스플렁크 수집데이터 소스 타입 정의하기 > Splunk 자료실

개념

수신받는 데이터의 sourcetype을 재정의하는 과정을 기술합니다.

sourcetype 재정의 하기

첫 번째로는 transforms.conf 파일에서 정규표현식을 사용하여 소스 타입을 재정의 합니다.

인덱스 재정의와 달라진 것은 정규표현식 뒤에 `85라는 구분자를 정규표현식으로 구분할 수 있습니다.

해당 문자로 이어지는 raw 데이터들은 모두 allow라는 sourcetype으로 재정의하도록 설정하고자 하는 내용입니다.

transforms.conf

[DESKTOP_2M36PUN_sourcetype_firewall_allow]

REGEX = ^\w\w\w\s\d\d\s\d\d:\d\d:\d\d\s\w*-\w*\s\w*\s\w*\s\w*=\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sfirewall`85

FORMAT = sourcetype::allow

DEST_KEY = MetaData:Sourcetype

props.conf

[source::udp:10514]

TRANSFORMS-DESKTOP_2M36PUN_sourcetype = DESKTOP_2M36PUN_sourcetype_firewall_allow

위 Color는 반드시 transforms.conf의 스탠자가 props.conf와 반드시 일치해야 설정이 적용됩니다.

10514로 수신되는 raw 데이터에 대해 정규표현식을 사용하여 특정 표현식에 해당하는 데이터를 소스 타입으로 분류합니다.

☆☆☆ sourcetype

1. Index 정의 시 REGEX와 동일해도 Sourcetype 정의가 가능하다.

2. 즉, Index와 Sourcetype 정규식이 동일해도 분류하는 데 문제가 없다.

앱 재시작

브라우저에서 URL에 이와 같이 입력 후 https://IP:Port/ko-KR/debug/refresh, 앱을 재기동합니다.

재기동 후에 Kiwi Syslog를 통해 데이터를 수신받습니다.

재정의 된 sourcetype 확인하기

sourcetype = 내용을 확인할 수 있습니다.