Splunk 대시보드 구축

1. 대시보드 만들기

대시보드를 사용하면 각각의 시각화된 데이터를 통합하여 직관적인 정보를 확인할 수 있다.

 

 

대시보드의 제목과 ID를 설정한 후 대시보드 만들기를 클릭한다.

제목은 언제든 수정할 수 있지만 ID는 만든 이후에 수정할 수 없다.

권한의 경우 다른 사람들과 공유하려면 앱에서 공유됨을 클릭하면 된다.

 

 

2. 패널 추가하기

생성된 대시보드에 시각화된 데이터를 나타내기 위해서 패널을 생성한다.

 

1) TOP 10 출발지 IP

1.1) TOP 10 출력 대시보드 생성

패널 추가 → 새로만들기 → Statistics Table  → 대시보드 생성

 

index="mall" sourcetype="access_combined_wcookie"
| top limit=10 showcount=F showperc=F clientip, status, uri, referer

 

 

1.2) 상태 값에 따른 대시보드 변경

대시보드에서 설정한 응답 값에 대한 결과를 대시보드에 출력하려고 한다.

 

 

텍스트 항목을 추가한 후 TOP10 대시보드에서 사용할 토큰 이름과 접두사 접미사를 설정한다.

아래와 같이 설정할 경우 status="[사용자 입력 값]" 으로 설정된다.

 

 

TOP 10 대시보드에서 이전에 만든 토큰을 검색에 추가한다.

 

 

404를 입력할 경우 응답 값이 404인 TOP 10 출발지 IP가 출력된다.

 

2) 상태 값 

2.1) 상태 값 출력 대시보드 생성

패널 추가 → 새로만들기 → Statistics Table  → 대시보드 생성

 

index="mall" sourcetype="access_combined_wcookie" 
| stats count by status
| sort count desc

 

 

상태 값을 출력하는 대시보드를 만든 후 Bar Chart로 출력되도록 설정했다.

 

2.2) 드릴다운 구성

선택한 선택 값에 대한 반응형 결과를 보기 위해 드릴다운을 구성한다.

 

 

상태 값 대시보드의 드릴다운을 편집하여 d_status 변수에 $click.value$를 대입한다.

 

$click.value$: Y축의 데이터 값을 반환한다. (상태 값)

$click.value2$ X축의 데이터 값을 반환한다. (접근 수)

 

상태 값을 클릭할 경우 해당 상태 값에 대한 국가별 현황 및 접속 IP TOP 5를 출력하도록 설정한다.

 

2.3) 상태 값에 따른 국가별 현황 구성

패널 추가 → 새로만들기 → Pie Chart  → 대시보드 생성

 

index="mall" sourcetype="access_combined_wcookie" status="$d_status$"
| iplocation clientip
| stats count by Country

 

 

2.4) 상태 값에 따른 출발지 IP TOP5 구성

패널 추가 → 새로만들기 → Pie Chart  → 대시보드 생성

index="mall" sourcetype="access_combined_wcookie" status=$d_status$
| top limit=5 showperc=F clientip
| rename clientip AS "출발지 IP"

 

2.5) 동작 확인

Bar에 있는 200을 클릭할 경우 status 200에 대한 국가별 현황, 접속 IP TOP5를 확인할 수 있다.