스플렁크(Splunk)에 실습용 데이터 추가하기

1. 듀토리얼 데이터 다운로드

Splunk는 가상 웹 페이지의 로그를 튜토리얼 데이터로 제공한다.

이번 포스팅에서는 가상의 쇼핑몰 웹 로그 파일을 업로드할 예정이다.

 

가상의 쇼핑몰 웹 로그 파일: http://docs.splunk.com/images/Tutorial/tutorialdata.zip

룩업 실습용: http://docs.splunk.com/images/d/db/Prices.csv.zip                                

 

2. 듀토리얼 데이터 추가

1) 데이터 추가

우측 상단의 설정 → 데이터 추가 버튼을 클릭한다.

 

 

데이터 추가를 업로드, 모니터 전달 3가지 방법으로 추가할 수 있다.

업로드는 분석 대상인 파일을 Splunk에 직접 업로드 하는방식이고 업로드 방식을 쓰는 이유는 아래와 같다.

 

① 분석 대상 로그를 다른 곳에서 전달받아 분석해야 하는 경우

② 침해사고를 상세하게 확인하려고 1회성으로 분석하는 경우

③ 분석 대상 로그 형식을 확인하려고 사전 점검 하는 경우

 

업로드 항목을 클릭한다.

 

 

업로드 버튼을 클릭한 후 이전에 다운받은 tutorialdata.zip 파일을 업로드한 후 다음 버튼을 클릭한다.

 

파일은 일반 텍스트 형식 로그파일을 업로드 할 수 있고 로그파일이 압축된 형태라면 gzip이나 zip이면 압축파일을 그대로 업로드 할 수 있다.

한번에 업로드할 수 있는 최대 크기는 500MB이다.

 

2) 데이터 입력 설정

2.1) Source Type

수집하는 로그의 형태를 지정한다.

선택한 파일이 범용 로그파일일 경우 Splunk는 업로드 한 후 자동으로 소스타입을 제시한다. 왜냐하면 Windows 또는 Linux에서 자주 사용되는 로그파일의 경우 Splunk에서 소스타입을 지정해 놓았기 때문이다.

Tutorialdata는 가상 쇼핑몰 웹 로그 파일이므로 Source Type을 지정할 필요 없이 자동으로 설정한다.

 

2.2) 호스트

로그를 생성하는 호스트 이름을 적어 호스트 별로 분류가 가능하다.

 

2.3) 인덱스

수집 로그를 저장할 공간이다.

모든 로그를 하나의 인덱스에 저장하면 부하가 발생할 수 있기 때문에 동일 목적을 가진 로그는 별도의 인덱스로 관리하는것이 효율적이다.

book이라는 인덱스를 생성하기 위해서 새 인덱스 만들기 버튼을 클릭한다.

 

 

새 인덱스 항목에서 인덱스 이름을 book으로 설정한 이후 저장 버튼을 클릭한다.

 

3) 데이터 제출

데이터 입력 설정이 끝났다면 검토 버튼을 클릭한다.

 

 

입력된 항목들이 맞는지 확인한 이후 제출버튼을 클릭한다.

 

3) 데이터 검색

검색 항목에서 index="book" 을 입력하면 업로드한 로그 내용이 출력된다.