Splunk 구현 기술

1장 스플렁크 인터페이스
__스플렁크 로그인
__홈 앱
__상단 바
__검색 앱
____데이터 생성
____요약 화면
____검색
____액션
____타임라인
____필드 선택기
____검색 결과
__시간 선택기
__필드 선택기
__관리자
__정리

2장 검색의 이해
__효율적으로 검색
__불린과 그룹 연산자
__검색 변경을 위한 클릭
____이벤트 분할
____필드 위젯
____시간
__검색에서 필드 사용
____필드 선택기 사용
__와일드카드를 효과적으로 사용
____단어의 끝에만 와일드카드를 사용하는 것이 효율적이다
____와일드카드는 마지막에 검사된다
____필드 안에서 와일드카드를 보완한다
__시간에 관한 모든 것
____스플렁크가 시간을 파싱하는 방법
____스플렁크가 시간을 저장하는 방법
____스플렁크에서 시간을 표시하는 방법
____시간대가 결정되는 방법과 문제
____시간에 대해 검색하는 다른 방법
____검색에서 인라인 시간 설정
_____indextime과 _time
__더 빠른 검색 수행
__결과 공유
__재사용을 위한 검색 저장
__검색에서 경고 생성
____스케쥴
____액션
__정리

3장 테이블, 차트 및 필드
__파이프 기호
__필드 값 순의를 위한 top 명령
____top의 출력제어
__값을 종합하는 stats 명령
__데이터 전환을 위한 차트
__시간 경과에 따라 값의 변화를 보여주는 타임차트
____타임차트 옵션
__필드 작업
____정규 표현식 입문
____필드 생성 명령
____로그레벨 추출
__정리

4장 단순 XML 대시보드
__대시보드의 목적
__대시보드 생성 마법사
__대시보드에서 스케쥴 생성
__XML 직접 편집
__UI 예제 앱
__폼 생성
____대시보드에서 폼 생성
____하나의 폼에서 여러 패널 사용
____검색 결과 후 처리
____후 처리의 제한
__정리

5장 고급 검색 예제
__느슨하게 연결된 이벤트를 찾기 위한 서브 검색
____서브 검색
____서브 검색 절차
____중첩 서브 검색
__트랜잭션 사용
____세션 길이를 결정하기 위한 트랜잭션
____트랜잭션 통계 계산
____트랙잭션과 서브 검색
__동시성 결정
____동시성을 가진 트랜잭션
____서버 부하를 추정하기 위한 동시성
____by 절로 동시성 계산
__시간 간격에 따른 이벤트 계산
____타임차트 사용
____분당 평균 요청 수 계단
____분당/시간당 평균 이벤트 수 계산
__top 재구성
__정리

6장 검색의 확장
__검색을 간단하게 하는 태그
__결과를 정형화하기 위한 이벤트 타입
__데이터를 풍부하게 하는 룩업
____룩업 테이블 파일 정의
____룩업 정의
____자동 룩업 정의
____룩업 트러블슈팅
__로직 재사용을 위한 매크로
____간단한 매크로 생성
____아규먼트를 가진 매크로 생성
____매크로 생성 시 eval 사용
__워크플로우 액션 생성
____이벤트에서 값을 사용하여 새로운 검색 실행
____외부 사이트 링크
____필드 문맥을 보여주는 워크플로우 액션
__외부 명령 사용
____XML에서 값 추출
____구글 결과 생성
__정리

7장 앱 작업
__내부에 포함된 앱
__앱 설치
____스플렁크베이스에서 앱 설치
____파일로 앱 설치
__첫 번째 앱 제작
__내비게이션 편집
__앱의 외형 수정
____실행 아이콘 수정
____사용자 정의 CSS 사용
____사용자 설정 HTML__객체 권한
____권한에 의한 내비게이션의 영향
____권한에 의한 다른 객체의 영향
____권한 문제 수정
__앱 디렉토리 구조
__스플렁크베이스에 앱 추가
____앱 준비
____앱 패키지
____앱 업로드
__정리

8장 고급 대시보드
__고급 XML을 사용하는 이유
__고급 XML을 사용하지 않는 이유
__개발 과정
__고급 XML 구조
__단순 XML을 고급 XML로 변환
__모듈 로직 흐름
__레이아웃 패널의 이해
____패널 위치
__질의의 재사용
__인텐션 사용
____stringreplace
____addterm
__사용자 정의 드릴다운 생성
____사용자 정의 질의를 이용한 드릴다운
____다른 패널로 드릴다운
____HiddenPostProcess를 사용해 여러 패널로 드릴다운
__써드 파티 애드온
____구글 맵
____사이드뷰 유틸
__정리

9장 요약 인덱스와 CSV 파일
__요약 인덱스의 이해
____요약 인덱스 생성
__요약 인덱스가 필요한 경우
__요약 인덱스를 사용할 수 없는 경우
__저장된 검색에서 요약 인덱스 적용
__질의에서 요약 인덱스 이벤트 사용
__sistats와 sitop, sitimechart
__요약 질의에서 지연시간의 영향
__요약 데이터를 채우는 방법과 시기
____fill_summary_index.py
____사용자 정의 요약 인덱스를 생성하는 collect
__요약 인덱스 크기 감소
____그룹 항목을 정의하기 위한 eval과 rex
____와일드카드를 가진 룩업
____그룹 결과에 이벤트 타입 사용
__긴 시간 프레임을 위한 탑(top) 계산
__요약 인덱스에 원시 이벤트 저장
__전이 데이터를 CSV 파일로 저장
____드랍다운 미리 지정
____하루 동안 실행 계산 생성
__정리

10장 스플렁크 설정
__스플렁크 설정 파일 위치
__스플렁크 설정 파일의 구조
__설정 통합
____통합 순서
____설정 통합 로직
____btool 사용
__스플렁크 .conf 파일의 개요
____props.conf
____inputs.conf
____transforms.conf
____fields.conf
____outputs.conf
____indexes.conf
____authorize.conf
____savedsearches.conf
____times.con
____commands.conf
____web.conf
__사용자 인터페이스 리소스
____뷰와 내비게이션
____앱서버 리소스
____메타데이터
__정리

11장 향상된 배포
__설치 계획
__스플렁크 인스턴스 타입
____스플렁크 전달자
____스플렁크 인덱서
____스플렁크 검색
__공통 데이터 소스
____서버 로그 모니터링
____공유 드라이브에서 로그 모니터링
____배치에서 로그 사용
____시스로그 이벤트
____데이터베이스에 로그 사용
____데이터 수집을 위한 스크립트 사용
__인덱서 규모 산정
__여분 계획
____인덱서 로드 밸런싱
____전형적인 서비스 중단의 이해
__다중 인덱스 작업
____인덱스의 디렉토리 구조
____더 많은 인덱스를 생성하는 경우
____버킷의 생명주기
____인덱스의 규모 산정
____여러 개의 인덱스를 다루기 위한 볼륨
__스플렁크 바이너리 배포
____타르를 이용한 배포
____msiexec를 이용한 배포
____기본 설정 추가
____부팅 시 스플렁크를 시작하도록 설정
__설정을 구성하기 위한 앱
____목적에 따라 설정 분리
__설정 분산
____자신의 배포 시스템 사용
____스플렁크 배포 서버 사용
__인증을 위해 LDAP 사용
__싱글 사인 온 사용
__로드 밸러서와 스플렁크
____웹
____splunktcp
____배포 서버
__여러 개의 검색 헤드
__정리

12장 스플렁크 확장
__데이터 수집을 위한 입력 스크립트 작성
__시간이 없는 스크립트 출력을 수집
____하나의 이벤트로 스크립트 결과를 수집
____장시간 실행되는 입력 스크립트 생성
__커맨드 라인에서 스플렁크 사용
__REST를 이용한 스플렁크 질의
__명령 작성
____명령을 작성할 수 없는 경우
____명령 작성이 필요한 경우
____명령 설정
____필드 추가
____데이터 다루기
____데이터 변형
____데이터 생성
__데이터를 풍부하게 하기 위한 룩업 스크립트 작성
__이벤트 랜더러 작성
____특정 필드 사용
____필드 값에 기반한 필드 테이블
____XML 소스 출력
__처리 결과에 경고 액션 스크립트 작성
__정리