarder)의 수가 더 많으면 배포 도구를 사용하여 원격으로 배포하거나 시스템 이미지 또는 가상 머신의 일부로 배포하는 방법이 더 쉬울 수 있습니다.

범용 전달기(Universal Forwarder) 제거

범용 전달기(Universal Forwarder)를 제거하려면 다음 단계를 수행하십시오.

1. 명령줄에서 다음 명령어를 사용하여 서비스를 중지합니다.

NET STOP SplunkForwarder

29

참고: 서비스 MMC 스냅인(시작 > 관리 도구 > 서비스)을 사용하여 SplunkForwarder 서비스를 중지할 수도 있습니다.

2. Microsoft 설치 프로그램을 실행하여 제거를 수행합니다.

msiexec /u splunkuniversalforwarder-<...>-x86-release.msi

이 설치 프로그램에는 제거 중에 사용할 수 있는 지원되는 플래그가 1개 있습니다.

플래그 용도 기본값

REMOVE_FROM_GROUPS=1|0 이 플래그는 범용 전달기(Universal Forwarder)를 제거할경우에만 사용할 수 있습니다. Forwarder를 설치한 사용자로부터 권한 및 관리 그룹 구성원 자격을 제거할지 지정합니다.

이 플래그를 1로 설정한 경우 설치 프로그램은 Forwarder를설치한 사용자로부터 그룹 구성원 자격과 상승된 권한을 제거합니다.

이 플래그를 0으로 설정한 경우 설치 프로그램은 사용자로부터 그룹 구성원 자격과 상승된 권한을 제거하지 않습니다.

1(제거 시 상승된 권한과 그룹 구성원 자격을제거합니다.)

참고: 상황에 따라 제거 프로세스 중에 Microsoft 설치 프로그램에서 재부팅을 요청할 수 있습니다. 이 요청을 무시하고 재부팅하지 않아도 안전합니다.

정적 구성을 통해 Windows 범용 전달기(Universal Forwarder) 원격 배포

정적 구성을 통해 범용 전달기(Universal Forwarder)를 배포하는 이유는 일반적으로 다음과 같습니다.

나중에 구성을 변경할 필요가 없는 경우("f ire-and-forget").설치 후 변경사항을 System Center Conf igurat ion Manager, Alt ris 또는 BigFix/Tivoli와 같은 비 Splunk 배포 도구를 사용하여 적용하려는 경우

이 배포 유형을 사용하려면 Windows 명령줄 인터페이스를 통해 설치합니다. 설치 도중에 모든 구성 옵션을 지정하고 자동모드를 사용해야 합니다(/quiet). low-privilege 작업을 활성화하는 플래그를 포함하여 지원 플래그 리스트를 포함한 명령줄인터페이스에 대한 내용은 "명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오.

배포 절차


1. 명령줄 인터페이스와 원하는 플래그를 사용하여 범용 전달기(Universal Forwarder)를 테스트 컴퓨터에 설치하고 구성합니다.


3. 테스트한 플래그를 지정하여 범용 전달기(Universal Forwarder) MSI를 배포 도구에 로드합니다.

4. 배포 도구를 사용하여 배포를 실행합니다.

5. 배포 모니터를 사용하여 범용 전달기(Universal Forwarder)가 작동하는지 확인합니다.

필요한 설치 플래그

/quiet 모드 지정 외에도 최소한 다음과 같은 명령줄 플래그를 포함해야 합니다.

AGREETOLICENSE=YesRECEIVING_INDEXER="<server:port>"WINEVENTLOG_APP_ENABLE=1과 같은 데이터 입력 플래그 하나 이상. 데이터 입력 플래그를 필요한 수만큼 추가할 수 있습니다.

사용 가능한 모든 명령줄 플래그 리스트는 "명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오.

설치 예

다음은 범용 전달기(Universal Forwarder)가 Local System 사용자로 실행되고 Windows 보안 및 시스템 이벤트 로그에서입력을 가져오며 데이터를 indexer1으로 전송하고 자동으로 시작되도록 설정하는 예입니다.

msiexec.exe /i splunkuniversalforwarder_x86.msi RECEIVING_INDEXER="indexer1:9997" WINEVENTLOG_SEC_ENABLE=1

30

WINEVENTLOG_SYS_ENABLE=1 AGREETOLICENSE=Yes /quiet

보안 구성과 함께 배포

보안 구성을 배포하려면 SSL 인증서를 지정하십시오. 다음과 같은 설치 플래그를 사용하십시오.

CERTFILE=<c:\path\to\certfile.pem>ROOTCACERTFILE=<c:\path\to\rootcacertfile.pem>CERTPASSWORD=<password>

자세한 내용은 이 지원 명령줄 플래그 리스트를 참조하십시오.

배포 테스트


시스템 이미지의 일부로 범용 전달기(Universal Forwarder) 배포이 항목에서는 범용 전달기(Universal Forwarder)를 시스템 이미지 또는 가상 머신의 일부로 배포하는 방법에 대해 설명합니다. 이 방법은 특히 배포할 범용 전달기(Universal Forwarder)의 수가 많을 경우에 유용합니다. 범용 전달기(UniversalForwarder)의 수가 많지 않으면 Windows 및 nix 컴퓨터에 대해 설명되어 있는 내용에 따라 수동으로 설치하는 방법이 더 간단할 수 있습니다.

이 항목의 절차를 수행하기 전에 "배포 개요"를 읽으십시오.

배포 절차


1. 범용 전달기(Universal Forwarder)를 테스트 컴퓨터에 설치합니다. 아래를 참조하십시오.

2. 여기에 설명된 대로 설치 후 구성을 모두 수행합니다.

3. 아래 설명에 따라 배포를 테스트하고 조정합니다.

4. 테스트한 구성을 사용하여 범용 전달기(Universal Forwarder)를 원본 컴퓨터에 설치합니다.

5. 범용 전달기(Universal Forwarder)를 중지합니다.

6. Forwarder에서 다음 CLI 명령어를 실행합니다.

./splunk clone-prep-clear-config

이렇게 하면 서버 이름과 GUID 같은 인스턴스별 정보가 Forwarder에서 삭제됩니다. 그런 다음 이 정보는 처음 시작할 때 각각의 복제된 Forwarder에서 구성됩니다.

7. 복제를 위해 필요에 따라 이미지 또는 가상 머신을 준비합니다.

8. *nix 시스템에서 cron 또는 원하는 일정 관리 시스템을 사용하여 splunkd 데몬이 부팅 시 시작되도록 설정합니다.Windows에서는 서비스를 Automatic으로 설정하지만 시작하지 않습니다.

9. 시스템 이미지 또는 가상 머신 복제본을 환경 전체에 분산되어 있는 컴퓨터에 배포하고 시작합니다.

10. 배포 모니터를 사용하여 복제된 범용 전달기(Universal Forwarder)가 작동하는지 확인합니다.

참조 절차

위 배포 절차의 각 단계에는 다음과 같은 하위 항목이 참조되었습니다.


사용 중인 운영 체제에 해당되는 절차를 사용하여 범용 전달기(Universal Forwarder)를 설치하십시오.

*nix 컴퓨터에 설치하려면 "nix 범용 전달기(Universal Forwarder) 수동 배포"를 참조하십시오.

Windows 컴퓨터의 경우 설치 프로그램 GUI 또는 명령줄 인터페이스를 사용할 수 있습니다. GUI를 사용하여 설치하려면 "설치 프로그램 GUI를 통해 Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오. 명령줄 인터페이스에 대한 내용은 "명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오.

중요: Windows 컴퓨터에서 범용 전달기(Universal Forwarder)가 설치 후에 즉시 시작되지 않도록 하려면 명령줄 인터페이스를 사용해야 합니다. 올바른 명령줄 플래그를 사용하여 범용 전달기(Universal Forwarder)를 설치할 때 원본 컴퓨터에서

31

시작되지 않고 활성화 후에 복제본에서 자동으로 시작되도록 구성할 수 있습니다.

설치 시 범용 전달기(Universal Forwarder)를 구성할 수도 있습니다. 배포 개요의 "일반적인 구성 문제"를 참조하십시오.


설치 후에 범용 전달기(Universal Forwarder)의 구성 파일(inputs.conf 및 outputs.conf 등)을 직접 편집하여 해당Forwarder의 구성을 업데이트할 수 있습니다. 관련 내용은 "배포 개요"를 참조하십시오.


배포 테스트


nix 범용 전달기(Universal Forwarder) 배포*nix 범용 전달기(Universal Forwarder) 수동 배포이 항목에서는 Linux 또는 Solaris와 같은 *nix 환경에서 범용 전달기(Universal Forwarder)를 수동으로 구성 및 배포하는 방법에 대해 설명합니다. 여기서는 배포 도구를 사용하지 않고 *nix 컴퓨터에 직접 설치한다고 가정합니다. 이 배포 유형은 다음과 같은 요구 사항에 가장 적합합니다.

소규모 배포개념 증명 테스트 배포최종 복제에 사용할 시스템 이미지 또는 가상 머신

다른 배포 시나리오에 관심이 있다면 이 절에서 더 적합한 다른 항목을 찾아보십시오.


배포 절차


1. 범용 전달기(Universal Forwarder)를 설치합니다.

2. 범용 전달기(Universal Forwarder)를 구성하거나 마이그레이션(선택 사항)합니다.


4. 추가적인 설치 후 구성 작업을 모두 수행합니다.


패키지 또는 tar 파일을 사용하여 범용 전달기(Universal Forwarder)를 *nix 컴퓨터에 설치할 수 있습니다. 지원되는 *nix 환경에 범용 전달기(Universal Forwarder)를 설치하려면 설치 매뉴얼에서 *nix 설치에 대한 여러 항목을 참조하십시오.

Linux에 설치Solaris에 설치Mac OS에 설치FreeBSD에 설치AIX에 설치HP-UX에 설치

범용 전달기(Universal Forwarder)를 설치하는 방법은 설치 매뉴얼의 관련 항목에 설명되어 있는 전체 Splunk Enterprise인스턴스 설치 방법과 동일하며, 다음과 같은 두 가지 차이점이 있습니다.

패키지 이름기본 설치 디렉터리

패키지 이름

패키지를 설치할 때 설치 매뉴얼의 명령어에 사용된 전체 Splunk Enterprise 패키지 이름을 범용 전달기(UniversalForwarder) 패키지의 이름으로 바꾸십시오.

예를 들어 범용 전달기(Universal Forwarder)를 Red Hat Linux에 설치할 경우에는

32

rpm -i splunkforwarder_<package_name>.rpm

명령어를 전체 Splunk Enterprise 인스턴스에 대한 다음 명령어 대신 사용하십시오.

rpm -i splunk_<package_name>.rpm

패키지 이름의 접두사로 "splunk" 대신 "splunkforwarder"가 사용된다는 점만 다릅니다.

기본 설치 디렉터리

범용 전달기(Universal Forwarder)는 기본적으로 /opt/splunkforwarder에 설치됩니다. 전체 Splunk의 기본 설치 디렉터리는/opt/splunk입니다.

중요: 범용 전달기(Universal Forwarder)를 기존에 설치된 전체 Splunk Enterprise에 설치하지 마십시오. 특히 이 사항은"nix 경량형 전달기(Light Forwarder) 마이그레이션"의 설명에 따라 경량형 전달기(Light Forwarder)에서 마이그레이션할경우 중요합니다.

범용 전달기(Universal Forwarder) 구성

범용 전달기(Universal Forwarder)는 로컬 시스템의 모든 사용자로 실행할 수 있습니다. 범용 전달기(Universal Forwarder)를 비루트 사용자로 실행할 경우에는 지정된 입력 정보를 읽을 수 있는 충분한 권한이 있는 확인하십시오. 자세한 내용은Splunk를 루트가 아닌 사용자로 실행하는 방법에 대한 설명을 참조하십시오.

구성할 때 체크포인트 설정을 기존 Forwarder에서 범용 전달기(Universal Forwarder)로 마이그레이션할 수 있습니다. "배포 개요"를 참조하십시오.

CLI를 사용하여 범용 전달기(Universal Forwarder)를 시작하고 구성하십시오.

범용 전달기(Universal Forwarder) 시작

중요: 기존 Forwarder에서 마이그레이션하려면 범용 전달기(Universal Forwarder)를 처음 시작하기 전에 일련의 구체적인작업을 수행해야 합니다. 자세한 내용은 "nix Forwarder 마이그레이션"을 참조하십시오.

범용 전달기(Universal Forwarder)를 시작하려면 $SPLUNK_HOME/bin 디렉터리에서 다음 명령어를 실행하십시오. 여기서$SPLUNK_HOME은 범용 전달기(Universal Forwarder)를 설치한 디렉터리입니다.

splunk start

라이선스 계약에 자동으로 동의

범용 전달기(Universal Forwarder)를 새로 설치한 후 처음 시작할 때 라이선스 계약에 동의해야 합니다. 범용 전달기(Universal Forwarder)를 한 번에 시작하고 라이선스 계약에 동의하려면 다음 명령어를 사용하십시오.

splunk start --accept-license

참고: accept-license 옵션 앞에는 대시가 2개 있습니다.

구성 절차

범용 전달기(Universal Forwarder)를 시작하고 라이선스 계약에 동의한 후 다음 단계에 따라 범용 전달기(UniversalForwarder)를 구성하십시오.

1. 범용 전달기(Universal Forwarder)가 자동으로 시작되도록 구성합니다.

splunk enable boot-start

2. 범용 전달기(Universal Forwarder)를 배포 클라이언트로 구성합니다(선택 사항). 이렇게 구성하려면 배포 서버만 지정하면 됩니다.

splunk set deploy-poll <host>:<port>

설명:

<host> 는 배포 서버의 호스트 이름 또는 IP 주소이고 <port>는 수신 대기 포트입니다.

이 단계에서는 배포 클라이언트 기능도 자동으로 활성화됩니다.

3. 범용 전달기(Universal Forwarder)에서 "수신기"라고도 하는 특정 수신 인덱서에 데이터를 전달하도록 구성합니다(선택사항).

33

splunk add forward-server <host>:<port> -auth <username>:<password>

설명:

<host> 는 수신 인덱서의 호스트 이름 또는 IP 주소이고 <port>는 수신 대기 포트입니다. 규칙에 따라 수신기는 포트9997에서 수신을 대기하지만 아무 포트나 수신 대기 포트로 설정할 수 있으므로 수신기의 관리자에게 문의하여 포트번호를 확인해야 합니다. 수신기 설정에 대한 내용은 "수신기 활성화"를 참조하십시오.

<username>:<password> 는 Forwarder에 로그인하기 위한 사용자 이름과 암호입니다. 기본 사용자 이름 및 암호는"admin:changeme"입니다. 기본 암호를 변경하려면 "splunk edit user admin -password <new password> -roleadmin -auth admin:changeme" 명령어를 실행하십시오.

이 단계에는 선택적인 SSL 플래그 집합을 사용하여 인증서 및 루트 CA와 암호를 지정함으로써 Splunk 간 보안 통신 인증서도 구성할 수 있습니다. 예:

splunk add forward-server <host>:<port> -ssl-cert-path /path/ssl.crt -ssl-root-ca-path /path/ca.crt -ssl-password<password>

참고: 수신 인덱서를 지정하지 않을 경우에는 2단계의 설명에 따라 범용 전달기(Universal Forwarder)를 배포 클라이언트로구성하여 나중에 수신 인덱서용으로 구성할 수 있도록 해야 합니다.

4. 범용 전달기(Universal Forwarder)의 입력 정보를 구성하려면 CLI add 명령어를 사용하거나 inputs.conf를 편집합니다.CLI 사용에 대한 자세한 내용은 "CLI에 대하여"와 해당 하위 항목을 참조하십시오.

범용 전달기(Universal Forwarder)에서 지원되는 CLI 명령어의 전체 리스트는 "지원되는 CLI 명령"을 참조하십시오.

배포 테스트


기존 Forwarder에서 마이그레이션한 경우에는 범용 전달기(Universal Forwarder)에서 이전 Forwarder에 의해 전달되지않은 데이터부터 전달하는지 확인하십시오. 그렇지 않은 경우 데이터 입력을 이전 Forwarder와 일치하도록 수정하거나 추가해야 합니다. inputs.conf 파일 2개를 살펴보고 유지할 모든 입력 정보가 새로운 범용 전달기(Universal Forwarder)에 있는지 확인하십시오.


문제 해결 팁은 "배포 문제 해결"을 참조하십시오.


CLI를 사용하는 방법 외에도 범용 전달기(Universal Forwarder)의 구성 파일(inputs.conf 및 outputs.conf 등)을 직접 편집하여 구성을 업데이트할 수도 있습니다. 관련 내용은 "배포 개요"를 참조하십시오.



몇 개의 범용 전달기(Universal Forwarder)만 필요하다면 이 항목에서 설명한 수동 설치 프로세스를 반복하는 방법이 더 간단할 수 있습니다. 그러나 설치해야 하는 범용 전달기(Universal Forwarder)의 수가 더 많으면 (스크립트 또는 배포 도구를사용하여) 원격으로 배포하거나 시스템 이미지 또는 가상 머신의 일부로 배포하는 방법이 더 쉬울 수 있습니다.

배포 문제 해결

범용 전달기(Universal Forwarder)에서는 내부 로그를 수신 인덱서에 전달합니다. 작업 방식은 다음과 같습니다.

$SPLUNK_HOME/var/log/splunk/splunkd.log$SPLUNK_HOME/var/log/splunk/license_audit.log

인덱서에서 로그에 오류가 있는지 검색할 수 있습니다(index=_internal host=<ua-machine>).

범용 전달기(Universal Forwarder)가 작동하지 않아 로그를 전달할 수 없으면 텍스트 편집기 또는 grep을 사용하여 범용 전달기(Universal Forwarder) 컴퓨터에서 로그를 살펴보십시오.

정적 구성을 통해 *nix 범용 전달기(Universal Forwarder) 원격 배포여러 범용 전달기(Universal Forwarder)를 원격으로 배포하기 위해 주로 사용되는 방법 중 하나는 스크립팅입니다. yum 및Puppet과 같은 배포 관리 도구도 사용할 수 있습니다. 이 항목에서는 스크립트 배포에 초점을 맞춥니다.

34

범용 전달기(Universal Forwarder) 하나를 설치 및 구성하는 방법에 대한 내용은 "nix 범용 전달기(Universal Forwarder) 수동 배포"를 참조하십시오. 해당 항목에서는 패키지 또는 tar 파일을 사용하여 다양한 *nix 플랫폼에 설치하는 방법과 CLI를 사용하여 구성(하고 선택적으로 마이그레이션)하는 방법에 대해 설명합니다.

배포 절차


1. "nix 범용 전달기(Universal Forwarder) 수동 배포"의 설명에 따라 범용 전달기(Universal Forwarder)를 테스트 컴퓨터에설치하고 구성합니다.

2. 구성을 테스트하고 조정합니다.

3. 설치 및 구성 명령의 스크립트 래퍼를 만듭니다.

4. 대상 컴퓨터에서 스크립트를 실행하여 스크립트가 필요한 모든 셸과 함께 작동하는지 확인합니다.

5. 스크립트를 원하는 호스트 집합에 대해 실행합니다.

6. 배포 모니터를 사용하여 범용 전달기(Universal Forwarder)가 올바르게 작동하는지 확인합니다.

스크팁트 작성 및 실행

완전히 구성된 범용 전달기(Universal Forwarder)를 테스트하여 설치 및 구성 프로세스를 확인했으면 프로세스를 스크립트에 통합할 준비가 된 것입니다.

스크립트 요구 사항

대상 컴퓨터에서 액세스할 수 있는 네트워크 위치에 설치 패키지 또는 tar 파일을 배치해야 합니다. 스크립트에서 파일을 각대상 호스트로 푸시하도록 설정하거나 파일을 NFS 마운트처럼 일반적인 액세스가 가능한 위치에 배치할 수 있습니다.

스크립트가 오류를 보고하는 작업을 수행합니다. Splunk에 직접 로깅하거나 플랫 파일을 통해 로깅하는 방법이 권장됩니다.

샘플 스크립트

아래에는 출발점으로 사용할 수 있는 샘플 스크립트가 있습니다. 샘플 스크립트는 배포를 위해 작성할 수 있는 스크립트 유형의 한 가지 예일 뿐입니다. 스크립트를 필요에 따라 구성하는 방법에 대해 안내하는 주석이 스크립트에 있지만, 이 주석에서설명하는 내용보다 스크립트를 더 많이 수정해야 하는 경우가 많습니다.

스크립트는 다음과 같은 작업을 수행하기 위해 사용합니다.

Forwarder의 tar 파일을 HOST_FILE 변수와 연결된 파일에서 지정한 호스트 리스트에 배포. 이 파일을 스크립트 주석에지정된 형식으로 제공해야 합니다.

tar 파일의 압축을 해제할 각 대상 호스트에 위치 지정.

나중에 Forwarder를 관리하고 업데이트할 수 있는 배포 서버의 역할을 수행할 Splunk Enterprise 인스턴스 지정. 이구성 단계는 선택 사항입니다.

각 호스트에서 Forwarder 실행 파일 시작

스크립트에는 많은 주석이 있으므로, 환경에 따라 스크립트를 수정하기 전에 주석을 잘 살펴보십시오.

다음은 배포 스크립트의 샘플입니다.

#!/bin/sh

# This script provides an example of how to deploy the universal forwarder# to many remote hosts via ssh and common Unix commands.## Note that this script will only work unattended if you have SSH host keys# setup & unlocked.# To learn more about this subject, do a web search for "openssh key management".

# ----------- Adjust the variables below -----------

# Populate this file with a list of hosts that this script should install to,# with one host per line. You may use hostnames or IP addresses, as# applicable. You can also specify a user to login as, for example, "foo@host".## Example file contents:

35

# server1# server2.foo.lan# you@server3# 10.2.3.4

HOSTS_FILE="/path/to/splunk.install.list"

# This is the path to the tar file that you wish to push out. You may# wish to make this a symlink to a versioned tar file, so as to minimize# updates to this script in the future.

SPLUNK_FILE="/path/to/splunk-latest.tar.gz"

# This is where the tar file will be stored on the remote host during# installation. The file will be removed after installation. You normally will# not need to set this variable, as $NEW_PARENT will be used by default.## SCRATCH_DIR="/home/your_dir/temp"

# The location in which to unpack the new tar file on the destination# host. This can be the same parent dir as for your existing # installation (if any). This directory will be created at runtime, if it does# not exist.

NEW_PARENT="/opt"

# After installation, the forwarder will become a deployment client of this# host. Specify the host and management (not web) port of the deployment server# that will be managing these forwarder instances. If you do not wish to use# a deployment server, you may leave this unset.## DEPLOY_SERV="splunkDeployMaster:8089"

# A directory on the current host in which the output of each installation# attempt will be logged. This directory need not exist, but the user running# the script must be able to create it. The output will be stored as# $LOG_DIR/<[user@]destination host>. If installation on a host fails, a# corresponding file will also be created, as# $LOG_DIR/<[user@]destination host>.failed.

LOG_DIR="/tmp/splunkua.install"

# For conversion from normal Splunk Enterprise installs to the universal forwarder:# After installation, records of progress in indexing files (monitor)# and filesystem change events (fschange) can be imported from an existing# Splunk Enterprise (non-forwarder) installation. Specify the path to that installation here.# If there is no prior Splunk Enterprise instance, you may leave this variable empty ("").## NOTE: THIS SCRIPT WILL STOP THE SPLUNK ENTERPRISE INSTANCE SPECIFIED HERE.## OLD_SPLUNK="/opt/splunk"

# If you use a non-standard SSH port on the remote hosts, you must set this.# SSH_PORT=1234

# You must remove this line, or the script will refuse to run. This is to# ensure that all of the above has been read and set. :)

UNCONFIGURED=1

# ----------- End of user adjustable settings -----------

# helpers.

faillog() { echo "$1" >&2}

fail() { faillog "ERROR: $@" exit 1

36

}

# error checks.

test "$UNCONFIGURED" -eq 1 && \ fail "This script has not been configured. Please see the notes in the script."test -z "$HOSTS_FILE" && \ fail "No hosts configured! Please populate HOSTS_FILE."test -z "$NEW_PARENT" && \ fail "No installation destination provided! Please set NEW_PARENT."test -z "$SPLUNK_FILE" && \ fail "No splunk package path provided! Please populate SPLUNK_FILE."if [ ! -d "$LOG_DIR" ]; then mkdir -p "$LOG_DIR" || fail "Cannot create log dir at \"$LOG_DIR\"!"fi

# some setup.

if [ -z "$SCRATCH_DIR" ]; then SCRATCH_DIR="$NEW_PARENT"fiif [ -n "$SSH_PORT" ]; then SSH_PORT_ARG="-p${SSH_PORT}" SCP_PORT_ARG="-P${SSH_PORT}"fi

NEW_INSTANCE="$NEW_PARENT/splunkforwarder" # this would need to be edited for non-UA...DEST_FILE="${SCRATCH_DIR}/splunk.tar.gz"

### create script to run remotely.##

REMOTE_SCRIPT=" fail() { echo ERROR: \"\$@\" >&2 test -f \"$DEST_FILE\" && rm -f \"$DEST_FILE\" exit 1 }"

### try untarring tar file.REMOTE_SCRIPT="$REMOTE_SCRIPT (cd \"$NEW_PARENT\" && tar -zxf \"$DEST_FILE\") || fail \"could not untar /$DEST_FILE to $NEW_PARENT.\""

### setup seed file to migrate input records from old instance, and stop old instance.if [ -n "$OLD_SPLUNK" ]; then REMOTE_SCRIPT="$REMOTE_SCRIPT echo \"$OLD_SPLUNK\" > \"$NEW_INSTANCE/old_splunk.seed\" || fail \"could not create seed file.\" \"$OLD_SPLUNK/bin/splunk\" stop || fail \"could not stop existing splunk.\" "fi

### setup deployment client if requested.if [ -n "$DEPLOY_SERV" ]; then REMOTE_SCRIPT="$REMOTE_SCRIPT \"$NEW_INSTANCE/bin/splunk\" set deploy-poll \"$DEPLOY_SERV\" --accept-license --answer-yes \ --auto-ports --no-prompt || fail \"could not setup deployment client\" "fi

### start new instance.REMOTE_SCRIPT="$REMOTE_SCRIPT \"$NEW_INSTANCE/bin/splunk\" start --accept-license --answer-yes --auto-ports --no-prompt || \ fail \"could not start new splunk instance!\""

### remove downloaded file.REMOTE_SCRIPT="$REMOTE_SCRIPT

37

rm -f "$DEST_FILE" || fail \"could not delete downloaded file $DEST_FILE!\""

### end of remote script.##

exec 5>&1 # save stdout.exec 6>&2 # save stderr.

echo "In 5 seconds, will copy install file and run the following script on each"echo "remote host:"echoecho "===================="echo "$REMOTE_SCRIPT"echo "===================="echoecho "Press Ctrl-C to cancel..."test -z "$MORE_FASTER" && sleep 5echo "Starting."

# main loop. install on each host.

for DST in `cat "$HOSTS_FILE"`; do if [ -z "$DST" ]; then continue; fi

LOG="$LOG_DIR/$DST" FAILLOG="${LOG}.failed" echo "Installing on host $DST, logging to $LOG."

# redirect stdout/stderr to logfile. exec 1> "$LOG" exec 2> "$LOG"

if ! ssh $SSH_PORT_ARG "$DST" \ "if [ ! -d \"$NEW_PARENT\" ]; then mkdir -p \"$NEW_PARENT\"; fi"; then touch "$FAILLOG" # restore stdout/stderr. exec 1>&5 exec 2>&6 continue fi

# copy tar file to remote host. if ! scp $SCP_PORT_ARG "$SPLUNK_FILE" "${DST}:${DEST_FILE}"; then touch "$FAILLOG" # restore stdout/stderr. exec 1>&5 exec 2>&6 continue fi # run script on remote host and log appropriately. if ! ssh $SSH_PORT_ARG "$DST" "$REMOTE_SCRIPT"; then touch "$FAILLOG" # remote script failed. else test -e "$FAILLOG" && rm -f "$FAILLOG" # cleanup any past attempt log. fi

# restore stdout/stderr. exec 1>&5 exec 2>&6

if [ -e "$FAILLOG" ]; then echo " --> FAILED <--" else echo " SUCCEEDED" fi

38

done

FAIL_COUNT=`ls "${LOG_DIR}" | grep -c '\.failed$'`if [ "$FAIL_COUNT" -gt 0 ]; then echo "There were $FAIL_COUNT remote installation failures." echo " ( see ${LOG_DIR}/*.failed )"else echo echo "Done."fi

# Voila.

스크립트 실행

스크립트를 실행한 후 설치 스크립트에서 생성된 로그 파일을 살펴보고 오류가 있는지 확인하십시오. 예를 들어, 샘플 스크립트는 /tmp/splunkua.install/<destination hostname>에 저장합니다.

시스템 이미지의 일부로 범용 전달기(Universal Forwarder) 배포이 항목에서는 범용 전달기(Universal Forwarder)를 시스템 이미지 또는 가상 머신의 일부로 배포하는 방법에 대해 설명합니다. 이 방법은 특히 배포할 범용 전달기(Universal Forwarder)의 수가 많을 경우에 유용합니다. 범용 전달기(UniversalForwarder)의 수가 많지 않으면 Windows 및 nix 컴퓨터에 대해 설명되어 있는 내용에 따라 수동으로 설치하는 방법이 더 간단할 수 있습니다.


배포 절차


1. 범용 전달기(Universal Forwarder)를 테스트 컴퓨터에 설치합니다. 아래를 참조하십시오.

2. 여기에 설명된 대로 설치 후 구성을 모두 수행합니다.

3. 아래 설명에 따라 배포를 테스트하고 조정합니다.

4. 테스트한 구성을 사용하여 범용 전달기(Universal Forwarder)를 원본 컴퓨터에 설치합니다.

5. 범용 전달기(Universal Forwarder)를 중지합니다.

6. Forwarder에서 다음 CLI 명령어를 실행합니다.

./splunk clone-prep-clear-config

이렇게 하면 서버 이름과 GUID 같은 인스턴스별 정보가 Forwarder에서 삭제됩니다. 그런 다음 이 정보는 처음 시작할 때 각각의 복제된 Forwarder에서 구성됩니다.

7. 복제를 위해 필요에 따라 이미지 또는 가상 머신을 준비합니다.

8. *nix 시스템에서 cron 또는 원하는 일정 관리 시스템을 사용하여 splunkd 데몬이 부팅 시 시작되도록 설정합니다.Windows에서는 서비스를 Automatic으로 설정하지만 시작하지 않습니다.

9. 시스템 이미지 또는 가상 머신 복제본을 환경 전체에 분산되어 있는 컴퓨터에 배포하고 시작합니다.

10. 배포 모니터를 사용하여 복제된 범용 전달기(Universal Forwarder)가 작동하는지 확인합니다.

참조 절차

위 배포 절차의 각 단계에는 다음과 같은 하위 항목이 참조되었습니다.


사용 중인 운영 체제에 해당되는 절차를 사용하여 범용 전달기(Universal Forwarder)를 설치하십시오.

*nix 컴퓨터에 설치하려면 "nix 범용 전달기(Universal Forwarder) 수동 배포"를 참조하십시오.

Windows 컴퓨터의 경우 설치 프로그램 GUI 또는 명령줄 인터페이스를 사용할 수 있습니다. GUI를 사용하여 설치하려면 "설치 프로그램 GUI를 통해 Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오. 명령줄 인터페이스에 대한 내용은 "명령줄을 통해 Windows 범용 전달기(Universal Forwarder) 배포"를 참조하십시오.

중요: Windows 컴퓨터에서 범용 전달기(Universal Forwarder)가 설치 후에 즉시 시작되지 않도록 하려면 명령줄 인터페이39

스를 사용해야 합니다. 올바른 명령줄 플래그를 사용하여 범용 전달기(Universal Forwarder)를 설치할 때 원본 컴퓨터에서시작되지 않고 활성화 후에 복제본에서 자동으로 시작되도록 구성할 수 있습니다.

설치 시 범용 전달기(Universal Forwarder)를 구성할 수도 있습니다. 배포 개요의 "일반적인 구성 문제"를 참조하십시오.


설치 후에 범용 전달기(Universal Forwarder)의 구성 파일(inputs.conf 및 outputs.conf 등)을 직접 편집하여 해당Forwarder의 구성을 업데이트할 수 있습니다. 관련 내용은 "배포 개요"를 참조하십시오.


배포 테스트


*nix 경량형 전달기(Light Forwarder) 마이그레이션기존 경량형 전달기(Light Forwarder)를 범용 전달기(Universal Forwarder)로 바꾸려면 먼저 경량형 전달기(LightForwarder)의 체크포인트 데이터를 새 Forwarder로 마이그레이션해야 합니다. 체크포인트 데이터는 Forwarder에서 이미인덱서에 전달한 데이터를 추적하기 위해 수집하는 내부 데이터입니다. 체크포인트를 마이그레이션하면 새로운 범용 전달기(Universal Forwarder)가 이전 경량형 전달기(Light Forwarder)에 의해 이미 전송된 데이터를 전달하지 않습니다. 따라서 동일한 데이터가 두 번 인덱싱되지 않습니다.

기존 *nix 경량형 전달기(Light Forwarder)(4.0 버전 이상)에서 범용 전달기(Universal Forwarder)로 체크포인트 데이터를마이그레이션할 수 있습니다. 마이그레이션에 대한 내용은 배포 개요의 "경량형 전달기(Light Forwarder)에서 마이그레이션"을 참조하십시오.

중요: 범용 전달기(Universal Forwarder)를 설치 후에 처음 시작할 때만 마이그레이션할 수 있습니다. 나중에 마이그레이션할 수 없습니다.

마이그레이션하려면 다음 작업을 수행하십시오.

1. 기존 Forwarder를 위한 모든 서비스(splunkd와 splunkweb(실행 중인 경우))를 중지합니다.

$SPLUNK_HOME/bin/splunk stop

2. "nix 범용 전달기(Universal Forwarder) 수동 배포"의 설명에 따라 범용 전달기(Universal Forwarder) 기본 설치를 완료합니다. 아직 범용 전달기(Universal Forwarder)를 시작하지 마십시오.

중요: 범용 전달기(Universal Forwarder)를 기존 경량형 전달기(Light Forwarder)와 다른 디렉터리에 설치해야 합니다. 범용 전달기(Universal Forwarder)의 기본 설치 디렉터리는 /opt/splunkforwarder이고 전체 Splunk Enterprise(경량형 전달기(Light Forwarder) 포함)의 기본 설치 디렉터리는 /opt/splunk이므로 기본 설정을 사용하면 안전합니다.

3. 범용 전달기(Universal Forwarder)의 설치 디렉터리(새로운 $SPLUNK_HOME)에 old_splunk.seed 파일, 즉$SPLUNK_HOME/old_splunk.seed를 만듭니다. 이 파일에는 이전 Forwarder의 $SPLUNK_HOME 디렉터리 경로로 구성된 줄 하나가포함되어야 합니다. 예: /opt/splunk.

4. 범용 전달기(Universal Forwarder)를 시작합니다.

$SPLUNK_HOME/bin/splunk start

범용 전달기(Universal Forwarder)가 $SPLUNK_HOME/old_splunk.seed 파일에 지정된 Forwarder에서 체크포인트 파일을 마이그레이션합니다. 마이그레이션은 start 명령어를 처음 실행할 때만 수행됩니다. old_splunk.seed 위치를 변경할 필요는 없습니다. Splunk에서는 Forwarder를 설치한 후 처음 시작할 때만 해당 파일을 살펴봅니다.

5. "nix 범용 전달기(Universal Forwarder) 수동 배포"의 설명에 따라 범용 전달기(Universal Forwarder)의 추가 구성 작업을모두 수행합니다. 마이그레이션 프로세스에서는 체크포인트 파일만 복사하므로, 이전 Forwarder의 inputs.conf 구성 파일을수동으로 복사(아니면 적어도 해당 Forwarder에서 모니터링하던 데이터 입력을 조사하여 확인)해야 할 경우가 있습니다.

범용 전달기(Universal Forwarder)의 작동이 시작되고 마이그레이션이 올바르게 수행되었는지 테스트한 후 이전Forwarder를 제거할 수 있습니다.

고급 구성 수행outputs.conf를 사용하여 Forwarder 구성outputs.conf 파일은 Forwarder에서 수신기로 데이터를 전송하는 방법을 정의합니다. 일부 출력 구성을 설치 시(Windows

40

범용 전달기(Universal Forwarder)만 해당) 지정하거나 Splunk Web(중량형/경량형 전달기(heavy/light Forwarder)만 해당) 또는 CLI를 통해 지정할 수 있지만, 고급 구성을 설정하려면 outputs.conf를 직접 편집해야 합니다. 부하 분산 및 데이터전송과 같은 다양한 토폴로지에 대해 설명하는 각 항목에는 해당 토폴로지를 지원하기 위해 outputs.conf를 구성하는 예가자세히 나와 있습니다.

중요: outputs.conf는 Forwarder를 구성하는 데 중요한 파일이지만, Forwarder에서 출력되는 정보만 구성하는 데 사용됩니다. Forwarder에 입력되는 정보를 지정하려면 다른 Splunk Enterprise 인스턴스와 마찬가지로 입력을 별도로 구성해야 합니다. 입력 정보 구성에 대한 자세한 내용은 데이터 가져오기 매뉴얼의 "데이터 추가 및 입력 정보 구성"을 참조하십시오.

outputs.conf 파일 유형

Forwarder 하나에 outputs.conf 파일이 여러 개가 있을 수 있습니다(예: 앱 디렉터리에 있는 파일 하나와 /system/local에 있는 다른 파일 하나). Forwarder에 상주하는 outputs.conf 파일의 수와 위치에 관계 없이 Forwarder에서는 "구성 파일 우선순위"에 설명되어 있는 위치 우선 순위 규칙에 따라 모든 파일의 설정을 결합합니다. 설치한 Forwarder에는 기본 및 사용자지정 outputs.conf 파일이 모두 포함됩니다.

기본 버전

Splunk Enterprise는 다음과 같은 기본 outputs.conf 버전과 함께 제공됩니다.

범용 전달기(Universal Forwarder): 범용 전달기(Universal Forwarder)에는 두 개의 기본 outputs.conf 파일이 있으며, 각각 $SPLUNK_HOME/etc/system/default에 하나, $SPLUNK_HOME/etc/apps/SplunkUniversalForwarder/default에 하나가있습니다. SplunkUniversalForwarder 앱의 기본 버전이 /etc/system에 있는 버전보다 우선합니다.중량형(Heavy Forwarder) 및 경량형 전달기(Light Forwarder): 여기에는 $SPLUNK_HOME/etc/system/default에 위치한 기본 outputs.conf 파일이 하나 있습니다.

중요: 구성 파일의 기본 버전은 수정하지 마십시오. "구성 파일에 대하여"에 그 이유가 나와 있습니다.

사용자 지정 버전

전달 동작을 구성할 때 변경한 내용은 outputs.conf의 사용자 지정 버전에 저장됩니다. 전달 동작은 다음과 같은 방법으로 지정할 수 있습니다.

Forwarder 설치 도중(Windows 범용 전달기(Universal Forwarder)만 해당)CLI 명령어 실행Splunk Web 사용(중량형/경량형 전달기(Heavy/Light Forwarder)만 해당)outputs.conf 파일 직접 편집

처음 세 가지 방법을 사용하면 Forwarder에서 outputs.conf의 사용자 지정 버전을 자동으로 만들거나 편집합니다. 사용자 지정 버전의 위치는 Forwarder 유형 및 기타 요인에 따라 다릅니다.

범용 전달기(Universal Forwarder). CLI를 사용하여 범용 전달기(Universal Forwarder)의 출력 동작을 변경하면outputs.conf의 복사본이 $SPLUNK_HOME/etc/system/local에 생성 또는 편집됩니다. 그러나 Windows 설치 프로세스에서는 구성 변경 사항이 MSICreated 앱에 있는 outputs.conf 파일에 작성됩니다. 범용 전달기(Universal Forwarder) 구성에 대한 자세한 내용은 여기를 참조하십시오.

중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder). Splunk Web 또는 CLI를 통해 중량형/경량형 전달기(Heavy/Light Forwarder)를 활성화하면 outputs.conf 파일이 현재 실행 중인 앱의 디렉터리에 생성됩니다.예를 들어, 검색 앱에서 작업하는 경우에는 파일이 $SPLUNK_HOME/etc/apps/search/local/에 저장됩니다. 그러면 해당 디렉터리에서 파일을 편집할 수 있습니다.

(예를 들어 CLI를 통해) 간접적으로 만들고 편집하는 outputs.conf 파일 외에도 outputs.conf 파일을 직접 만들거나 편집할 수도 있습니다. 파일 복사본을 하나만 사용하여 작업을 수행하고 $SPLUNK_HOME/etc/system/local/에 저장하는 것이 좋습니다.CLI를 통해 구성을 변경함으로써 해당 디렉터리에 파일의 복사본이 이미 존재할 경우에는 해당 복사본을 편집하십시오. 배포및 관리를 단순화하기 위해 모든 기본 버전이 아닌 다른 설정을 사용자 지정 outputs.conf 파일 하나로 합칠 수 있습니다.

outputs.conf를 변경한 후에 변경 사항을 적용하려면 Forwarder를 재시작해야 합니다.

outputs.conf에 대한 자세한 내용은 여기에서 사양과 예를 참조하십시오.

구성 수준

출력 프로세서의 유형에는 tcpout 및 syslog 두 가지가 있습니다. 각각 세 가지 스탠자 수준에서 구성할 수 있습니다.

전역. 전역 수준에서는 전체적으로 적용할 모든 속성과 출력 프로세서에 대해 시스템 전체 수준에서만 구성할 수 있는특정 속성을 지정합니다. 이 스탠자는 선택 사항입니다.대상 그룹. 대상 그룹은 하나 이상의 수신 인덱서에 대한 설정을 정의합니다. 출력 프로세서 하나에 여러 개의 대상 그룹이 있을 수 있습니다. 구성 설정은 대부분 대상 그룹 수준에서 지정할 수 있습니다.단일 서버. 대상 그룹의 단일 서버(수신기)에 대한 구성 값을 지정할 수 있습니다. 이 스탠자 유형은 선택 사항입니다.

더 세부적인 수준의 구성이 우선합니다. 예를 들어 대상 그룹에 대해 compressed=true로 지정하면 Forwarder에서는compressed가 전역 수준에서 "false"로 설정된 경우에도 해당 대상 그룹의 서버에 압축된 데이터를 전송합니다.

참고: 여기서는 [tcpout] 헤더를 사용하는 tcpout 프로세서를 주로 설명합니다. syslog 출력 프로세서에 대한 내용은 "타사시스템에 데이터 전달"을 참조하십시오.

41

시스템에 데이터 전달"을 참조하십시오.

전역 스탠자

여기서는 전역에 적용할 모든 속성을 설정합니다. 이 스탠자는 선택 사항입니다. 그러나 defaultGroup과 indexAndForward처럼전역 수준에서만 설정할 수 있는 몇 가지 속성이 있습니다.

tcpout 프로세서에 대한 전역 스탠자는 [tcpout] 헤더를 사용하여 지정합니다.

다음은 전역 tcpout 스탠자의 예입니다.

[tcpout]defaultGroup=indexer1indexAndForward=true

이 전역 스탠자에는 2개의 속성/값 조합이 포함되어 있습니다.

defaultGroup=indexer1 이 경우 Forwarder에서 모든 데이터를 "indexer1" 대상 그룹으로 전송합니다. 자세한 내용은 "기본 대상 그룹"을 참조하십시오.indexAndForward=true 이 경우 Forwarder에서 데이터를 로컬로 인덱싱하고 대상 그룹의 수신 인덱서에 전달합니다. "false"(기본값)로 설정하면 Forwarder에서 데이터를 전달하기만 하고 인덱싱하지 않습니다. 이 속성은 중량형 전달기(Heavy Forwarder)에만 사용할 수 있으며, 범용 전달기(Universal Forwarder) 및 경량형 전달기(LightForwarder)는 데이터를 인덱싱할 수 없습니다.

기본 대상 그룹

자동 전달을 위한 기본 그룹을 설정하려면 defaultGroup 속성을 전역 수준에서 [tcpout] 스탠자에 포함하십시오.

[tcpout]defaultGroup= <target_group1>, <target_group2>, ...

defaultGroup은 나중에 tcpout:<target_group> 스탠자에서 정의되는 대상 그룹을 하나 이상 지정합니다. Forwarder에서는모든 이벤트를 지정된 그룹으로 전송합니다.

데이터를 자동으로 전달하지 않으려면 defaultGroup 속성을 설정하지 마십시오. (4.2 버전 이전에는 defaultGroup을 설정해야했지만, 더 이상 그럴 필요가 없습니다.)

defaultGroup 속성의 사용에 대한 예는 "데이터 전송 및 필터링"을 참조하십시오.

대상 그룹 스탠자

대상 그룹은 수신기 집합을 식별하고, Forwarder에서 해당 수신기로 데이터를 전송하는 방법도 지정합니다. 대상 그룹을 여러 개 정의할 수 있습니다.

대상 그룹 스탠자의 기본 패턴은 다음과 같습니다.

[tcpout:<target_group>]server=<receiving_server1>, <receiving_server2>, ...<attribute1> = <val1><attribute2> = <val2>...

대상 그룹의 수신 서버를 지정하려면 <ipaddress_or_servername>:<port> 형식을 사용하십시오. 여기서 <port>는 수신 서버의수신 포트입니다. 예: myhost.Splunk.com:9997. 수신기를 여러 개 지정할 수 있으며, Forwarder에서 각 수신기에 부하를 분산시킵니다.

대상 그룹 스탠자를 사용하여 여러 배포 토폴로지를 정의하는 방법에 대한 내용은 이 항목 뒷부분의 "일반적인 배포 토폴로지 정의"를 참조하십시오.

단일 서버 스탠자

개별 수신 인덱서에 대해 특정 구성을 정의할 수 있습니다. 그러나 수신기가 대상 그룹에도 속해 있어야 합니다.

단일 서버 수준에서 속성을 정의하면 해당 속성이 대상 그룹 또는 전역 수준에서 정의한 속성에 우선합니다.

단일 서버 스탠자를 정의하는 구문은 다음과 같습니다.

[tcpout-server://<ipaddress_or_servername>:<port>]<attribute1> = <val1><attribute2> = <val2>...

42

예

outputs.conf의 다음 예에는 tcpout을 Splunk Enterprise 수신기에 전송하는 스탠자 3개가 있습니다.

전역 설정. 이 예에는 defaultGroup을 지정하는 설정이 하나 있습니다.수신기 2개로 구성된 단일 대상 그룹에 대한 설정. 여기서는 수신기 2개로 구성된 부하 분산 대상 그룹을 지정합니다.대상 그룹에 속한 수신기 하나에 대한 설정. 이 스탠자에서는 mysplunk_indexer1 수신기에 해당되는 모든 설정을 지정할 수 있습니다.

[tcpout]defaultGroup=my_indexers

[tcpout:my_indexers]server=mysplunk_indexer1:9997, mysplunk_indexer2:9996

[tcpout-server://mysplunk_indexer1:9997]

일반적인 배포 토폴로지 정의

이 항목에서는 여러 일반적인 배포 토폴로지를 지원하도록 Forwarder를 구성할 수 있는 방법에 대해 설명합니다. 다른 토폴로지를 위해 Forwarder를 구성하는 방법에 대한 내용은 이 매뉴얼의 "데이터 전달" 절에 있는 기타 항목을 참조하십시오.

부하 분산

부하 분산을 수행하려면 수신기가 여러 개인 대상 그룹을 하나 지정하십시오. 이 예에서는 대상 그룹이 수신기 3개로 구성되어 있습니다.

[tcpout:my_LB_indexers]server=10.10.10.1:9997,10.10.10.2:9996,10.10.10.3:9995

Forwarder에서는 나열된 수신기 3개에 부하를 분산시킵니다. 수신기 하나의 작동이 중단되면 Forwarder에서 사용 가능한다음 수신기로 자동 전환합니다.

데이터 복제

데이터 복제를 수행하려면 여러 대상 그룹을 자체 스탠자에서 지정하십시오. 데이터 복제 시 Forwarder에서 모든 이벤트의복사본을 2개 이상의 대상 그룹에 속한 수신기로 전송합니다. 데이터 복제를 수행하면 일반적으로 여러 수신 인덱서에서 유사하지만 완전히 동일하지는 않은 데이터의 복사본이 생성될 수 있습니다. 다음은 데이터 복제를 설정하는 방법의 예입니다.

[tcpout]defaultGroup=indexer1,indexer2

[tcpout:indexer1]server=10.1.1.197:9997

[tcpout:indexer2]server=10.1.1.200:9997

Forwarder에서는 indexer1 및 indexer2 대상 그룹에 모두 지정되어 있는 서버에 중복되는 데이터 스트림을 전송합니다.

데이터 복제와 부하 분산

부하 분산을 데이터 복제와 결합할 수 있습니다. 예:

[tcpout]defaultGroup=cloned_group1,cloned_group2

[tcpout:cloned_group1]server=10.10.10.1:9997, 10.10.10.2:9997, 10.10.10.3:9997

[tcpout:cloned_group2]server=10.1.1.197:9997, 10.1.1.198:9997, 10.1.1.199:9997, 10.1.1.200:9997

Forwarder에서는 cloned_group1과 cloned_group2.에 모두 전체 데이터 스트림을 전송합니다. 각 그룹에서 30초(기본 간격)마다 전송 대상 수신기를 순환하는 방식으로 데이터 부하가 분산됩니다.

참고: syslog 및 기타 출력 유형에 대해서는 "데이터 전송 및 필터링"에 설명된 대로 전송을 명시적으로 지정해야 합니다.

일반적으로 사용되는 속성

43

outputs.conf 파일에는 전달 시 효율성과 관리성을 개선하기 위한 여러 구성 옵션이 있습니다. 사용 가능한 속성 중에 특히 중요한 속성은 다음과 같습니다.

속성기본값

구성 위치

값

defaultGroup n/a 전역 스탠자

대상 그룹이 여러 개인 경우 쉼표로 구분한 리스트. Forwarder에서 모든 이벤트를 지정된 모든 대상 그룹에 전송합니다. 이벤트가 대상 그룹에 자동으로 전달되지 않도록 하려면 이 속성을 설정하지 마십시오.

indexAndForward false 전역 스탠자

"t rue"로 설정하면 Forwarder에서 데이터를 수신 인덱서에 전달하고 모든 데이터를 로컬 인덱싱합니다.

중요: 이 속성은 중량형 전달기(Heavy Forwarder)에서만 사용 가능합니다. 범용 전달기(Universal Forwarder)에서는 로컬 인덱싱할 수 없습니다.

server n/a대상 그룹 스탠자

필수 사항. Forwarder의 수신기 기능을 수행할 서버를 지정합니다. 이 값은<ipaddress_or_servername>:<port> 형식을 사용하여 설정해야 합니다. 여기서<port>는 수신 서버의 수신 포트입니다.

disabled false모든 스탠자 수준

스탠자의 비활성화 여부를 지정합니다. "t rue"로 설정하면 스탠자가 없는 것과동일합니다.

sendCookedData true전역 또는 대상그룹 스탠자

데이터를 전달하기 전에 가공(cook)하는지 지정합니다.

compressed false전역 또는 대상그룹 스탠자

Forwarder에서 압축된 데이터를 전송하는지 지정합니다.

ssl.... n/a모든 스탠자 수준

SSL 구성 속성 집합. 해당 속성을 사용하는 방법에 대한 내용은 SplunkEnterprise 보안 매뉴얼의 "Forwarder에서 전송하는 데이터 보안에 대하여"를 참조하십시오.

useACK false전역 또는 대상그룹 스탠자

Forwarder에서 데이터가 파일 시스템에 작성되었음을 확인하는 인덱서 수신확인을 기다리는지 지정합니다. "실행 중인 데이터의 손실 방지"를 참조하십시오.

dnsResolut ionInterval 300전역 또는 대상그룹 스탠자

인덱서 DNS 이름을 IP 주소로 확인하는 기본 시간 간격을 초 단위로 지정합니다. "DNS 확인 간격"을 참조하십시오.

위의 구성 옵션과 기타 모든 구성 옵션에 대한 세부 정보는 여기서 찾을 수 있는 outputs.conf.spec 파일과 몇 가지 예를 통해얻을 수 있습니다. 또한 위의 설정에 대해서는 특정 전달 시나리오를 다루는 각 항목에 대부분 설명되어 있습니다.

참고: 4.2 버전에서는 영구 대기열 기능이 크게 개선되었습니다. 이제는 이 기능이 데이터 입력 기능이므로 inputs.conf에 구성되어 있습니다. outputs.conf를 통해 구성된, 더 이상 사용되지 않는 이전의 영구 대기열 기능과 이 기능은 전혀 관련이 없습니다. 자세한 내용은 "영구 대기열을 사용하여 데이터 손실 방지"를 참조하십시오.

DNS 확인 간격

dnsResolutionInterval 속성은 수신기 DNS 이름을 IP 주소로 확인하는 기본 시간 간격을 초 단위로 지정합니다. 이 값은 다음과 같이 런타임 간격을 계산하기 위해 사용됩니다.

run-time interval = dnsResolutionInterval + (number of receivers in server attribute - 1) * 30

런타임 간격은 server 속성에서 지정되는 수신기(Forwarder에서 부하를 분산시키는 수신기)가 하나씩 추가될 때마다 30초씩 연장됩니다. dnsResolutionInterval 속성의 기본값은 300초입니다.

예를 들어 속성을 300초(기본 설정)로 사용하고 Forwarder에서 부하를 20개의 인덱서로 분산시킬 경우에는 DNS 확인이14분마다 수행됩니다.

(300 + ((20 - 1) * 30)) = 870 seconds = 14 minutes

dnsResolutionInterval을 600초로 변경하고 부하 분산 인덱서 수를 20개로 유지하면 DNS 확인이 19.5분마다 수행됩니다.

(600 + ((20 - 1) * 30)) = 1170 seconds = 19.5 minutes

44

실행 중인 데이터의 손실 방지인덱서로 전달할 때 데이터 손실을 방지하기 위해 인덱서 수신확인 기능을 사용할 수 있습니다. 인덱서 수신확인을 사용하면Forwarder에서 인덱서에 의해 "수신"되었다고 확인되지 않은 모든 데이터를 다시 전송합니다.

Forwarder에 대한 인덱서 수신확인은 outputs.conf에서 활성화합니다. 이 기능은 성능에 영향을 미칠 수 있기 때문에 기본적으로 사용할 수 없습니다.

참고: 인덱서 수신확인을 사용하려면 Forwarder 및 인덱서가 모두 4.2 버전 이상이어야 합니다. 그렇지 않으면 전송이 수신확인 없이 진행됩니다.

인덱서 수신확인과 클러스터

Forwarder를 사용하여 클러스터의 피어 노드로 데이터를 전송할 때는 일반적으로 인덱서 수신확인을 사용해야 합니다.Forwarder와 클러스터에 대한 자세한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "Forwarder를 사용하여 데이터 가져오기"를 참조하십시오.

정상적인 경우 인덱서 수신확인 작동 방법

Forwarder는 데이터를 약 64kB 크기의 블록으로 인덱서에 계속 보냅니다. 그리고 인덱서로부터 수신확인을 받을 때까지 메모리의 각 블록에 대한 복사본을 대기열에서 유지 관리합니다. 대기하는 동안 더 많은 데이터 블록을 계속 보냅니다.

정상적인 경우 인덱서는 다음과 같이 작업을 수행합니다.

1. 데이터 블록을 수신합니다.

2. 데이터를 파싱합니다.

3. 데이터를 파일 시스템에 이벤트로 작성합니다(원시 데이터 및 인덱스 데이터).

4. 수신확인을 Forwarder에 보냅니다.

수신확인은 인덱서에서 데이터가 수신되고 파일 시스템에 성공적으로 작성되었음을 Forwarder에 알리는 기능입니다. 수신확인을 받으면 즉시 Forwarder는 메모리에서 해당 블록을 해제합니다.

크기가 충분한 대기열은 수신확인이 도착할 때까지 기다리는 동안 가득 차지 않습니다. 그러나 이 항목에서 가능한 문제와 대기열 크기를 늘리는 방법 등의 문제 해결 방법을 확인하십시오.

장애 발생 시 인덱서 수신확인 기능 작동 방법

송수신 프로세스에서 장애가 발생하면 Forwarder에서 수신확인을 받지 못합니다. 그러면 Forwarder에서 데이터 블록을 다시 전송하려고 시도합니다.

수신확인을 받지 못하는 이유

Forwarder에서 수신확인을 받지 못하는 이유는 다음과 같습니다.

데이터 수신 후 인덱서가 컴퓨터 장애 등으로 인해 중단됨인덱서가 가득 찬 디스크 등으로 인해 파일 시스템에 쓸 수 없음수신확인이 Forwarder로 전송되는 중에 네트워크 작동이 중단됨

Forwarder의 장애 처리 방법

Forwarder에서는 데이터 블록을 전송한 후 수신확인을 받을 때까지 데이터의 복사본을 대기열에 보관합니다. 그 동안Forwarder에서는 평소처럼 추가 블록을 계속 전송합니다. Forwarder에서는 300초(기본값) 이내에 데이터 블록에 대한 수신확인을 받지 못하면 연결을 닫습니다. 대기 시간은 outputs.conf의 readTimeout 속성을 설정하여 변경할 수 있습니다.

Forwarder가 자동 부하 분산을 사용하도록 설정된 경우 Forwarder에서 그룹의 다음 인덱서(있을 경우)를 위해 연결을 열고해당 인덱서로 데이터를 전송합니다. Forwarder가 자동 부하 분산을 사용하도록 설정되지 않은 경우 Forwarder에서 이전처럼 동일한 인덱서를 위해 연결을 열고 데이터를 다시 전송하려고 합니다.

Forwarder에서는 수신확인을 받을 때까지 데이터 블록을 대기열에서 유지 관리합니다. 대기열이 가득 차면 Forwarder에서블록 중 하나에 대해 수신확인을 받고 대기열 공간을 비울 수 있을 때까지 블록을 추가로 보내지 않습니다.

Forwarder에서 연결을 닫을 수 있는 다른 이유

Forwarder에서 네트워크 연결을 닫는 원인이 될 수 있는 조건은 다음의 세 가지입니다.

읽기 시간 초과. Forwarder에서 300초(기본값) 이내에 수신확인을 받지 못함. 이 조건에 대해서는 위에서 설명했습니다.쓰기 시간 초과. Forwarder에서 네트워크 쓰기를 300초(기본값) 이내에 완료할 수 없음. 이 값은 outputs.conf에서writeTimeout을 설정하여 구성할 수 있습니다.읽기/쓰기 실패. 일반적인 원인은 인덱서 컴퓨터의 작동 중지 또는 네트워크 작동 중단 등입니다.

이 경우에는 모두 Forwarder에서 부하 분산 그룹의 다음 인덱서를 위해 연결을 열거나, 부하 분산이 활성화되지 않은 경우에45

이 경우에는 모두 Forwarder에서 부하 분산 그룹의 다음 인덱서를 위해 연결을 열거나, 부하 분산이 활성화되지 않은 경우에는 동일한 인덱서를 위해 연결을 다시 열려고 합니다.

중복 가능성

인덱서에서 동일한 데이터 블록을 두 번 인덱싱할 가능성이 있습니다. 이것은 네트워크 문제로 인해 수신확인이 Forwarder에 도착하지 못할 경우 발생할 수 있습니다. 예를 들어 인덱서에서는 데이터 블록을 수신 및 파싱하고 파일 시스템에 작성한후 수신확인을 생성할 수 있습니다. 그러나 Forwarder에 수신확인을 회신하는 도중에 네트워크 작동이 중단되어 Forwarder에서 수신확인을 받지 못할 수 있습니다. 네트워크가 다시 작동하면 Forwarder에서 데이터 블록을 다시 전송하고 인덱서에서 해당 데이터 블록을 새 데이터인 것처럼 파싱하고 기록합니다.

이런 가능성에 대비하기 위해 Forwarder에서는 데이터 블록을 다시 전송할 때마다 해당 데이터 블록이 중복 전송되었을 수있음을 나타내는 이벤트를 splunkd.log에 기록합니다. 관리자는 로그 정보를 사용하여 인덱서에서 중복되는 데이터를 추적해야 합니다.

중복 경고의 예는 다음과 같습니다.

10-18-2010 17:32:36.941 WARN TcpOutputProc - Possible duplication of events with channel=source::/home/jkerai/splunk/current-install/etc/apps/sample_app/logs/maillog.1|host::MrT|sendmail|, streamId=5941229245963076846, offset=131072 subOffset=219 on host=10.1.42.2:9992

인덱서 수신확인 활성화

인덱서 수신확인은 Forwarder에서 구성합니다. outputs.conf에서 useACK 속성을 true로 설정합니다.

[tcpout:<target_group>]server=<server1>, <server2>, ...useACK=true

useACK의 기본 설정은 false입니다.

참고: useACK을 [tcpout] 또는 [tcpout:<target_group>] 스탠자 수준에서 전역으로 설정하거나 대상 그룹별로 설정할 수 있습니다. [tcpout-server: ...] 스탠자 수준에서 개별 수신 인덱서에 대해 설정할 수 없습니다.

자세한 내용은 outputs.conf spec 파일을 참조하십시오.

인덱서 수신확인과 전달 데이터 처리량

Forwarder에서는 대기열을 사용하여 인덱서 수신확인 프로세스를 관리합니다. 이 대기열의 기본 최대 크기는 충분한 크기인 21MB입니다. 그러나 드물기는 하지만 대기열 크기를 수동으로 조정해야 할 경우도 있습니다.

대기열에 대한 자세한 내용은 이 절에서 확인하십시오. 이 절에서는 대기열 크기를 구성하는 방법에 대해 설명하고, 대기열의작동 방법에 대한 자세한 정보도 제공합니다.

대기열 크기 구성 방법

대기열 크기는 사용자가 직접 설정하지 않습니다. 대신, 메모리 출력 대기열의 크기를 설정하면 대기열 크기가 출력 대기열크기의 3배로 자동 설정됩니다. 출력 대기열 크기를 구성하려면 outputs.conf의 maxQueueSize 속성을 사용하십시오.

maxQueueSize 속성의 기본값은 auto입니다. Splunk에서는 이 설정을 사용할 것을 권장합니다. 이 경우 인덱서 수신확인의 활성화 여부에 따라 대기열 크기가 자동으로 최적화됩니다.

useACK=true면 출력 대기열 크기가 7MB, 그리고 대기열 크기가 21MB로 설정됩니다.useACK=false면 출력 대기열 크기가 500KB로 설정됩니다.

필요할 경우 maxQueueSize를 특정 값으로 설정할 수 있습니다. maxQueueSize에 대한 자세한 내용은 outputs.conf spec 파일을 참조하십시오.

maxQueueSize=auto 권장 사항에 대한 다음 내용을 고려하십시오.

인덱서 수신확인을 활성화하면 Forwarder를 재시작한 후에만 대기열 크기 확장이 적용됩니다.auto 설정은 5.0.4 버전 이상의 Forwarder에만 사용 가능합니다. 이전 버전의 Forwarder에서 인덱서 수신확인을 실행할 경우에는 maxQueueSize 속성을 7MB로 명시적으로 설정해야 합니다.

대기열이 중요한 이유

인덱서 수신확인을 활성화하면 Forwarder에서 대기열을 사용하여 수신확인 프로세스를 관리합니다. Forwarder에서 데이터 블록을 연속적으로 전송하고 다음 블록을 전송하기 전에 수신확인을 기다리지 않기 때문에 대기열에서는 일반적으로 수신확인을 기다리는 여러 블록을 유지 관리합니다. Forwarder에서는 대기열이 가득 찰 때까지 블록을 계속 전송하고 대기열이 가득 차면 더 이상 전달하지 않습니다. 그러면 Forwarder에서 수신확인을 받아서 블록을 대기열에서 해제할 수 있을 때까지 기다린 후 전달을 다시 시작할 수 있습니다.

네트워크 또는 인덱서에 문제가 발생하면 대기열이 가득 찰 수 있지만 인덱서 기능이 정상인 경우에도 대기열이 가득 찰 수46

있습니다. 그 이유는 인덱서에서 데이터를 파일 시스템에 기록한 후에만 수신확인을 전송하기 때문입니다. 파일 시스템에 기록하는 작업이 지연되면 수신확인 속도가 느려져 대기열이 가득 찹니다.

정상 작동하는 인덱서에서 데이터를 파일 시스템에 기록하는 작업이 지연될 수 있는 (따라서 수신확인 전송이 지연될 수 있는) 몇 가지 원인이 있습니다.

인덱서의 작업량이 매우 많은 경우. 예를 들어 인덱서에서 여러 검색 요청이나 수많은 Forwarder에서 수신되는 데이터를 처리하는 중에 데이터가 도착할 수 있습니다.인덱서에서 수신되는 데이터가 너무 적은 경우. 효율성을 위해 인덱서에서는 쓰기 대기열이 가득 찰 때나 몇 초의 제한시간이 초과된 후 주기적으로 데이터를 파일 시스템에만 기록합니다. 쓰기 대기열이 채워지는 속도가 느리면 인덱서에서 제한 시간까지 기다린 후 데이터를 기록합니다. 몇 개의 Forwarder에서 전송된 데이터만 수신될 경우 각Forwarder에서 정상적인 양의 데이터가 전송되더라도 인덱서에서 시간 초과 조건에 도달할 수 있습니다. 쓰기 대기열은 핫 버킷마다 하나씩 존재하므로, 특정 버킷에서 소량의 데이터를 수신할 때 시간 초과 조건이 발생합니다. 이렇게 되면 일반적으로 특정 인덱스에서 소량의 데이터를 수신하고 있음을 의미합니다.

Forwarder에서 인덱서의 수신확인을 기다리고 있기 때문에 처리량이 저하되지 않도록 하려면 일반적으로maxQueueSize=auto(기본 설정)를 유지해야 합니다. 드물기는 하지만 Forwarder가 수신확인이 도착할 때까지 기다리는 동안모든 블록을 메모리에서 관리하기 위해 필요한 공간을 충분히 확보할 수 있도록 대기열 크기를 늘려야 하는 경우가 있습니다.반면에 인덱서 하나에 데이터를 공급하는 여러 Forwarder가 있고 Forwarder당 데이터 소스 수가 중간 수준이면 더 작은 크기를 사용하여 메모리를 몇 메가바이트 절약할 수 있습니다.

수신기가 인덱서가 아닌 Forwarder일 때

데이터가 중간 Forwarder를 통해 전송될 때 즉, 발신 Forwarder에서 중간 Forwarder에 데이터를 전송하면 중간 Forwarder에서 다시 인덱서에 데이터를 전달하는 경우에도 인덱서 수신확인을 사용할 수 있습니다. 이 시나리오에서 인덱서 수신확인을 사용하려면 모든 데이터 전송 구간에서 수신확인을 활성화하는 것이 좋습니다. 그러면 발신 Forwarder에서 인덱서까지연결되는 전체 경로를 따라 데이터가 전달됩니다.

데이터를 중간 Forwarder로 전송하는 발신 Forwarder가 있고 중간 Forwarder가 다시 데이터를 인덱서에 전송한다고 가정할 수 있습니다. 전송의 전체 라인에서 인덱서 수신확인을 활성화하려면 두 번 활성화해야 합니다. 먼저 발신 Forwarder와중간 Forwarder 간의 세그먼트에 대해 한 번 활성화하고, 중간 Forwarder와 인덱서 간의 세그먼트에 대해 다시 활성화해야합니다.

두 전송 구간에서 수신확인을 모두 활성화하면 중간 Forwarder에서는 인덱서로부터 수신확인을 받을 때까지 기다린 후 수신확인을 발신 Forwarder로 다시 전송합니다.

그러나 한 구간에서만 활성화하면 해당 전송 부분에서만 인덱서 수신확인을 받게 됩니다. 예를 들어 인덱서 수신확인을 발신Forwarder에서 중간 Forwarder까지의 세그먼트에 대해서만 활성화하고 중간 Forwarder에서 인덱서까지의 세그먼트에 대해서는 활성화하지 않은 경우를 가정해 볼 수 있습니다. 이 경우에는 중간 Forwarder에서 데이터를 인덱서로 전송하는 즉시수신확인을 발신 Forwarder에 다시 전송합니다. 그런 다음 TCP를 통해 데이터를 인덱서로 안전하게 전달합니다. 이 두 번째세그먼트에 대해서는 인덱서 수신확인을 활성화하지 않았기 때문에 중간 Forwarder에서 데이터 전송을 인덱서에 확인해 줄수 없습니다. 이 두 번째 경우는 용도가 제한적이므로 권장되지 않습니다.

데이터 전송 및 필터링Forwarder는 source, source type 또는 이벤트 자체의 패턴과 같은 기준에 따라 데이터를 필터링하고 특정 수신기로 전송할 수 있습니다. Forwarder에서는 예를 들어 한 호스트 그룹의 모든 데이터를 한 인덱서로 전송하고 다른 호스트 그룹의 모든 데이터를 다른 인덱서로 전송할 수 있습니다. 중량형 전달기(Heavy Forwarder)에서는 이벤트를 살펴보고 적절히 필터링하거나 전송할 수도 있습니다. 예를 들어 중량형 전달기(Heavy Forwarder)를 사용하여 WMI 이벤트 코드를 검사하여Windows 이벤트를 필터링하거나 전송할 수 있습니다. 이 항목에서는 일반적인 전송 시나리오에 대해 설명합니다.

수신기로 전송하는 것 외에 Forwarder에서는 데이터를 필터링하고 특정 대기열로 전송하거나 null 대기열로 전송하여 데이터를 완전히 삭제할 수도 있습니다.

중요: 중량형 전달기(Heavy Forwarder)만 데이터를 이벤트 수준에서 전송 또는 필터링할 수 있습니다. 범용 전달기(Universal Forwarder)와 경량형 전달기(Light Forwarder)에는 파일 헤더 추출의 경우를 제외하고 개별 이벤트 검사 기능이없지만, 해당 Forwarder에서 데이터 스트림의 host , source 또는 source type을 기준으로 데이터를 전달할 수 있습니다. 이Forwarder에서는 아래 "데이터 입력을 기준으로 특정 인덱서로 입력 정보 전송" 항목에 설명된 대로 데이터의 입력 스탠자를 기준으로 전송할 수도 있습니다.

다음은 인덱서 3개로 데이터를 전송하는 Forwarder에 대해 설명하는 간단한 그림입니다.

47

이 항목에서는 이벤트 데이터를 필터링하고 Splunk Enterprise 인스턴스로 전송하는 방법에 대해 설명합니다. 비 Splunk 시스템으로 전송하는 방법에 대한 내용은 이 매뉴얼의 "타사 시스템에 데이터 전달"을 참조하십시오.

이 항목에서는 일부 데이터를 중량형 전달기(Heavy Forwarder)에서 로컬 인덱싱하고 인덱싱되지 않은 데이터를 하나 이상의 별도 인덱서에 전달하는 선택적 인덱싱 및 전달을 수행하는 방법에 대해서도 설명합니다. 자세한 내용은 이 항목 뒷부분의"선택적 인덱싱 및 전달 수행"을 참조하십시오.

전송 구성

(중량형 전달기(Heavy Forwarder)를 사용한) 대부분의 전송 시나리오를 정의하는 기본 패턴은 다음과 같습니다.

1. 전송 기준을 결정합니다. 이벤트 범주를 어떻게 구분하고 어디로 전송할 것입니까?

2. props.conf를 편집하고 TRANSFORMS 전송 속성을 추가하여 이벤트 메타데이터 기준으로 전송을 결정합니다.

[<spec>]TRANSFORMS-routing=<transforms_stanza_name>

다음 사항을 고려하십시오.

<spec> 은 다음이 될 수 있습니다.<sourcetype>- 이벤트의 source typehost::<host>(<host>는 이벤트의 호스트임)source::<source>(<source>는 이벤트의 원본임)

TRANSFORMS 속성이 여러 개 있는 경우 각 속성마다 고유한 이름을 사용하십시오. 예: "TRANSFORMS-rout ing1","TRANSFORMS-rout ing2" 등.<transforms_stanza_name> 은 고유해야 합니다.

transforms.conf에 항목을 만들 때 (아래 참조) 여기서 지정한 <transforms_stanza_name>을 사용합니다.

이 항목의 뒷부분에 있는 예에는 이 구문을 사용하는 방법이 나와 있습니다.

3. t ransforms.conf를 편집하여 대상 그룹을 지정하고 이벤트 패턴에 따른 전송에 대한 추가 기준을 설정합니다.

[<transforms_stanza_name>]REGEX=<routing_criteria>DEST_KEY=_TCP_ROUTINGFORMAT=<target_group>,<target_group>,....

참고:

48

<transforms_stanza_name> 은 props.conf에서 정의한 이름과 일치해야 합니다.<routing_criteria>에 전송되는 이벤트를 결정하는 regex 규칙을 입력합니다. 이 행은 반드시 입력해야 합니다.props.conf에서 지정한 메타데이터 이외의 추가 필터링이 필요하지 않으면 "REGEX = ."를 사용합니다.DEST_KEY 는 TCP를 통해 이벤트를 전송하려면 _TCP_ROUTING으로 설정해야 합니다. 다른 출력 프로세서를 사용하는 경우에는 _SYSLOG_ROUTING 또는 _HTTPOUT_ROUTING으로 설정할 수도 있습니다.FORMAT을 outputs.conf에서 정의한 대상 그룹 이름과 일치하는 <target_group>으로 설정하십시오. 쉼표로 구분된 리스트 기준으로 이벤트가 여러 대상 그룹으로 복제됩니다.

이 항목의 뒷부분에 있는 예에는 이 구문을 사용하는 방법이 나와 있습니다.

4. outputs.conf를 편집하여 전송된 데이터의 대상 그룹을 정의합니다.

[tcpout:<target_group>]server=<ip>:<port>

참고:

<target_group>을 transforms.conf에서 지정한 이름과 일치하도록 설정하십시오.IP 주소와 포트를 수신 서버와 일치하도록 설정하십시오.

이 항목에서 설명하는 이용 사례는 일반적으로 이 패턴을 따릅니다.

이벤트 데이터 필터링 및 대상 그룹으로 전송

이 예에서는 중량형 전달기(Heavy Forwarder)가 세 가지 이벤트 유형을 필터링하고 서로 다른 대상 그룹으로 전송합니다.Forwarder에서는 다음과 같은 기준에 따라 필터링하고 전송합니다.

source type이 "syslog"인 이벤트를 부하 분산 대상 그룹으로"error"라는 단어가 포함된 이벤트를 두 번째 대상 그룹으로다른 모든 이벤트를 기본 대상 그룹으로

작업 방법은 다음과 같습니다.

1. $SPLUNK_HOME/etc/system/local에서 props.conf를 편집하여 TRANSFORMS 전송 속성을 2개(syslog 데이터를 위한 속성하나와 다른 모든 데이터의 기본 속성) 설정합니다.

[default]TRANSFORMS-routing=errorRouting

[syslog]TRANSFORMS-routing=syslogRouting

2. transforms.conf를 편집하여 각 전송 변환에 대해 전송 규칙을 설정합니다.

[errorRouting]REGEX=errorDEST_KEY=_TCP_ROUTINGFORMAT=errorGroup

[syslogRouting]REGEX=.DEST_KEY=_TCP_ROUTINGFORMAT=syslogGroup

참고: 이 예에서 syslog 이벤트에 "error"라는 단어가 있으면 이벤트가 errorGroup이 아닌 syslogGroup으로 전송됩니다. 그 이유는 이전에 props.conf에서 지정한 설정 때문입니다. 해당 설정에서는 모든 syslog 이벤트를 syslogRouting 변환을 통해 필터링하는 한편 비 syslog(기본) 이벤트를 errorRouting 변환을 통해 필터링할 것을 지시했습니다. 따라서 비 syslog 이벤트에서만 오류가 검사됩니다.

3. outputs.conf를 편집하여 대상 그룹을 정의합니다.

[tcpout]defaultGroup=everythingElseGroup

[tcpout:syslogGroup]server=10.1.1.197:9996, 10.1.1.198:9997

[tcpout:errorGroup]server=10.1.1.200:9999

[tcpout:everythingElseGroup]

49

server=10.1.1.250:6666

syslogGroup과 errorGroup에서는 transforms.conf에서 지정한 규칙에 따라 이벤트를 수신합니다. 다른 모든 이벤트는 기본그룹인 everythingElseGroup으로 전송됩니다.

일부 데이터를 타사 시스템에 복제

이 예에서는 데이터 필터링을 사용하여 데이터 스트림 2개를 전송합니다. 전달되는 데이터는 다음과 같습니다.

모든 데이터를 가공된 형식으로 Splunk Enterprise 인덱서에 전달(10.1.12.1:9997)복제된 일부 데이터를 원시 데이터 형식으로 타사 서버에 전달(10.1.12.2:1234)

이 예에서는 두 가지 스트림을 모두 TCP 형식으로 보냅니다. 두 번째 스트림을 syslog 데이터 형식으로 보내려면 먼저 인덱서를 통해 데이터를 전송하십시오.

1. props.conf를 편집합니다.

[syslog]TRANSFORMS-routing = routeAll, routeSubset

2. transforms.conf를 편집합니다.

[routeAll]REGEX=(.)DEST_KEY=_TCP_ROUTINGFORMAT=Everything

[routeSubset]REGEX=(SYSTEM|CONFIG|THREAT)DEST_KEY=_TCP_ROUTINGFORMAT=Subsidiary,Everything

3. outputs.conf를 편집합니다.

[tcpout]defaultGroup=nothing

[tcpout:Everything]disabled=falseserver=10.1.12.1:9997

[tcpout:Subsidiary]disabled=falsesendCookedData=falseserver=10.1.12.2:1234

자세한 내용은 이 매뉴얼의 "타사 시스템에 데이터 전달"을 참조하십시오.

이벤트 데이터 필터링 및 대기열로 보내기

대기열 전송은 Forwarder 기반 전송과 유사하지만 중량형 전달기(Heavy Forwarder)와 인덱서에서도 수행될 수 있습니다.대기열 전송에는 outputs.conf 파일이 사용되지 않고 props.conf와 transforms.conf만 사용됩니다.

원하지 않는 데이터는 Splunk의 /dev/null(nullQueue)로 전송하여 제거할 수 있습니다. 이런 방법으로 데이터를 필터링하면필터링된 데이터가 Splunk Enterprise 인덱스에 전달 또는 추가되지 않고 인덱싱 용량 계산에 포함되지 않습니다.

특정 이벤트 삭제 및 나머지 이벤트 유지

이 예에서는 /var/log/messages에 있는 모든 sshd 이벤트를 nullQueue로 보내서 삭제합니다.

1. props.conf에서 TRANSFORMS-null 속성을 설정합니다.

[source::/var/log/messages]TRANSFORMS-null= setnull

2. 해당 스탠자를 transforms.conf에 만듭니다. DEST_KEY를 "queue"로 설정하고 FORMAT을 "nullQueue"로 설정합니다.

[setnull]REGEX = \[sshd\]

50

DEST_KEY = queueFORMAT = nullQueue

작업이 종료되었습니다.

특정 이벤트 유지 및 나머지 이벤트 삭제

다음은 상반되는 시나리오입니다. 이 예에서는 변환 2개를 사용하여 sshd 이벤트만 유지합니다. 변환 하나는 sshd 이벤트를indexQueue로 전송하는 한편, 다른 하나는 나머지 이벤트를 다음으로 전송합니다. nullQueue.

참고: 이 예에서는 props.conf의 변환 순서가 중요합니다. null 대기열 변환이 먼저 나와야 합니다. 뒤에 나오면 이전 변환이무효화되고 모든 이벤트가 null 대기열로 전송됩니다.

1. props.conf에서 다음을 입력합니다.

[source::/var/log/messages]TRANSFORMS-set= setnull,setparsing

2. transforms.conf에서 다음을 입력합니다.

[setnull]REGEX = .DEST_KEY = queueFORMAT = nullQueue

[setparsing]REGEX = \[sshd\]DEST_KEY = queueFORMAT = indexQueue

WMI 이벤트 필터링

WMI 이벤트를 필터링하려면 props.conf에서 [WMI:WinEventLog:Security] source type 스탠자를 사용하십시오. 다음은regex를 사용하여 두 개의 Windows 이벤트 코드 592와 593을 필터링하는 예입니다.

props.conf에서 다음을 입력합니다.

[WinEventLog:Security]TRANSFORMS-wmi=wminull

참고: Splunk Enterprise 4.2.x 이전 버전에서 이벤트를 nullQueue로 보내려면 [wmi] 또는 [WMI::WinEventLog:Security]를source type으로 사용해야 합니다.

transforms.conf에서 다음을 입력합니다.

[wminull]REGEX=(?m)^EventCode=(592|593)DEST_KEY=queueFORMAT=nullQueue

대상 인덱스별 데이터 필터링

Forwarder에는 데이터의 대상 인덱스를 기준으로 데이터 전달 여부를 지정하기 위해 사용할 수 있는 forwardedindex 필터가 있습니다. 예를 들어 대상이 "index1"인 데이터 입력 하나가 있고 대상이 "index2"인 다른 입력 하나가 있으면 이 필터를 사용하여 대상이 index1인 데이터만 전달하고 index2 데이터를 무시할 수 있습니다. forwardedindex 필터는 허용리스트와 차단리스트를 사용하여 필터링을 지정합니다. 다중 인덱스 설정에 대한 내용은 "다중 인덱스 설정" 항목을 참조하십시오.

참고: forwardedindex 필터는 전역 [tcpout] 스탠자에서만 적용할 수 있습니다. 이 필터를 outputs.conf의 다른 스탠자에서만들면 사용할 수 없습니다.

outputs.conf의 forwardedindex.<n>.whitelist|blacklist 속성을 사용하여 전달해야 하는 데이터를 인덱스별로 지정하십시오. 사용자는 속성을 대상 인덱스를 필터링하는 regex로 설정합니다.

기본 동작

Forwarder에서는 기본적으로 기본 인덱스와 모든 사용자 작성 인덱서를 포함한 모든 외부 인덱스에 대한 데이터를 전달합니다. 내부 인덱스에 대한 데이터의 기본 동작은 전달 주체에 따라 다릅니다.

51

범용 전달기(Universal Forwarder)는 _audit 내부 인덱스에 대한 데이터만 전달하고, 다른 외부 인덱스에 대한 데이터는 전달하지 않습니다. $SPLUNK_HOME/etc/apps/SplunkUniversalForwarder/default에 있는 기본 outputs.conf 파일에서는 다음과 같은 속성을 통해 기본 동작을 지정합니다.

[tcpout] forwardedindex.0.whitelist = .* forwardedindex.1.blacklist = _.* forwardedindex.2.whitelist = _audit

중량형 전달기(Heavy Forwarder)와 전달을 활성화한 전체 Splunk 인스턴스(예: 전달을 활성화한 검색 헤드)는_audit 및 _internal 내부 인덱스에 대한 데이터를 전달합니다. $SPLUNK_HOME/etc/system/default에 있는 기본outputs.conf 파일에서는 다음과 같은 속성을 통해 기본 동작을 지정합니다.

[tcpout] forwardedindex.0.whitelist = .* forwardedindex.1.blacklist = _.* forwardedindex.2.whitelist = (_audit|_internal)

참고: 중량형 전달기(Heavy Forwarder) 및 전체 Splunk Enterprise 인스턴스의 기본 동작이 Splunk Enterprise 버전 5.0.2에서 변경되었습니다. 이전 버전에서는 _internal 인덱스가 기본적으로 전달되지 않았습니다. 해당 Forwarder 유형의 동작은 범용 전달기(Universal Forwarder)와 동일했습니다. 즉 _audit 내부 인덱스에 대한 데이터만 전달되었습니다.

대부분의 배포에서는 기본 설정을 변경하지 않아도 됩니다. 인덱스 허용 리스트와 차단 리스트를 설정하는 방법에 대한 자세한 내용은 outputs.conf를 참조하십시오. 기본 및 사용자 지정 outputs.conf 파일과 해당 파일의 위치에 대한 자세한 내용은"outputs.conf 파일 유형"을 참조하십시오.

모든 외부 및 내부 인덱스 데이터 전달

모든 외부 인덱스 데이터와 함께 모든 내부 인덱스 데이터도 전달하려면 기본 forwardedindex 필터 속성을 다음과 같이 변경할 수 있습니다.

#Forward everything[tcpout]forwardedindex.0.whitelist = .*# disable theseforwardedindex.1.blacklist =forwardedindex.2.whitelist =

단일 인덱스 대상 데이터만 전달

단일 인덱스에 대한 (예를 들어 inputs.conf에서 지정한) 데이터만 전달하고 해당 인덱스에 대한 데이터가 아닌 데이터를 모두 삭제하는 방법은 다음과 같습니다.

[tcpout]#Disable the current filters from the defaults outputs.confforwardedindex.0.whitelist = forwardedindex.1.blacklist =forwardedindex.2.whitelist =

#Forward data for the "myindex" indexforwardedindex.0.whitelist = myindex

이렇게 하면 먼저 기본 outputs.conf 파일에서 모든 필터가 비활성화됩니다. 그런 다음 사용자 자신의 인덱스에 대한 필터가설정됩니다. 필터 번호는 0부터 시작해야 합니다. forwardedindex.0.

참고: 시스템에 있는 다른 outputs.conf의 복사본에서 다른 필터를 설정했으면 해당 필터도 비활성화해야 합니다.

CLI btools 명령어를 사용하여 시스템의 다른 outputs.conf 파일에 위치한 다른 필터가 없는지 확인할 수 있습니다.

splunk cmd btool outputs list tcpout

이 명령어를 실행하면 구성 파일의 모든 버전이 결합된 후 tcpout 스탠자의 콘텐츠가 반환됩니다.

forwardedindex 속성을 로컬 인덱싱과 함께 사용

중량형 전달기(Heavy Forwarder)에서는 로컬 인덱싱이 가능합니다. 로컬 인덱싱을 수행하려면 indexAndForward 속성을"t rue"로 설정해야 합니다. 그렇지 않으면 데이터가 Forwarder에서 전달만 되고 Forwarder에 저장되지 않습니다. 또는forwardedindex 속성을 사용하면 전달된 데이터만 필터링되고 로컬 인덱스에 저장되는 데이터는 필터링되지 않습니다.

52

간단히 말해 로컬 인덱싱과 Forwarder 필터링은 서로 완전히 다른 작업입니다. 이로 인해 차단 리스트 필터링을 수행할 때예상치 못한 결과가 발생할 수 있습니다.

indexAndForward를 "t rue"로 설정한 다음 forwardedindex 차단 리스트 속성을 통해 일부 테이터를 필터링하면 차단 리스트에 있는 데이터는 전달되지 않지만 계속 로컬로 인덱싱됩니다.indexAndForward를 "false"로 설정(로컬 인덱싱 안 함)한 다음 일부 데이터를 필터링하면 필터링한 데이터가 전달되지않고 Forwarder에 저장(인덱싱)되지 않으므로 완전히 삭제됩니다.

데이터 입력을 기준으로 특정 인덱서로 입력 정보 전송

중량형 전달기(Heavy Forwarder)가 필요 없는 전송 유형이 하나 있습니다. 이 시나리오에서는 inputs.conf와outputs.conf를 사용하여 데이터 입력 정보를 기준으로 데이터를 특정 인덱서로 전송합니다.

다음은 이러한 전송 원리를 설명하는 예입니다.

1. outputs.conf에서 각 수신 인덱서에 대해 스탠자를 만듭니다.

[tcpout:systemGroup]server=server1:9997

[tcpout:applicationGroup]server=server2:9997

2. inputs.conf에서 _TCP_ROUTING을 사용하여 각 입력이 전송에 사용해야 하는 outputs.conf에 스탠자를 지정합니다.

[monitor://.../file1.log]_TCP_ROUTING = systemGroup

[monitor://.../file2.log]_TCP_ROUTING = applicationGroup

Forwarder는 데이터를 file1.log에서 server1으로 전송하고 file2.log에서 server2로 전송합니다.

선택적 인덱싱 및 전달 수행

중량형 전달기(Heavy Forwarder)를 사용해야만 데이터를 로컬 인덱싱 및 저장하고 수신 인덱서에 전달할 수 있습니다. 이작업을 수행하는 방법은 두 가지입니다.

데이터를 전달하기 전에 모두 인덱싱하는 방법. 이렇게 하려면 outputs.conf에서 indexAndForward 속성을 활성화하십시오.

일부 데이터를 인덱싱한 후 해당 데이터 또는 다른 데이터를 전달하는 방법. 이 방법을 선택적 인덱싱이라고 합니다. 선택적 인덱싱을 사용할 때는 일부 데이터만 로컬 인덱싱한 후 수신 인덱서에 전달할 수 있습니다. 대신 로컬 인덱싱하지않는 데이터만 전달할 수도 있습니다.

중요: 선택적 인덱싱도 사용할 경우에는 [tcpout] 스탠자에서 indexAndForward 속성을 활성화하지 마십시오.

선택적 인덱싱 구성

선택적 인덱싱을 사용하려면 inputs.conf 및 outputs.conf 파일을 모두 수정해야 합니다.

1. outputs.conf에서 다음을 입력합니다.

a. [indexAndForward] 스탠자를 추가합니다.

[indexAndForward]index=trueselectiveIndexing=true

index 및 selectiveIndexing 속성을 포함하는 이 스탠자가 있으면 Forwarder에서 선택적 인덱싱을 사용하도록 설정됩니다.그러면 _INDEX_AND_FORWARD_ROUTING 속성이 있는 (inputs.conf에서 지정된) 모든 입력에 대해 로컬 인덱싱이 활성화됩니다. 전체 [indexAndForward] 스탠자를 여기에 나와 있는 것과 똑같이 사용하십시오.

참고: 이 스탠자는 전역 스탠자로, outputs.conf에 한 번만 나타나면 됩니다.

b. 각 수신 인덱서 집합에 대해 일반적인 대상 그룹 스탠자를 포함합니다.

[tcpout:<target_group>]server = <ip address>:<port>, <ip address>:<port>, ......

53

명명된 <target_group>은 아래 설명과 같이 inputs.conf에서 입력을 전송하기 위해 사용됩니다.

2. inputs.conf에서 다음을 입력합니다.

a. _INDEX_AND_FORWARD_ROUTING 속성을 로컬 인덱싱할 각 입력 정보의 스탠자에 추가합니다.

[input_stanza]_INDEX_AND_FORWARD_ROUTING=<any_string>...

_INDEX_AND_FORWARD_ROUTING 속성이 있으면 중량형 전달기(Heavy Forwarder)에 해당 입력을 로컬 인덱싱해야 합니다. 이 속성을 원하는 모든 문자열 값으로 설정할 수 있습니다. Forwarder는 속성 자체만 찾고 문자열 값은 동작에 어떤 영향도 미치지 않습니다.

b. _TCP_ROUTING 속성을 전달할 각 입력의 스탠자에 추가합니다.

[input_stanza]_TCP_ROUTING=<target_group>...

<target_group>은 outputs.conf에서 수신 인덱서의 대상 그룹을 지정하기 위해 사용하는 이름입니다.

다음 항목에서는 다양한 시나리오에서 선택적 인덱싱을 사용하는 방법에 대해 설명합니다.

입력 정보 하나를 로컬 인덱싱한 후 나머지 입력 정보 전달

이 예에서는 Forwarder에서 입력 정보 하나로부터 수신한 데이터를 인덱싱하지만 전달하지는 않습니다. 나머지 2개 입력 정보에서 수신한 데이터도 전달하지만 해당 입력 정보를 로컬 인덱싱하지는 않습니다.

1. outputs.conf에 다음 스탠자를 만듭니다.

[tcpout]defaultGroup=noforwarddisabled=false


[tcpout:indexerB_9997]server = indexerB:9997

[tcpout:indexerC_9997]server = indexerC:9997

defaultGroup이 존재하지 않는 그룹 "noforward"로 설정되어 있으므로(defaultGroup이 없음을 의미함) Forwarder는inputs.conf에서 명시적인 대상 그룹으로 전송된 데이터만 전달합니다. 나머지 데이터는 모두 삭제됩니다.

2. inputs.conf에 다음 스탠자를 만듭니다.

[monitor:///mydata/source1.log]_INDEX_AND_FORWARD_ROUTING=local

[monitor:///mydata/source2.log]_TCP_ROUTING=indexerB_9997

[monitor:///mydata/source3.log]_TCP_ROUTING=indexerC_9997

그 결과

Forwarder는 source1.log 데이터를 로컬 인덱싱하지만 (입력 스탠자에 명시적인 전송이 없고 outputs.conf에 기본 그룹이 없기 때문에) 해당 데이터를 전달하지 않습니다.Forwarder에서는 source2.log 데이터를 indexerB로 전송하지만 로컬 인덱싱하지 않습니다.Forwarder에서는 source3.log 데이터를 indexerC로 전송하지만 로컬 인덱싱하지 않습니다.

입력 정보 하나를 로컬 인덱싱한 후 모든 입력 정보 전달

이 예는 앞의 예와 거의 동일합니다. 이 예에서는 입력 정보 하나만 로컬 인덱싱한 후 로컬 인덱싱한 입력 데이터를 포함한 모든 입력 데이터를 전달한다는 차이점이 있습니다.

54


[tcpout]defaultGroup=noforwarddisabled=false




이 outputs.conf는 앞의 예와 동일합니다.


[monitor:///mydata/source1.log]_INDEX_AND_FORWARD_ROUTING=local_TCP_ROUTING=indexerB_9997



여기서 앞의 예와 다른 차이점은 로컬 인덱싱하는 입력 데이터에 대해 _TCP_ROUTING 속성을 지정했다는 것뿐입니다.Forwarder에서는 source1.log와 source2.log를 모두 indexerB_9997 대상 그룹으로 전송하지만, source1.log에서 수신한 데이터만 로컬 인덱싱합니다.

입력 정보 하나를 로컬 인덱싱한 후 모든 입력 정보를 전달하는 또 다른 방법

defaultGroup을 실제 대상 그룹으로 설정하여 앞의 예와 동일한 결과를 얻을 수 있습니다.


[tcpout]defaultGroup=indexerB_9997disabled=false




이 outputs.conf 파일에서는 defaultGroup을 indexerB_9997로 설정합니다.


[monitor:///mydata/source1.log]_INDEX_AND_FORWARD_ROUTING=local



source1.log에 대해 명시적 전송을 설정하지 않았지만 outputs.conf에서 해당 그룹을 defaultGroup으로 지정했으므로Forwarder에서는 데이터를 계속 indexerB_9997 대상 그룹에 전달합니다.

55

선택적 인덱싱과 내부 로그

outputs.conf에서 선택적 인덱싱을 활성화하면 Forwarder에서는 _INDEX_AND_FORWARD_ROUTING 속성이 있는 입력만 로컬 인덱싱합니다. 이는 (기본 etc/system/default/inputs.conf에서 지정한) /var/log/splunk 디렉터리에 있는 내부 로그에 적용됩니다. 기본적으로 내부 로그는 인덱싱되지 않습니다. 내부 로그를 인덱싱하려면 해당 로그의 입력 스탠자를 (기본 파일보다 우선하는) 로컬 inputs.conf 파일에 추가하고 _INDEX_AND_FORWARD_ROUTING 속성을 포함해야 합니다.

[monitor://$SPLUNK_HOME/var/log/splunk]index = _internal_INDEX_AND_FORWARD_ROUTING=local

타사 시스템에 데이터 전달Splunk Enterprise Forwarder에서는 비 Splunk 시스템에 원시 데이터를 전달할 수 있습니다. 해당 Forwarder에서는 데이터를 일반 TCP 소켓을 통해 보내거나 표준 syslog에 패키징하여 보낼 수 있습니다. Forwarder에서는 비 Splunk 시스템에데이터를 전달하기 때문에 원시 데이터만 보낼 수 있습니다.

outputs.conf, props.conf 및 transforms.conf,를 편집하여 중량형 전달기(Heavy Forwarder)에서 다른 Splunk Enterprise인스턴스에 데이터를 조건부로 전송하는 방법과 동일하게 타사 시스템에 데이터를 조건부로 전달하도록 구성할 수 있습니다. 데이터를 host , source 또는 source type을 기준으로 필터링할 수 있습니다. 또한 regex를 사용하여 데이터를 추가로 한정할 수 있습니다.

TCP 데이터

TCP 데이터를 타사 시스템에 전달하려면 Forwarder의 outputs.conf 파일을 편집하여 수신 서버 및 포트를 지정하십시오.또한 해당 포트에서 데이터 스트림의 수신을 대기하도록 수신 서버를 구성해야 합니다. 이런 전달 유형은 범용 전달기(Universal Forwarder)와 같은 모든 Forwarder 유형을 사용하여 수행할 수 있습니다.

데이터를 전송하려면 데이터 파싱 기능이 있는 중량형 전달기(Heavy Forwarder)를 사용해야 합니다. Forwarder의props.conf 및 t ransforms.conf 파일과 outputs.conf를 편집하십시오.

구성 파일 편집

데이터를 전달하려면 outputs.conf를 편집하십시오.

수신 서버의 대상 그룹을 지정합니다.각 수신 서버의 IP 주소와 TCP 포트를 지정합니다.Forwarder에서 원시 데이터를 보내도록 sendCookedData를 false로 설정합니다.

데이터를 전송하고 필터링하려면(중량형 전달기(Heavy Forwarder)만 해당) props.conf 및 transforms.conf도 편집합니다.

props.conf에서 데이터 스트림의 host , source 또는 sourcetype을 지정합니다. 입력에 대해 수행할 변환 작업을 지정합니다.transforms.conf에서 변환을 정의하고 _TCP_ROUTING을 지정합니다. 또한 regex를 사용하여 데이터를 추가로 필터링할수 있습니다.

모든 데이터 전달

이 예에서는 범용 전달기(Universal Forwarder)에서 모든 데이터를 타사 시스템으로 보내는 방법에 대해 설명합니다. 모든데이터를 보내기 때문에 outputs.conf만 편집하면 됩니다.

[tcpout]

[tcpout:fastlane]server = 10.1.1.35:6996sendCookedData = false

일부 데이터 전달

이 예에서는 중량형 전달기(Heavy Forwarder)를 사용하여 데이터 일부를 필터링하고 타사 시스템으로 보내는 방법에 대해설명합니다.

1. props.conf와 transforms.conf를 편집하여 필터링 기준을 지정합니다.

props.conf에서 bigmoney 변환을 nyc로 시작하는 모든 호스트 이름에 적용합니다.

[host::nyc*]TRANSFORMS-nyc = bigmoney

transforms.conf에서 bigmoney 변환을 구성하여 TCP_ROUTING을 DEST_KEY로 지정하고 bigmoneyreader 대상 그룹을 FORMAT으로

56

지정합니다.

[bigmoney]REGEX = .DEST_KEY=_TCP_ROUTINGFORMAT=bigmoneyreader

2. outputs.conf에서 비 Splunk 서버의 bigmoneyreader 대상 그룹과 다른 모든 데이터를 수신할 기본 대상 그룹을 모두 정의합니다.

[tcpout]defaultGroup = default-clone-group-192_168_1_104_9997

[tcpout:default-clone-group-192_168_1_104_9997]server = 192.168.1.104:9997

[tcpout:bigmoneyreader]server=10.1.1.197:7999sendCookedData=false

Forwarder에서는 이름이 nyc로 시작하는 호스트에서 수신한 모든 데이터를 bigmoneyreader 대상 그룹의 지정된 비 Splunk서버로 보냅니다. 그리고 다른 모든 호스트에서 수신한 데이터를 default-clone-group-192_168_1_104_9997 대상 그룹의 지정된 서버로 보냅니다.

참고: props.conf와 transforms.conf에서 식별된 데이터만 전달하려면 defaultGroup=nothing을 설정하십시오.

syslog 데이터

데이터를 표준 syslog 형식으로 보내도록 중량형 전달기(Heavy Forwarder)를 구성할 수 있습니다. Forwarder에서는 별도의 출력 프로세서를 통해 데이터를 보냅니다. props.conf와 transforms.conf를 사용하여 데이터를 필터링할 수도 있습니다._SYSLOG_ROUTING을 DEST_KEY로 지정해야 합니다.

참고: syslog 출력 프로세서는 범용 전달기(Universal Forwarder) 또는 경량형 전달기(Light Forwarder)에 사용할 수 없습니다.

syslog 출력 프로세서는 RFC 3164 호환 이벤트를 TCP/UDP 기반 서버 및 포트로 보내어 모든 비호환 데이터가 RFC 3164와 호환되도록 합니다. Windows 이벤트 로그도 호환됩니다.

syslog 데이터를 전달하려면 타사 수신 서버를 식별하고 Forwarder의 outputs.conf 파일에서 syslog 대상 그룹에 지정하십시오.

참고: syslog 데이터에 대해 여러 event type을 정의한 경우에는 모든 event type 이름에 "syslog" 문자열이 포함되어야 합니다.

syslog 데이터 전달

outputs.conf에서 syslog 대상 그룹을 지정합니다.

[syslog:<target_group>]<attribute1> = <val1><attribute2> = <val2>...

대상 그룹 스탠자에는 다음 속성이 필수입니다.

필수 속성 기본값 값

server n/a<ipaddress_or_servername>:<port> 형식이어야 합니다. syslog 서버의 IP 주소 또는 서버 이름과 syslog 서버가 수신 대기하는 포트의 조합입니다. syslog 서버에서는 기본적으로 514번 포트를 사용합니다.

다음 속성은 선택 사항입니다.

선택적 속성 기본값 값

type udp 전송 프로토콜. "tcp" 또는 "udp"로 설정해야 합니다.

<13> -facility가1("user")이고

syslog 우선 순위. 꺾쇠 괄호로 묶인 길이가 1-3자릿수인 숫자여야 합니다. 예: <34>.이 값은 syslog 헤더에 표시됩니다.

syslog 인터페이스 호출을 통해 전달된 숫자를 가장합니다. 자세한 내용은

57

priority 이고severity가5("not ice")임을 의미합니다.

outputs.conf를 참조하십시오.

(<facility> * 8) + <severity> 공식을 사용하여 priority 값을 계산합니다. facility가4(보안/권한 메시지)이고 severity가 2(중요 상태)인 경우 priority 값은 (4 * 8) + 2 =34가 되고, 이 값을 conf 파일에서 <34>로 지정합니다.

syslogSourceType n/a syslog 메시지의 source type인 sourcetype::syslog 형식이어야 합니다.

t imestampformat "" 헤더에 타임스탬프를 추가할 때 사용하는 형식. 형식은 <%b %e %H:%M:%S>여야 합니다. 자세한 내용은 데이터 가져오기 매뉴얼의 "타임스탬프 구성"을 참조하십시오.

syslog 서버로 일부 데이터 보내기

이 예에서는 이름이 "nyc"로 시작되는 호스트에서 이름이 "loghost.example.com"인 syslog 서버로 514번 포트를 통해 데이터를 전달하도록 중량형 전달기(Heavy Forwarder)를 구성하는 방법에 대해 설명합니다.

1. props.conf와 transforms.conf를 편집하여 필터링 기준을 지정합니다.

props.conf에서 send_to_syslog 변환을 nyc로 시작하는 모든 호스트 이름에 적용합니다.

[host::nyc*]TRANSFORMS-nyc = send_to_syslog

transforms.conf에서 send_to_syslog 변환을 구성하여 _SYSLOG_ROUTING 을 DEST_KEY로 지정하고 my_syslog_group 대상 그룹을FORMAT으로 지정합니다.

[send_to_syslog]REGEX = .DEST_KEY = _SYSLOG_ROUTINGFORMAT = my_syslog_group

2. outputs.conf에서 비 Splunk 서버의 my_syslog_group 대상 그룹을 정의합니다.

[syslog:my_syslog_group]server = loghost.example.com:514

중량형 및 경량형 전달기(Heavy 및 Light Forwarder)중량형 전달기(Heavy Forwarder) 배포전달과 수신을 활성화하려면 수신기와 Forwarder를 모두 구성합니다. 수신기는 데이터를 수신하는 Splunk Enterprise 인스턴스이고 Forwarder는 데이터를 수신기로 보냅니다.

먼저 "수신기 활성화"의 설명에 따라 수신기를 설정해야 합니다. 그런 다음 해당 수신기에 데이터를 전송하도록 Forwarder를 설정할 수 있습니다.

중량형 전달기(Heavy Forwarder)를 설정하는 프로세스는 2단계로 구성됩니다.

1. 전체 Splunk Enterprise 인스턴스를 설치합니다.

2. 인스턴스에서 전달을 활성화합니다.

다음 항목에서 각 단계에 대해 자세히 설명합니다.

중요: 이 항목에서는 중량형 전달기(Heavy Forwarder)의 배포 및 구성 문제에 대해 설명합니다. 범용 전달기(UniversalForwarder) 배포 방법에 대한 내용은 "범용 전달기(Universal Forwarder) 배포 개요"를 참조하십시오.

전체 Splunk Enterprise 인스턴스 설치

중량형 전달기(Heavy Forwarder)를 배포하려면 먼저 전체 Splunk Enterprise 인스턴스를 설치해야 합니다. 시스템 요구 사항 및 라이선스 문제를 포함한 Splunk Enterprise 설치에 대한 자세한 내용은 설치 매뉴얼을 참조하십시오.

인스턴스가 설치되면 해당 인스턴스에서 Forwarder 기능을 활성화할 수 있습니다.

전달 설정

Splunk Web 또는 CLI를 사용하여 Splunk Enterprise 인스턴스에서 전달을 쉽고 빠르게 활성화할 수 있습니다.

58

Splunk Enterprise 인스턴스에 대한 outputs.conf 파일을 만들어 전달을 활성화하고 구성할 수도 있습니다. outputs.conf를사용하여 Forwarder를 설정하려면 기초 지식이 더 필요하지만, 모든 Forwarder 구성을 단일 위치에서 수행하면 좋은 점이있습니다. 대부분의 고급 구성 옵션은 outputs.conf에서만 사용할 수 있습니다. 또한 Forwarder를 여러 개 활성화하고 구성하려면 outputs.conf 파일 하나를 편집하고 각 Forwarder에 대해 해당 파일의 복사본을 만들어서 쉽게 할 수 있습니다. 자세한 내용은 "outputs.conf에서 Forwarder 구성" 항목을 참조하십시오.

Splunk Web을 사용하여 중량형 전달기(Heavy Forwarder) 설정

Splunk Web을 사용하여 중량형 전달기(Heavy Forwarder)를 설정할 수 있습니다.

1. 데이터를 전달할 서버에서 Splunk Web에 관리자로 로그인합니다.

2. 페이지 상단의 설정 링크를 클릭합니다.

3. 데이터 영역에서 전달 및 수신을 선택합니다.

4. 데이터 전달 섹션에서 새로 추가를 클릭합니다.

5. 수신 Splunk Enterprise 인스턴스의 호스트 이름 또는 IP 주소와 수신기를 구성할 때 지정한 수신 포트를 함께 입력합니다. 예를 들어 receivingserver.com:9997. 부하 분산된 전달을 구현하려면 여러 호스트를 쉼표로 구분된 리스트로 입력할 수있습니다.

6. 저장을 클릭합니다. 프로세스를 완료하려면 인스턴스를 재시작해야 합니다.

Splunk Web을 사용하여 구성을 하나 더 수행할 수 있습니다. 인덱스 데이터의 복사본을 로컬로 Forwarder에 저장하려면

1. 전달 및 수신에서 기본값 전달을 선택합니다.

2. 예를 선택하여 인덱스 데이터의 로컬 복사본을 Forwarder에 저장하고 유지합니다.

중요: 중량형 전달기(Heavy Forwarder)는 경량형 전달기(Light Forwarder) 및 범용 전달기(Universal Forwarder)와 달리데이터를 로컬로 인덱싱하고 다른 인덱스로 전달할 수 있다는 중요한 장점이 있습니다. 그러나 로컬 인덱싱은 기본적으로 꺼져 있습니다. Forwarder에 데이터를 저장하려면 해당 기능을 위에서 설명한 방법으로 활성화하거나 outputs.conf를 편집하여 활성화해야 합니다.

다른 모든 구성 작업은 다음에서 수행해야 합니다. outputs.conf.

CLI를 사용하여 중량형 전달기(Heavy Forwarder) 설정

CLI를 사용하여 전달을 설정하는 프로세스도 2단계로 구성됩니다. 먼저 Splunk Enterprise 인스턴스에서 전달을 활성화합니다. 그런 다음 지정된 수신기에 전달하기 시작합니다.

CLI에 액세스하려면 먼저 $SPLUNK_HOME/bin/으로 이동하십시오.

Forwarder 모드를 활성화하려면 다음 명령어를 입력하십시오.

splunk enable app SplunkForwarder -auth <username>:<password>

Forwarder 모드를 비활성화하려면 다음 명령어를 입력하십시오.

splunk disable app SplunkForwarder -auth <username>:<password>

전달을 비활성화하면 이 명령이 Forwarder를 전체 Splunk Enterprise 인스턴스로 되돌립니다.

중요: 두 가지 명령어 중 하나를 실행한 후에는 Forwarder를 재시작하십시오.

CLI에서 전달 작업 시작


전달 작업을 시작하려면 splunk add forward-server 명령어를 사용하여 수신기를 지정하십시오.


전달 작업을 종료하려면 다음 명령어를 입력하십시오.

splunk remove forward-server <host>:<port> -auth <username>:<password>

참고: 이 명령어를 실행하면 전달 작업이 종료되지만 인스턴스는 Forwarder로 구성된 상태로 유지됩니다. Forwarder를 전체 Splunk Enterprise 인스턴스로 되돌리려면 이 항목에서 이전에 설명한 대로 disable 명령어를 사용하십시오.


59

Forwarder 업그레이드

Forwarder를 새 버전으로 업그레이드하려면 인스턴스를 일반적인 방법으로 업그레이드하십시오. 자세한 내용은 설치 매뉴얼의 업그레이드 관련 절을 참조하십시오.

중요: 업그레이드하기 전에 업그레이드해야 할 필요가 있는지 신중히 고려하십시오. 대부분의 경우에는 Forwarder를 업그레이드해야 할 특별한 이유가 없습니다. Forwarder는 이후 인덱서 버전과 항상 호환되므로, Forwarder에서 전송한 데이터를 수신하는 인덱서를 업그레이드해도 Forwarder는 업그레이드할 필요가 없습니다.

업그레이드 전 파일 백업

업그레이드하기 전에 모든 파일을 백업하는 것이 좋습니다. 특히 Splunk Enterprise 구성 파일을 백업하는 것이 가장 중요합니다. 구성 백업에 대한 내용은 관리자 매뉴얼의 "구성 정보 백업"을 참조하십시오.

데이터를 로컬로 인덱싱하는 중량형 전달기(Heavy Forwarder)를 업그레이드할 경우에는 인덱스 데이터도 백업해야 합니다. 데이터 백업에 대한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "인덱스 데이터 백업"을 참조하십시오.

이전 버전으로 다운그레이드할 수 없습니다. 이전 Forwarder 릴리스로 복원해야 할 경우에는 인스턴스를 다시 설치하십시오.

경량형 전달기(Light Forwarder) 배포참고: 경량형 전달기(Light Forwarder)는 Splunk Enterprise 6.0 버전에서 지원이 중단되었습니다. 지원이 중단된 모든 기능리스트는 릴리스 노트의 "지원 중단 기능" 항목을 참조하십시오.

전달과 수신을 활성화하려면 수신기와 Forwarder를 모두 구성합니다. 수신기는 데이터를 수신하는 Splunk Enterprise 인스턴스이고 Forwarder는 데이터를 수신기로 보냅니다.

수신기를 먼저 설정해야 합니다. 그런 다음 해당 수신기에 데이터를 전송하도록 Forwarder를 설정할 수 있습니다.

경량형 전달기(Light Forwarder)를 설정하는 프로세스는 2단계로 구성됩니다.

1. 전체 Splunk Enterprise 인스턴스를 설치합니다.

2. 인스턴스에서 전달을 활성화합니다.

다음 항목에서 각 단계에 대해 자세히 설명합니다.

중요: 이 항목에서는 경량형 전달기(Light Forwarder)의 배포 및 구성 문제에 대해 설명합니다. 범용 전달기(UniversalForwarder) 배포 방법에 대한 내용은 "범용 전달기(Universal Forwarder) 배포 개요"를 참조하십시오.

전체 Splunk Enterprise 인스턴스 설치

경량형 전달기(Light Forwarder)를 배포하려면 먼저 전체 Splunk Enterprise 인스턴스를 설치해야 합니다. 시스템 요구 사항 및 라이선스 문제를 포함한 Splunk Enterprise 설치에 대한 자세한 내용은 설치 매뉴얼을 참조하십시오.

인스턴스가 설치되면 해당 인스턴스에서 경량형 전달기(Light Forwarder) 기능을 활성화할 수 있습니다.

참고: 경량형 전달기(Light Forwarder)로 사용할 Splunk Enterprise 인스턴스를 설치할 때 Forwarder 라이선스를 선택하십시오. 자세한 내용은 "Splunk 라이선스 유형"을 참조하십시오.

전달 설정

CLI를 사용하여 전달을 쉽고 빠르게 활성화할 수 있습니다.

Splunk Enterprise 인스턴스에 대한 outputs.conf 파일을 만들어 전달을 활성화하고 구성할 수도 있습니다. outputs.conf를사용하여 Forwarder를 설정하려면 기초 지식이 더 필요하지만, 모든 Forwarder 구성을 단일 위치에서 수행하면 좋은 점이있습니다. 대부분의 고급 구성 옵션은 outputs.conf에서만 사용할 수 있습니다. 또한 Forwarder를 여러 개 활성화하고 구성하려면 outputs.conf 파일 하나를 편집하고 각 Forwarder에 대해 해당 파일의 복사본을 만들어서 쉽게 할 수 있습니다. 자세한 내용은 "outputs.conf에서 Forwarder 구성" 항목을 참조하십시오.

CLI를 사용하여 경량형 전달기(Light Forwarder) 설정

CLI를 사용하여 전달을 설정하는 프로세스도 2단계로 구성됩니다. 먼저 인스턴스에서 전달을 활성화합니다. 그런 다음 지정된 수신기에 전달하기 시작합니다.


경량형 전달기(Light Forwarder) 모드를 활성화하려면 다음 명령어를 입력하십시오.

splunk enable app SplunkLightForwarder -auth <username>:<password>

경량형 전달기(Light Forwarder) 모드를 비활성화하려면 다음 명령어를 입력하십시오.

60

splunk disable app SplunkLightForwarder -auth <username>:<password>

전달을 비활성화하면 이 명령이 Forwarder를 전체 Splunk Enterprise 인스턴스로 되돌립니다.


CLI에서 전달 작업 시작


전달 작업을 시작하려면 splunk add forward-server 명령어를 사용하여 수신기를 지정하십시오.


전달 작업을 종료하려면 다음 명령어를 입력하십시오.

splunk remove forward-server <host>:<port> -auth <username>:<password>

참고: 이 명령어를 실행하면 전달 작업이 종료되지만 인스턴스는 Forwarder로 구성된 상태로 유지됩니다. 인스턴스를 전체Splunk Enterprise 인스턴스로 되돌리려면 이 항목에서 이전에 설명한 대로 disable 명령어를 사용하십시오.


Forwarder 업그레이드

Forwarder를 새 버전으로 업그레이드하려면 인스턴스를 일반적인 방법으로 업그레이드하십시오. 자세한 내용은 설치 매뉴얼의 업그레이드 관련 절을 참조하십시오.

중요: 업그레이드하기 전에 업그레이드해야 할 필요가 있는지 신중히 고려하십시오. 대부분의 경우에는 Forwarder를 업그레이드해야 할 특별한 이유가 없습니다. Forwarder는 이후 인덱서 버전과 항상 호환되므로, Forwarder에서 전송한 데이터를 수신하는 인덱서를 업그레이드해도 Forwarder는 업그레이드할 필요가 없습니다.

업그레이드 전 파일 백업

업그레이드하기 전에 모든 파일을 백업하는 것이 좋습니다. 특히 구성 파일을 백업하는 것이 가장 중요합니다. 구성 백업에대한 내용은 관리자 매뉴얼의 "구성 정보 백업"을 참조하십시오.

중량형 및 경량형 전달기(Heavy 및 Light Forwarder) 기능중량형 전달기(Heavy Forwarder) 및 경량형 전달기(Light Forwarder)에서는 특정 기능을 사용할 수 없습니다. 이 항목에서는 Forwarder 기능에 대해 자세히 설명합니다.


중량형 전달기(Heavy Forwarder) 정보

중량형 전달기(Heavy Forwarder)의 경우 분산 검색 모듈을 제외한 모든 Splunk Enterprise 기능과 모듈이 기본적으로 활성화되어 있습니다. $SPLUNK_HOME/etc/apps/SplunkForwarder/default/default-mode.conf 파일에는 다음 스탠자가 포함되어 있습니다.

[pipeline:distributedSearch]disabled = true

정확한 구성을 자세히 보려면 $SPLUNK_HOME/etc/apps/SplunkForwarder/default에 있는 SplunkForwarder 애플리케이션 구성파일을 참조하십시오.

경량형 전달기(Light Forwarder) 정보

경량형 전달기(Light Forwarder)의 경우 Splunk Enterprise 기능이 대부분 비활성화되어 있습니다. 경량형 전달기(LightForwarder)의 특징은 다음과 같습니다.

이벤트 서명 및 디스크 공간 확인을 비활성화합니다($SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/default-mode.conf).내부 데이터 입력을 splunkd와 메트릭 로그로만 제한하고 해당 로그가 전달되는지 확인합니다($SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/inputs.conf).모든 인덱싱을 비활성화합니다($SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/indexes.conf).transforms.conf를 사용하지 않고 수신 데이터를 완전히 파싱하지 않으며 props.conf에서 CHARSET, CHECK_FOR_HEADER,NO_BINARY_CHECK, PREFIX_SOURCETYPE, 및 sourcetype 속성을 대신 사용합니다.Splunk Web 인터페이스를 비활성화합니다($SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/web.conf).

61

처리량을 256KBps로 제한합니다($SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/limits.conf).$SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/default-mode.conf에서 다음 모듈을 비활성화합니다.

[pipeline:indexerPipe] disabled_processors= indexandforward, diskusage, signing,tcp-output-generic-processor, syslog-output-generic-processor, http-output-generic-processor, stream-output-processor

[pipeline:distributedDeployment] disabled = true

[pipeline:distributedSearch] disabled = true

[pipeline:fifo] disabled = true

[pipeline:merging] disabled = true

[pipeline:typing] disabled = true

[pipeline:udp] disabled = true

[pipeline:tcp] disabled = true

[pipeline:syslogfifo] disabled = true

[pipeline:syslogudp] disabled = true

[pipeline:parsing] disabled_processors=utf8, linebreaker, header, sendOut

[pipeline:scheduler] disabled_processors = LiveSplunks

이 모듈에는 배포 서버(배포 클라이언트 아님), 분산 검색, 명명된 파이프/FIFO, 네트워크 포트에서 직접 입력, 스케줄러 등이포함됩니다.

$SPLUNK_HOME/etc/apps/SplunkLightForwarder/default/default-mode.conf에서 설정을 사안별로 재정의하여 경량형 전달기(Light Forwarder)의 기본값을 필요에 따라 조정할 수 있습니다.

이전 인덱스 제거

인덱서 인스턴스를 경량형 전달기(Light Forwarder)로 전환하면 인덱싱이 비활성화되는 등의 결과가 발생합니다. 해당 인스턴스에서 이전에 인덱싱한 데이터에 더 이상 액세스할 수 없지만, 해당 데이터는 계속 존재합니다.

해당 데이터를 시스템에서 제거하려면 먼저 SplunkLightForwarder 앱을 비활성화하고 CLI clean 명령어를 실행한 후 앱을다시 활성화해야 합니다. clean 명령어에 대한 내용은 인덱서 및 클러스터 관리 매뉴얼의 "Splunk에서 인덱스 데이터 제거"를 참조하십시오.

전달 문제 해결Forwarder/수신기 연결 문제 해결수신기가 수신 포트에서 새로운 연결을 수락하지 않음

수신 인덱서의 내부 대기열이 차단되면 데이터를 대기열에 삽입할 수 없는 지정된 간격이 지난 후 인덱서가 수신/수신 대기(splunktcp) 포트를 종료합니다. 대기열이 다시 데이터 수락을 시작할 수 있게 되면 인덱서가 포트를 다시 엽니다.

그러나 때로(Windows 컴퓨터의 경우에만) 대기열이 차단 해제된 경우 인덱서가 포트를 다시 열지 못할 수도 있습니다. 수정하려면 인덱서를 다시 시작해야 합니다.

이 문제가 발생하면 inputs.conf에서 수신기의 stopAcceptorAfterQBlock 속성을 더 높은 값으로 설정하여 포트를 빨리 닫지않도록 할 수 있습니다. 이 속성은 포트를 닫기 전에 인덱서가 대기하는 시간을 지정합니다. 기본값은 300초(5분)입니다.

62

부하 분산된 Forwarder를 사용할 경우 writeTimeout 속성을 사용하여 outputs.conf에 설정된 제한 시간 간격을 기반으로 부하 분산된 그룹의 다른 인덱서로 데이터 스트림을 전환합니다. 그러면 수신 인덱서가 대기열을 차단한 경우 자동 페일오버가발생합니다.

63

데이터 전달 Splunk Enterprise 6.1docs.splunk.com/images/a/a6/Splunk-6.1.1-ko_KO... · ·...

Documents

Transcript of 데이터 전달 Splunk Enterprise 6.1docs.splunk.com/images/a/a6/Splunk-6.1.1-ko_KO... · ·...