splunk

2023. 9. 18. 17:10사설 클라우드/ESXi

Splunk

Splunk은 데이터 분석 및 모니터링을 위한 강력한 플랫폼으로, 기업이 대규모 데이터를 수집, 검색, 분석하고 시각화할 수 있도록 도와주는 소프트웨어다. 주로 로그 데이터, 이벤트 데이터, 성능 지표 데이터 등 다양한 종류의 데이터를 처리하고 관리하는 데 사용된다.

 

 

주요 특징과 개념
  • 데이터 수집 : Splunk은 다양한 데이터 소스에서 데이터를 수집할 수 있다. 이러한 데이터 소스에는 웹 서버 로그, 응용 프로그램 로그, 네트워크 장비 로그, 등이 포함된다.
  • 검색과 질의 : Splunk은 검색 및 질의 언어를 사용하여 데이터를 쉽게 검색하고 분석할 수 있다. 사용자는 텍스트 기반 검색 쿼리를 사용하여 데이터를 필터링하고 원하는 정보를 추출할 수 있다.
  • 시각화 : Splunk은 데이터를 다양한 시각화 형식으로 표시할 수 있는 강력한 시각화 도구를 제공한다. 이를 통해 데이터의 경향과 패턴을 이해하고 보고서를 생성할 수 있다.
  • 대규모 데이터 처리 : Splunk은 대규모 데이터 집합을 처리하고 저장할 수 있는 확장 가능한 아키텍처를 제공한다. 이를 통해 기업은 수천 또는 수백만 개의 이벤트를 처리하고 분석할 수 있다.
  • 실시간 모니터링 : Splunk은 실시간으로 데이터를 모니터링하고 이상 징후나 경고를 설정하여 문제를 조기에 발견할 수 있도록 도와준다.
  • 보안 및 규정 준수 : Splunk은 데이터 보안 및 규정 준수를 위한 기능을 제공하여 기업이 데이터를 안전하게 관리하고 규정을 준수할 수 있도록 지원한다.
  • 애플리케이션 및 통합 : Splunk은 다양한 애플리케이션 및 플러그인을 통합할 수 있으며, 사용자 정의 애플리케이션을 개발하여 특정 비즈니스 요구 사항을 충족시킬 수 있다.

 

 

설치

ubuntu 20.04

apt-get update -y && apt-get dist-upgrade -y
apt-get -y install curl
apt-get -y install open-vm-tools open-vm-tools-desktop 
ufw disable
sleep mode disabl

파일 이동

dpkg -i splunk-8.2.0-e053ef3c985f-linux-2.6-amd64.deb

 

 

경고 메시지 대응

cp: '/opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag'를 설명할 수 없음: 그런 파일이나 디렉터리가 없습니다

 


SWID_SRC_DIR="$SPLUNK_HOME/etc"
SWID_DEST_DIR="/usr/share/regid.2001-12.com.splunk"
mkdir -p $SWID_DEST_DIR
sudo cp /opt/splunk/swidtag/splunk-Splunk-Enterprise-primary.swidtag /opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag
sudo chown splunk:splunk /opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag

 

 

시작

/opt/splunk/bin/splunk enable boot-start

y
admin
12345678

/etc/init.d/splunk start

 

 

실습

접속 화면

 

 

빨간박스 클릭

 

 

선택 후 저장

 

 

빨간박스 클릭하면 위 소스 다운로드 링크로 타고 들어갈 수 있다. 링크 주소는 아래와 같다

 

 

이 자습서에 필요한 사항 - Splunk Documentation

 

What you need for this tutorial - Splunk Documentation

What you need for this tutorial You need to create a Splunk.com account, access the free Trial version of the Splunk software, and download the tutorial data files. There might be other prerequisites, depending on which Splunk platform you use. Create a sp

docs.splunk.com

 

 

빨간박스 클릭

 

 

다운로드 파일 드래그

 

 

저장

 

 

제출 클릭하면 업로드 성공, 검색 시작을 눌러보자

 

 

검색

 

 

검색법

%3C/p|CDM|1.3|{"originWidth":0,"originHeight":0,"style":"alignCenter","caption":"Array"}_##]

제공한 Splunk 쿼리는 "test_index" 인덱스에서 모든 호스트("*"로 필터링)에 대한 이벤트를 검색한 후, "Code" 필드의 가장 드물게 나타나는 값을 반환한다.

 

 

제공한 Splunk 쿼리는 "test_index" 인덱스에서 모든 호스트("*"로 필터링)에 대한 이벤트를 검색한 후, "Code" 필드의 가장 빈번하게 나타나는 값을 상위 5개까지 표시한다.

'사설 클라우드 > ESXi' 카테고리의 다른 글

splunk 로그 취득  (0) 2023.09.19
VLAN  (0) 2023.09.18
snort를 이용한 패킷 탐지  (0) 2023.09.18
SecurityOnion 설치  (0) 2023.09.15
IDS / IPS  (0) 2023.09.15

관련글

티스토리툴바