스플렁크앱(이벤트젠) > Splunk 자료실

• 목록

 Splunk EventGen

스플렁크 이벤트제너레이터

스플렁크는 빅데이터를 다루는 솔루션인데 이게 기본적으로 로그를 수집해야 한다.

여러 로그 생성앱들이 존재하지만 실제 우리가 수집해야 할 제품들이 있으면 이 로그들을 

수집하고 분석해서 시각화시켜주려면 eventgen이라는 앱이라는 게 있는데 이걸 사용해야 한다.

1. 이벤트젠 앱 다운로드

    아래 사이트에서 "eventgen" 앱 검색 후 다운로드

https://splunkbase.splunk.com/

2. 이벤트젠 앱 설치

    2.1) CLI 방식 :  ./splunk install app "$PATH/app_name -auth <id>:<password>

    2.2) GUI 방식 : 앱 > 앱 관리 > 파일에서 앱 설치

3. 스플렁크 앱 디렉토리 구조

     bin

          스크립트 입력, 별도 코딩된 명령어, 파이썬 파일, 쉘 스크립트, 파워쉘 스크립트

     default 

         앱 배포 및 패키징 시 앱 관련 기본 설정파일들이 저장되는 디렉토리

     local

         기본설정 파일보다 우선적으로 해당 디렉토리의 설정 파일들이 우선적으로 적용된다.

     Tip : 앱 설정은 "local"디렉토리에 설정파일을 만들어놓고 향후 local을 제외하고 앱 upgrade 시 설정이 초기화되는 것을 방지

              local 디렉토리가 배포되지 않도록 배포시  주의한다.

     lookups

         룩업으로 사용되는 CSV 파일들이 저장된다.

     metadata

         앱의 권한관련 파일들이 저장되어 있다. 

         "default.meta" 와 "local.meta" 2개의 파일이 저장되어 있다.

     static

         앱에서 사용되는 고정된 파일들이 저장된다.

         For Example) app Icon 파일

4. EventGen 디렉토리 구조

     위 스플렁크 기본 앱 디렉토리 구조와 흡사하다.

     bin

     default 

     local

        eventgen.conf

        indexes.conf

        inputs.conf

     lib

     metadata

     samples

         로그포맷이 정의된 파일들이 저장되어 있다.

5. eventgen.conf 설정

     5.1 앱을 설치한 후 local 디렉토리에 파일을 생성한다.

             eventgen.conf, inputs.conf, indexes.conf

     5.2 로그포맷 파일 생성

            samples 디렉토리에서 로그포맷 확인

            파일명 : ips_allow

            파일내용 : Headerfield`module_flag`date`time`....................session_time`

            로그포맷 파일에는 값들을 의미하는 필드를 정의하는 내용이 작성되어 있으며, 위 파일을 만들고

            "헤더필드", "모듈플래그", "날짜", "시간"......"세션타임" 등과 같이 필드를 정의해주는 단어를 작성한다.

     5.2 eventgen.conf 설정

            "samples" 디렉토리에서 로그포맷을 정의한 파일을 생성한 후

            해당 로그를 생성하는 간격, 인덱스, 호스트, 소스 타입, 시간 등 설정을 통해 이벤트 생성관련 옵션을 설정한다.

            [ips_allow]          < 해당 스탠자명은 "samples" 디렉토리에 생성한 "파일명"과 반드시 동일해야 한다.

            interval = 60       < "mode"가 "sample" 설정일 떄 유효한 적용으로 샘플 생성 빈도수를 의미

            earliest = -2m     < 임의 시간 설정

            latest = now       < 현재 시간을 기준

            count = 100       < 샘플 파일 당 생성할 최대 이벤트 수

            index = eventgen_idx_ips   < 로그가 저장될 인덱스명

            host = www.splunkeventgen.com

            source = eventgen

            sourcetype = ips_allow

            disabled = false

            outputMode = splunkstream

            generator = default

            token.0.token = Headerfield

            token.0.replacementType = static

            token.0.replacement = <헤더필드 값>

            token.1.token = module_flag

            token.1.replacementType = static

            token.1.replacement = <로그모듈플래그 값>

            token.2.token = date

            token.2.replacementType = timestamp

            token.2.replacement = %Y%m%d %H:%M:%S

            token.3.token = time

            token.3.replacementType = timestamp

            token.3.replacement = %H:%M:%S

            ........................중간 생략

            token.7.token = sip 

            token.7.replacementType = file

            token.7.replacement = $SPLUNK_HOME/etc/apps/SA-Eventgen/samples/ipaddress.sample

6. inputs.conf 설정

    로그파일 생성 및 eventgen.conf 설정을 끝마쳤으면 해당 파일을 설정해줘야 한다.

    헤비포워더로 설정 후 로그를 수신기로 생성 즉시 전달할 게 아니면 인덱스에 작성해주는 설정을 해줘야 인덱스에 

    저장되는데 이 설정을 ㅡㅡ;; 잊어먹고 로그가 쓰여지지 않아서 삽을 휘두른 시간이 많았다.

    [modinput_eventgen]

    verbosity = 40   < 이벤트의 자세한 정도를 설정, 보통 설정범위는 10~40

    [modinput_eventgen://default]

    disabled = false   < 이벤트 저장설정 비활성화 여부를 "false" 활성화시키겠다는 의미