UF (Universal Forwarder) 란 ?
Splunk Enterprise로 데이터를 보내기 위해 로그 등의 데이터를 수집할 서버 설치하는 간소화된 Splunk이다.
리소스 사용량은 3% 내외지만, 데이터 전송량이 늘어날 경우 늘어나며 데이터 전송 속도의 제한이 기본적으로 존재하기 때문에 리소스 사용량을 마냥 신뢰할 수 없다는 것이 함정이다.
UF 설치 방법
U/F는 기존 Splunk 설치 파일과 별도의 설치 파일을 해당 OS에 알맞게 Splunk 사이트에서 다운로드하여 설치하면 된다.
https://www.splunk.com/en_us/download/previous-releases/universalforwarder.html
universalforwarder
www.splunk.com
사이트 주소에 접속하여 파일을 다운로드 한 뒤,
Splunk 설치 및 설정
Splunk란? 스플렁크(Splunk)는 웹 기반 인터페이스를 통해 데이터 수집, 검색, 분석 및 모니터링을 위한 비정형 데이터 분석 솔루션이다. 현업에서는 주로, 보안 혹은 관제를 위한 빅데이터 솔루션으
kairuen.tistory.com
기존 Splunk 설치 방법과 동일하게 설치 및 설정을 진행하면 된다.
U/F 설정
기본적으로 U/F에서는 conf 파일을 수정하여, 데이터 수집 및 전달, 속도 제한 등의 설정이 가능하다.
경로는 $SPLUNK_HOME/etc/system/local 으로 들어가서 해당 파일명으로 생성한 뒤 아래 내용을 필요에 맞게 설정하면 된다.
outputs.conf (데이터 전송 설정)
[tcpout]
defaultGroup = <target_group> : 인덱스로 보낼 그룹명 지정
[tcpout:<target_group>]
server = [<ip>|<servername>]:<port> : 인덱스로 보낼 IP 및 포트 지정
[tcpout-server://<ip address>:<port>] : 인덱스로 전송
inputs.conf (데이터 수집 설정)
[default]
host = <string> : 데이터 전송 시, 호스트명
index = <string> : 데이터 전송 시, 저장할 인덱스
source = <string> : 데이터 전송 시, 소스 설정
sourcetype = <string> : 데이터 전송 시, 소스 타입 설정
[monitor://<path>] : 모니터링할 폴더 및 파일 지정
_TCP_ROUTING = <tcpout_group_name> : 모니터링 후 데이터 전송할 그룹
limit.conf (U/F 제한 설정)
[thruput]
maxKBps = <integer> : 데이터 전송 속도 설정 (기본 256 Kbps) - 대부분 빅데이터를 구축하기 위함이므로 설정 변경 필요
등의 파일을 기본적으로 설정해주면 된다.
이러한 설정 이외에도 여러 가지 conf가 존재하며 각 설정 하위에도 추가적인 설정은 존재하지만, 기본적인 데이터 전송은 위의 설정만 추가하여도 가능하다.
'개발새발 > Splunk' 카테고리의 다른 글
| Splunk 설치 및 설정 (0) | 2021.05.26 |
|---|