스플렁크 수집데이터의 인덱스 정의하기 > Splunk 자료실

개념

수신 받는 데이터들의 index를 재정의하는 과정을 기술합니다.

index 재정의 하기

첫 번째로는 transforms.conf 파일에서 정규표현식을 사용하여 인덱스를 재정의 합니다.

호스트 재정의와 달라진 것은 정규표현식 뒤에 firewall이라는 표현식이 삽입되어 있습니다.

해당 문자로 이어지는 raw 데이터들은 모두 firewall이라는 index로 재정의하도록 설정하고자 하는 내용입니다.

transforms.conf

[DESKTOP_2M36PUN_firewall]

REGEX = ^\w\w\w\s\d\d\s\d\d:\d\d:\d\d\s\w*-\w*\s\w*\s\w*\s\w*=\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sfirewall

FORMAT = firewall

DEST_KEY = _MetaData:Index

props.conf

[source::udp:10514]

TRANSFORMS-DESKTOP_2M36PUN = DESKTOP_2M36PUN_firewall

위 Color는 반드시 transforms.conf의 스탠자가 props.conf와 반드시 일치해야 설정이 적용됩니다.

10514로 수신되는 raw 데이터에 대해 정규표현식을 사용하여 특정 표현식에 해당하는 데이터를 인덱스로 분류합니다.

앱 재시작

브라우저에서 URL에 이와 같이 입력 후 https://IP:Port/ko-KR/debug/refresh, 앱을 재기동합니다.

재기동 후에 Kiwi Syslog를 통해 데이터를 수신받습니다.

재정의 된 index 확인하기

index = firewall 내용을 확인할 수 있습니다.