반응형

Splunk란?

 

스플렁크(Splunk)는 웹 기반 인터페이스를 통해 데이터 수집, 검색, 분석 및 모니터링을 위한 비정형 데이터 분석 솔루션이다. 현업에서는 주로, 보안 혹은 관제를 위한 빅데이터 솔루션으로 사용된다. 자체적으로 다양한 앱을 지원하는데 오늘은 기본적인 설치 방법에 대해서 알아보고자 한다.

 

Splunk 사양

 

구분 CPU Memory Disk OS
최소 요구 사항 2+ GHz
6코어 2소켓+
12GB+ RAID 0 or 1+0 64bit

Splunk는 주로 빅데이터를 위한 서버에 구축하기 때문에, 요구하는 최소 사양의 경우는 위와 같다.

 

Tip

 

추가적인 팁으로는 추후 클러스터링 환경을 구축하게 되는 경우 서로 다른 성능의 하드웨어를 붙이게 되는 경우 가장 낮은 성능의 하드웨어에 맞춰서 성능이 평준화되기 때문에, 동일한 성능의 하드웨어로 환경을 구축하는 것이 좋다.

또한, Disk의 RAID 구성의 경우 0 or 1+0를 사용하나, 0의 경우 Mirroring을 하지 않기 때문에, 이후 추가적인 하드웨어 작업을 하는 경우 기타 추가 작업이 필요하여 1+0의 경우 하드웨어만 장착하면 기타 추가 작업 없이 증설이 가능하다.

 

Linux 설치 방법

 

리눅스에서 스플렁크를 설치하기 전에 우선, 별도의 계정 생성이 필요하다.

 

 

  • -d : 계정의 홈 디렉토리
  • -s : 사용 shell 지정
  • splunk : 계정명

 

위와 같이 별도의 계정 생성을 하는 이유는 root로 스플렁크를 설치하거나 실행하는 경우 파일 등이 실행 권한 문제로 인해 정상적으로 작동하지 않는 경우가 존재하기 때문에 위와 같이 별도의 계정 생성 이후 해당 계정에서 스플렁크를 설치 및 작동하기 위함이다.

 

계정 생성을 마치면, 리눅스에 대한 별도 환경 설정이 필요하다. 이유는 다음과 같은데, 리눅스 시스템의 경우는 다중 사용자를 염두에 두고 만들어진 시스템이고, 기본적으로 허용되는 리소스 한계가 너무 낮기 때문에 빅데이터 시스템을 구축하기에 문제가 있어서 변경이 필요하다.

 

ulimit

 

file size open files max user processes data segment size
ulimit -f ulimit -n ulimit -u ulimit -d

해당 시스템 명령어를 쳐서 값이 작은 경우에는 해당 시스템 환경에 맞춰서 값을 올려주어야 한다. 변경해야 하는 위치는

/etc/security/limits.conf 이다.

 

위와 같은 설정이 마무리되었으면, https://www.splunk.com/en_us/download/previous-releases.html 해당 페이지에서 Splunk 인스톨러를 받을 수 있다.

리눅스의 경우 rpm / tgz / deb 세 가지 파일이 존재하는데, 각각 아래의 명령어로 설치하면 된다.

 

rpm deb tgz
rpm -ivh splunk-8.1.4-Linux-x86-64.rpm deb -i splunk-8.1.4-Linux-x86-64.deb tar xzvf splunk-8.1.4-Linux-x86-64.tgz

 

Splunk 초기 실행

 

위와 같은 명령어로 Splunk를 설치하는 경우 실행 및 편리성을 위해 부팅 시 자동 실행 되게 설정이 가능하다.

  • /opt/splunk/bin/splunk start --accept-license

명령어를 통해, splunk를 최초 실행해주고, 아래와 같은 명령어를 통해 부팅 시 자동 실행을 켜준다.

  • root 계정 : /opt/splunk/bin/splunk enable boot-start
  • splunk 계정 : /opt/splunk/bin/splunk enable boot-start -user splunk

한 시스템에 2개 이상의 splunk를 실행하는 경우에는 마지막 실행한 자동 실행 명령만 init.d에 등록되며, 2개 이상 부팅 시 자동 실행을 키려면 별도의 쉘 작성이 필요하다.

 

Windows 설치 방법

 

Windows 서버의 경우는 더 쉽게 설치할 수 있다.

https://www.splunk.com/en_us/download/previous-releases.html 에서 msi 파일을 다운로드한 뒤, 해당 파일을 실행시켜주면 설치할 수 있다.

 

 

 

 

 

기본적인 설치 경로 변경, 설치 계정 설정, 관리자 아이디 비밀번호 생성 등의 설정을 마치면 정상적으로 설치를 완료할 수 있다.

 

Tip

 

윈도우에서 설치하는 경우 스플렁크를 윈도우 서비스로 등록되어 제어판 - 관리도구 - 서비스에서 실행, 중지, 자동 실행 설정이 가능하다. (Splunkd Service)

Splunk를 초기 실행할 때는 윈도우에서 관리자 모드로 실행하여 권한 문제가 없도록 하는 것이 안정적이다.

 

Splunk 실행

 

모든 설치를 마친 이후에는 http:localhost:8000 으로 접속하여, 웹 인터페이스에 접속할 수 있다.

Splunk는 웹 기반 인터페이스이기 때문에, 기본적인 모니터링 등의 작업은 웹에서 진행할 수 있으며, Splunk 실행 시, 권장하는 브라우저는 Chrome 이다.

반응형

'개발새발 > Splunk' 카테고리의 다른 글

UF (Universal Forwarder) 설치 및 conf 설정  (0) 2021.06.08

+ Recent posts