Splunk(스플렁크) 관련

2017년 5월 기준.

 

SNMP Modular Input

// SNMP polling하려면 SNMP Modular Input Add-on 해야 함

 

C:\Program Files\Splunk\etc\apps

// 해당 경로에서 앱 삭제 후 splunkd 서비스 재시작

 

C:\Program Files\Splunk\var\log\splunk\splunkd.log

// 로그

 

C:\Program Files\Splunk\var\run\splunk\dispatch

// forward 데이터 저장소

 

$SPLUNK_HOME/var/lib/splunk

C:\Program Files\Splunk\var\lib

// index 데이터 저장소

 

http://localhost:8000/ko-KR/manager/splunk_instrumentation/data/inputs/snmp

// SNMP 관련 설정. 설정-데이터 입력-SNMP에서 설정

 

새 필드 추출. 정규식으로 필수영역 정하고, 추출영역 추출.

 

필드-필드추출. Search & Reporting에서 추출 필드 확인.

 

모든 필드 탭에서 필드 선택

 

The extraction failed. If you are extracting multiple fields, try removing one or more fields. Start with extractions that are embedded within longer text strings.

// 필드 추출 실패시 더 하위의 oid에서 추출해야 한다.

 

events 삭제

// 설정-액세스 제어-역할-admin로 가서 사용가능한 역할 can_delete, delete_by_keyword 추가

 

외부서버 Universal Forwarder 설치해야 접근 가능

wget -O splunkforwarder-6.6.0-1c4f3bbe1aea-Linux-x86_64.tgz 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=6.6.0&product=universalforwarder&filename=splunkforwarder-6.6.0-1c4f3bbe1aea-Linux-x86_64.tgz&wget=true'

// wget 다운후 tar -xvzf splunk~.tgz

 

bin/splunk start

// 시작

bin/splunk stop

// 종료

 

 

 

Universal Forwarder 연동

 

$SPLUNK_HOME/etc/system/local

// conf 경로.

 

outputs.conf를 설정.

 

Universal Forwarder

./splunk add forward-server 192.168.4.158:9997

// forward-server 정보 추가

 

./splunk remove forward-server 192.168.4.158:9997

// forward-server 정보 삭제

 

./splunk list forward-server

// forward-server 정보 확인

 

./splunk set deploy-poll 192.168.4.158:9997

// 배포 클라이언트 설정(선택사항)

 

./splunk add monitor /home/ossadmin/oam4/oamlogs

// add monitor

 

./splunk remove monitor /home/ossadmin/oam4/oamlogs

// remove monitor

 

// delete를 하면 add 해도 다시 monitor가 되지 않음. universal forwarder쪽의 문제. 지우고 다시 설치 후 시작.

 

./splunk list monitor

// monitor list 확인

 

Splunk

./splunk enable listen 9997

// 9997번 포트 오픈

 

index=_* OR index=* sourcetype=over20sec-callinfo | timechart count by date_hour span=1

// 1시간 간격의 로그 확인

 

host="AMP-S1" Caller="*" | stats count as Total

// count로 확인

 

bin/splunk add monitor "/app/rbt/log/*.log"

// add monitor. wildcard.

 

./etc/apps/search/local/inputs.conf

// monitor add, remove를 하면 해당 conf에서 설정된다

 

vi etc/apps/search/local/inputs.conf

[monitor:///app/rbt/log/*.log]

disabled = false

 

sourcetype="CALLINFO_AMPS-3" | timechart span=15m last(CallCount)

// 15분 간격의 데이터

 

splunk stop

splunk clean eventdata

// all index 삭제

splunk clean eventdata -index main

// main index 삭제

 

etc/apps/learned/local/sourcetypes.conf

//sourcetype 설정

 

stats count as Total

// Total count

 

source="/app/rbt/callinfo/2017/05/CALLINFO_AMPS_20170523*.log.gz" | eval holding = holding2-holding1 | stats count by holding | eval result = holding*count | stats sum(result)

// result를 구한뒤 sum

 

source="/app/rbt/callinfo/2017/05/CALLINFO_AMPS_20170523*.log.gz" | eval h1 = strptime(holding1, "%H%M%S") | eval h2 = strptime(holding2, "%H%M%S") |eval holding = h2-h1 | stats count by holding | eval result = holding*count

// 시간을 빼야하는 경우 계산

 

source="/app/rbt/callinfo/2017/05/CALLINFO_AMPS_20170523*.log.gz" | eval h1 = strptime(holding1, "%H%M%S") | eval h2 = strptime(holding2, "%H%M%S") |eval holding = h2-h1 | timechart span=1h avg(holding)

// timechart

 

sourcetype="192.168.100.239" | timechart span=1h last(callcount)

// 1시간 간격 callcount

 

Splunk Enterprise에서 inputs의 batch input type을 사용해서 indexing후 로그 파일 삭제 가능. $SPLUNK_HOME/var/spool/splunk. monitor대신 batch 사용. [batch://<path>]