포워더 매뉴얼 splunk 유니버설 포워더...

Splunk® 유니버설유니버설 포워더포워더 6.4.0

포워더포워더 매뉴얼매뉴얼

생성일: 2016-03-29 오후 1시 13분

Copyright (c) 2016 Splunk Inc. All Rights Reserved

445

5569

910

1212

1414171818

20202631323741

42424448

494951

52525557

Table of Contents유니버설유니버설 포워더포워더 소개소개

유니버설유니버설 포워더포워더

데이터데이터 전달전달 및및 수신수신

유니버설유니버설 포워더포워더 배포배포 계획계획유니버설유니버설 포워더포워더 시스템시스템 요구요구 사항사항포워더포워더 배포배포 토폴로지토폴로지 예예포워더와포워더와 인덱서인덱서 간간 호환성호환성

Splunk Light로로 데이터데이터 전달전달Splunk Light로로 데이터를데이터를 전달하는전달하는 방법방법

Splunk Cloud로로 데이터데이터 전달전달Splunk Cloud로로 데이터를데이터를 전달하는전달하는 방법방법

Splunk Enterprise로로 데이터데이터 전달전달Splunk Enterprise로로 데이터를데이터를 전달하는전달하는 방법방법수신기수신기 활성화활성화

유니버설유니버설 포워더포워더 소프트웨어소프트웨어 설치설치여러여러 호스트의호스트의 데이터데이터 통합통합

유니버설유니버설 포워더포워더 소프트웨어소프트웨어 설치설치설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치명령줄을명령줄을 통해통해 Windows 유니버설유니버설 포워더포워더 설치설치정적정적 설정을설정을 통해통해 Windows 유니버설유니버설 포워더포워더 원격원격 설치설치nix 유니버설유니버설 포워더포워더 설치설치정적정적 설정을설정을 통해통해 *nix 유니버설유니버설 포워더포워더 원격원격 설치설치호스트호스트 이미지의이미지의 일부로일부로 유니버설유니버설 포워더포워더 배포배포

유니버설유니버설 포워더포워더 설정설정유니버설유니버설 포워더포워더 설정설정outputs.conf로로 전달전달 설정설정지원되는지원되는 CLI 명령어명령어

유니버설유니버설 포워더포워더 업그레이드업그레이드

Windows 유니버설유니버설 포워더포워더 업그레이드업그레이드

*nix 유니버설유니버설 포워더포워더 업그레이드업그레이드

고급고급 설정설정 수행수행부하부하 분산분산 설정설정SOCKS 프록시를프록시를 사용하도록사용하도록 포워더포워더 설정설정중간중간 포워더포워더 설정설정

57586062

65656566

6767

여러여러 파이프라인파이프라인 집합을집합을 처리하도록처리하도록 포워더포워더 설정설정인덱서인덱서 클러스터에클러스터에 전달전달 설정설정포워더포워더 액세스액세스 제어제어실행실행 중인중인 데이터의데이터의 손실손실 방지방지

라이트라이트 포워더에서포워더에서 마이그레이션마이그레이션


Windows 라이트라이트 포워더포워더 마이그레이션마이그레이션

*nix 라이트라이트 포워더포워더 마이그레이션마이그레이션

전달전달 문제문제 해결해결유니버설유니버설 포워더포워더 문제문제 해결해결

유니버설유니버설 포워더포워더 소개소개



유니버설유니버설 포워더포워더는는 데이터를데이터를 한한 곳에서곳에서 수집하여수집하여 다른다른 곳으로곳으로 보내는보내는 Splunk 버전입니다버전입니다 . 유니버설유니버설 포워더를포워더를

사용하면사용하면 데이터를데이터를 Splunk Enterprise, Splunk Light, Splunk Cloud는는 물론물론 타사타사 시스템으로도시스템으로도 보낼보낼 수수 있습니다있습니다 .유니버설유니버설 포워더는포워더는 Splunk Enterprise 라이트라이트 포워더를포워더를 대체합니다대체합니다 . 유니버설유니버설 포워더는포워더는 다른다른 Splunk 소프트웨어소프트웨어제품과제품과 분리된분리된 별도의별도의 설치설치 패키지로패키지로 제공됩니다제공됩니다 .

유니버설유니버설 포워더는포워더는 헤비헤비 또는또는 라이트라이트 포워더포워더에에 비해비해 여러여러 가지가지 장점이장점이 있습니다있습니다 . 가장가장 두드러진두드러진 장점은장점은 다른다른Splunk 소프트웨어소프트웨어 제품보다제품보다 하드웨어하드웨어 리소스를리소스를 훨씬훨씬 적게적게 사용한다는사용한다는 것입니다것입니다 . 예를예를 들어들어 이이 포워더는포워더는Splunk Enterprise 인스턴스를인스턴스를 실행하는실행하는 호스트에호스트에 공존할공존할 수수 있습니다있습니다 . 다른다른 Splunk 제품보다제품보다 훨씬훨씬 더더 확장성이확장성이뛰어나므로뛰어나므로 유니버설유니버설 포워더를포워더를 수천수천 개개 설치해도설치해도 네트워크와네트워크와 호스트의호스트의 성능에성능에 거의거의 영향을영향을 미치지미치지 않습니다않습니다 .

Splunk Enterprise보다보다 훨씬훨씬 더더 많고많고 다양한다양한 컴퓨팅컴퓨팅 플랫폼과플랫폼과 아키텍처에아키텍처에 설치할설치할 수수 있다는있다는 장점도장점도 있습니다있습니다 .

웹웹 인터페이스는인터페이스는 없지만없지만 , 설정설정 파일이나파일이나 Splunk Enterprise의의 포워더포워더 관리관리 인터페이스를인터페이스를 통해통해 쉽게쉽게 설정설정 , 관리관리 및및확장할확장할 수수 있습니다있습니다 .

유니버설유니버설 포워더포워더 설명설명

이이 매뉴얼에서는매뉴얼에서는 유니버설유니버설 포워더와포워더와 포워더를포워더를 계획계획 , 다운로드다운로드 , 설치설치 및및 설정하는설정하는 방법에방법에 대해대해 설명합니다설명합니다 .Splunk Enterprise에는에는 다른다른 유형의유형의 포워더가포워더가 두두 가지가지 더더 있습니다있습니다 . 헤비헤비 및및 라이트라이트 포워더와포워더와 각각 포워더에서포워더에서 데이데이터를터를 전달하는전달하는 방법에방법에 대해대해 알아보려면알아보려면 Splunk Enterprise 데이터 전달 매뉴얼의의 데이터데이터 전달전달 및및 수신을수신을 참조하십참조하십시오시오 .

유니버설유니버설 포워더와포워더와 전체전체 Splunk Enterprise 비교비교

유니버설유니버설 포워더는포워더는 데이터를데이터를 전달하기만전달하기만 합니다합니다 . 성능을성능을 개선하고개선하고 리소스리소스 공간을공간을 줄인줄인 유니버설유니버설 포워더에는포워더에는 다다음과음과 같은같은 한계가한계가 있습니다있습니다 .

데이터를데이터를 검색하거나검색하거나 인덱싱할인덱싱할 수수 없습니다없습니다 .경고를경고를 보낼보낼 수수 없습니다없습니다 .특정한특정한 경우경우 (구조화된구조화된 데이터나데이터나 일부일부 Windows 데이터데이터 양식양식 등등 )를를 제외하고제외하고 수신수신 데이터를데이터를 파싱파싱하지하지 않습않습니다니다 .syslog 파이프라인이파이프라인이 없으므로없으므로 데이터를데이터를 syslog 서버로서버로 보낼보낼 수수 없습니다없습니다 .Splunk Enterprise처럼처럼 Python 버전이버전이 포함되어포함되어 있지있지 않습니다않습니다 .

유니버설유니버설 포워더와포워더와 라이트라이트 포워더포워더 비교비교

유니버설유니버설 포워더에는포워더에는 다른다른 Splunk 플랫폼플랫폼 인스턴스로인스턴스로 데이터를데이터를 전달하는전달하는 데데 필요한필요한 필수적인필수적인 구성구성 요소만요소만 포함포함되어되어 있습니다있습니다 . 라이트라이트 포워더포워더는는 일부일부 기능을기능을 비활성화하여비활성화하여 리소스리소스 공간을공간을 줄인줄인 전체전체 Splunk Enterprise 인스턴인스턴

스입니다스입니다 .

라이트라이트 포워더는포워더는 Splunk Enterprise 6.0 버전에서버전에서 지원이지원이 중단되었으므로중단되었으므로 향후향후 Splunk Enterprise 버전에서는버전에서는 이이포워더를포워더를 지원하는지원하는 기능이기능이 삭제될삭제될 수수 있습니다있습니다 .

유니버설유니버설 포워더를포워더를 설치할설치할 때때 4.0 버전버전 이상을이상을 실행하는실행하는 기존기존 라이트라이트 포워더에서포워더에서 마이그레이션할마이그레이션할 수수 있습니다있습니다 .자세한자세한 내용은내용은 라이트라이트 포워더에서포워더에서 마이그레이션마이그레이션을을 참조하십시오참조하십시오 .

유니버설유니버설 포워더와포워더와 라이트라이트 포워더의포워더의 차이점은차이점은 다음과다음과 같습니다같습니다 .

유니버설유니버설 포워더는포워더는 호스트호스트 CPU에에 더더 적은적은 부하를부하를 가하고가하고 메모리를메모리를 더더 적게적게 사용하며사용하며 디스크디스크 공간을공간을 더더 작작게게 차지합니다차지합니다 .유니버설유니버설 포워더를포워더를 헤비헤비 포워더나포워더나 기타기타 Splunk Enterprise 역할과역할과 같은같은 기능을기능을 수행하도록수행하도록 변환할변환할 수수 없습없습니다니다 .Splunk Web이이 없으므로없으므로 이이 사용자사용자 인터페이스로인터페이스로 설정설정 작업을작업을 수행할수행할 수수 없습니다없습니다 .

유니버설유니버설 포워더와포워더와 함께함께 제공되는제공되는 Windows 타사타사 바이너리에바이너리에 대한대한 정보정보

Splunk Enterprise 유니버설유니버설 포워더의포워더의 Windows 버전과버전과 함께함께 제공되는제공되는 타사타사 Windows 바이너리에바이너리에 대한대한 내용은내용은Splunk Enterprise 설치 매뉴얼에서에서 Splunk Enterprise와와 함께함께 배포되는배포되는 Windows 타사타사 바이너리에바이너리에 대한대한 정보를정보를참조하십시오참조하십시오 .

4

유니버설유니버설 포워더를포워더를 Windows 안전안전 모드에서모드에서 실행하는실행하는 방법에방법에 대한대한 내용내용 역시역시 설치 매뉴얼의매뉴얼의 Splunk Enterprise아키텍처아키텍처 및및 프로세스를프로세스를 참조하십시오참조하십시오 .

데이터데이터 전달전달 및및 수신수신

Splunk Enterprise, Splunk Light 및및 Splunk Cloud 인스턴스는인스턴스는 물론물론 Splunk 플랫폼을플랫폼을 실행하지실행하지 않는않는 시스템에도시스템에도데이터를데이터를 전달할전달할 수수 있습니다있습니다 .

하나하나 이상의이상의 포워더에서포워더에서 전송한전송한 데이터를데이터를 수신수신하는하는 Splunk Enterprise 인스턴스를인스턴스를 수신기수신기라고라고 합니다합니다 . 수신기는수신기는

일반적으로일반적으로 Splunk Enterprise 인덱서인덱서지만지만 , 다른다른 포워더일포워더일 수도수도 있습니다있습니다 .

Splunk Enterprise 데이터 전달 매뉴얼에는에는 Splunk Enterprise 헤비헤비 및및 라이트라이트 포워더를포워더를 사용하는사용하는 데이터데이터 전달전달 및및수신에수신에 대한대한 자세한자세한 내용이내용이 수록되어수록되어 있습니다있습니다 .

전달전달 레이아웃레이아웃 샘플샘플

다음다음 그림과그림과 같이같이 유니버설유니버설 포워더포워더 3개에서개에서 수신기수신기 (인덱서인덱서 ) 하나로하나로 데이터를데이터를 보내면보내면 해당해당 수신기에서수신기에서 데이터를데이터를인덱싱하고인덱싱하고 검색을검색을 위해위해 제공합니다제공합니다 . 이이 레이아웃은레이아웃은 기초적이지만기초적이지만 , 특정특정 환경과환경과 네트워크네트워크 토폴로지에토폴로지에 따라따라 여여러러 전달전달 조합을조합을 정의할정의할 수수 있습니다있습니다 .

포워더는포워더는 다음과다음과 같은같은 기능으로기능으로 인해인해 원시원시 네트워크네트워크 피드보다피드보다 훨씬훨씬 강력한강력한 데이터데이터 전달전달 솔루션입니다솔루션입니다 .

메타데이터메타데이터 (source, source type 및및 host) 태그태그 지정지정버퍼링버퍼링 설정설정 가능가능데이터데이터 압축압축SSL 보안보안제공되는제공되는 모든모든 네트워크네트워크 포트포트 사용사용

유니버설유니버설 포워더를포워더를 사용하여사용하여 데이터데이터 통합통합 및및 부하부하 분산분산 같은같은 기능을기능을 수행할수행할 수수 있습니다있습니다 .

유니버설유니버설 포워더포워더 배포배포 계획계획

유니버설유니버설 포워더포워더 시스템시스템 요구요구 사항사항

유니버설유니버설 포워더의포워더의 시스템시스템 요구요구 사항은사항은 헤비헤비 또는또는 라이트라이트 포워더와포워더와 다릅니다다릅니다 . Splunk Enterprise 헤비헤비 및및 라이트라이트포워더의포워더의 시스템시스템 요구요구 사항에사항에 대해대해 알아보려면알아보려면 Splunk Enterprise 설치 매뉴얼의의 시스템시스템 요구요구 사항을사항을 참조하십시참조하십시오오 .

5

플랫폼플랫폼 및및 하드웨어하드웨어 요구요구 사항사항

유니버설유니버설 포워더는포워더는 전체전체 Splunk Enterprise가가 지원하는지원하는 운영운영 체제체제 외에도외에도 Splunk Enterprise가가 지원하지지원하지 않는않는 몇몇가지가지 운영운영 체제를체제를 더더 지원합니다지원합니다 . Splunk Enterprise 설치 매뉴얼에에 있는있는 리스트를리스트를 참조하십시오참조하십시오 .

아래아래 테이블에는테이블에는 유니버설유니버설 포워더의포워더의 하드웨어하드웨어 요구요구 사항이사항이 나와나와 있습니다있습니다 .

권장권장 듀얼코어듀얼코어 1.5GHz+ 프로세서프로세서 , 1GB+ RAM

최소최소 1.0Ghz 프로세서프로세서 , 512MB RAM

라이선싱라이선싱 요구요구 사항사항

유니버설유니버설 포워더는포워더는 자체자체 라이선스와라이선스와 함께함께 제공됩니다제공됩니다 . 자세한자세한 내용은내용은 관리자 매뉴얼의의 Splunk 소프트웨어소프트웨어 라이라이선스선스 유형을유형을 참조하십시오참조하십시오 .

기타기타 요구요구 사항사항

Sun SPARC 시스템

Solaris를를 실행하는실행하는 Sun SPARC 시스템에시스템에 유니버설유니버설 포워더를포워더를 설치하기설치하기 전에전에 C 라이브러리라이브러리 (libc.so.1) 패치패치 레벨레벨이이 SUNW_1.22.7 이상인지이상인지 확인하십시오확인하십시오 . 유니버설유니버설 포워더를포워더를 SPARC 아키텍처용아키텍처용 Solaris에서에서 실행하려면실행하려면 이이 라이라이브러리브러리 버전이버전이 필요합니다필요합니다 .

사용자 권한

유니버설유니버설 포워더를포워더를 설치하려면설치하려면 관리자관리자 권한이나권한이나 관리자와관리자와 동등한동등한 권한이권한이 있어야있어야 합니다합니다 .

포워더를포워더를 사용하기사용하기 위해위해 높은높은 권한이권한이 필요하지필요하지 않지만않지만 , 포워더포워더 실행실행 사용자는사용자는 모니터링하고모니터링하고 전달할전달할 리소스에리소스에대한대한 읽기읽기 권한이권한이 있어야있어야 합니다합니다 .

포워더와포워더와 인덱서인덱서 클러스터클러스터

포워더를포워더를 사용하여사용하여 데이터를데이터를 인덱서인덱서 클러스터의클러스터의 피어피어 노드로노드로 전송하는전송하는 경우경우 이이 항목에항목에 나와나와 있는있는 사양과사양과 다른다른설치설치 요구요구 사항을사항을 따라야따라야 합니다합니다 . 포워더와포워더와 클러스터에클러스터에 대한대한 자세한자세한 내용은내용은 인덱서 및 인덱서 클러스터 관리의의 포포워더를워더를 사용하여사용하여 데이터를데이터를 인덱서로인덱서로 가져오기를가져오기를 참조하십시오참조하십시오 .

인덱서와인덱서와 유니버설유니버설 포워더의포워더의 호환성호환성

유니버설유니버설 포워더와포워더와 인덱서의인덱서의 여러여러 버전이버전이 서로서로 호환됩니다호환됩니다 . 특정특정 인덱서인덱서 버전과버전과 함께함께 사용사용 가능한가능한 포워더포워더 버전버전에에 대한대한 자세한자세한 내용은내용은 Splunk Enterprise 데이터 전달 매뉴얼의의 포워더와포워더와 인덱서인덱서 간간 호환성을호환성을 참조하십시오참조하십시오 .

포워더포워더 배포배포 토폴로지토폴로지 예예

유니버설유니버설 포워더를포워더를 배포할배포할 수수 있는있는 시나리오는시나리오는 매우매우 다양합니다다양합니다 . 이이 항목에서는항목에서는 유니버설유니버설 포워더를포워더를 사용하여사용하여만들만들 수수 있는있는 가장가장 유용한유용한 토폴로지토폴로지 유형에유형에 대해대해 대략적으로대략적으로 설명합니다설명합니다 .

데이터데이터 통합통합 토폴로지토폴로지

데이터데이터 통합은통합은 여러여러 포워더에서포워더에서 단일단일 Splunk Enterprise 인스턴스로인스턴스로 데이터를데이터를 전송하는전송하는 가장가장 일반적인일반적인 토폴로지토폴로지중중 하나입니다하나입니다 . 이이 시나리오에는시나리오에는 파싱되지파싱되지 않은않은 데이터를데이터를 호스트에서호스트에서 중앙중앙 Splunk Enterprise 인스턴스로인스턴스로 전달전달하여하여 통합통합 및및 인덱싱하는인덱싱하는 유니버설유니버설 포워더가포워더가 포함됩니다포함됩니다 .

데이터데이터 통합에통합에 대한대한 자세한자세한 내용은내용은 여러여러 호스트의호스트의 데이터데이터 통합통합을을 참조하십시오참조하십시오 .

다음다음 그림에서는그림에서는 유니버설유니버설 포워더포워더 3개에서개에서 인덱서인덱서 하나로하나로 데이터를데이터를 보냅니다보냅니다 .

6

부하부하 분산분산 토폴로지토폴로지

부하부하 분산분산은은 많은많은 데이터데이터 볼륨볼륨 및및 검색검색 성능성능 향상을향상을 위한위한 수평수평 확장과확장과 내결함성내결함성 같은같은 고려고려 사항을사항을 처리하기처리하기 위해위해여러여러 인덱서로인덱서로 데이터를데이터를 분산시키는분산시키는 프로세스를프로세스를 단순화합니다단순화합니다 . 부하부하 분산분산 시에는시에는 포워더에서포워더에서 지정된지정된 간격으로간격으로데이터를데이터를 다양한다양한 인덱서로인덱서로 라우팅합니다라우팅합니다 .

부하부하 분산분산 설정설정 방법에방법에 대한대한 자세한자세한 내용은내용은 부하부하 분산분산 설정설정을을 참조하십시오참조하십시오 .

다음다음 그림에서는그림에서는 유니버설유니버설 포워더포워더 3개에서개에서 각각각각 2개의개의 인덱서로인덱서로 부하를부하를 분산시킵니다분산시킵니다 .

7

포워더와포워더와 인덱서인덱서 클러스터클러스터

유니버설유니버설 포워더를포워더를 사용하여사용하여 데이터를데이터를 인덱서인덱서 클러스터의클러스터의 피어피어 노드로노드로 보낼보낼 수수 있습니다있습니다 . 이런이런 용도에는용도에는 부하부하분산분산 설정된설정된 포워더를포워더를 사용하는사용하는 것이것이 좋습니다좋습니다 .

유니버설유니버설 포워더와포워더와 인덱서인덱서 클러스터에클러스터에 대한대한 자세한자세한 내용은내용은 인덱서 및 인덱서 클러스터 관리의의 포워더를포워더를 사용하사용하여여 데이터데이터 가져오기를가져오기를 참조하십시오참조하십시오 . 인덱서인덱서 클러스터클러스터 전반에전반에 대한대한 자세한자세한 내용도내용도 해당해당 매뉴얼의매뉴얼의 인덱서인덱서 클러클러스터스터 및및 인덱스인덱스 복제를복제를 참조하십시오참조하십시오 .

다음은다음은 데이터를데이터를 클러스터로클러스터로 전송하는전송하는 부하부하 분산분산 포워더포워더 2개의개의 그림입니다그림입니다 .

중간중간 전달전달

고급고급 이용이용 사례를사례를 처리하려는처리하려는 경우경우 포워더포워더 그룹과그룹과 인덱서인덱서 사이에사이에 중간중간 포워더를포워더를 삽입할삽입할 수수 있습니다있습니다 . 유니버설유니버설포워더는포워더는 중간중간 포워더포워더 역할도역할도 할할 수수 있습니다있습니다 .

이이 시나리오시나리오 유형에서는유형에서는 발신발신 포워더에서포워더에서 데이터를데이터를 통합통합 포워더로포워더로 전송하고전송하고 통합통합 포워더는포워더는 일반적으로일반적으로 데이터데이터를를 로컬로컬 인덱싱한인덱싱한 후후 인덱서에인덱서에 다시다시 전달합니다전달합니다 . 이이 포워더가포워더가 헤비헤비 포워더인포워더인 경우경우 데이터를데이터를 라우팅하고라우팅하고 필터링필터링할할 수도수도 있습니다있습니다 .

일반적인일반적인 이용이용 사례로는사례로는 특정특정 네트워크네트워크 세그먼트의세그먼트의 네트워크네트워크 대역폭대역폭 사용량을사용량을 줄이거나줄이거나 제한하려는제한하려는 상황상황 (예예 :전전 세계에세계에 여러여러 데이터데이터 센터를센터를 보유하고보유하고 있고있고 특정특정 지역의지역의 대역폭을대역폭을 제한하려는제한하려는 경우경우 )이나이나 예를예를 들어들어 보안상의보안상의이유로이유로 인덱서인덱서 컴퓨터에컴퓨터에 대한대한 액세스를액세스를 어느어느 정도정도 제한해야제한해야 하는하는 경우를경우를 들들 수수 있습니다있습니다 .

("저장저장 후후 전달전달"이이 필요한필요한 경우나경우나 로컬로컬 검색을검색을 사용하기사용하기 위해위해 ) 중간중간 인덱스가인덱스가 필요한필요한 경우경우 중간중간 전달을전달을 사용할사용할 수수도도 있지만있지만 , 이렇게이렇게 하려면하려면 헤비헤비 포워더가포워더가 필요합니다필요합니다 .

중간중간 전달을전달을 활성화하려면활성화하려면 중간중간 포워더포워더 설정설정을을 참조하십시오참조하십시오 .

다음다음 그림에는그림에는 간단한간단한 중간중간 전달전달 레이아웃이레이아웃이 나와나와 있습니다있습니다 .

8

라우팅라우팅 및및 필터링필터링

유니버설유니버설 포워더는포워더는 데이터를데이터를 라우팅라우팅 또는또는 필터링하거나필터링하거나 변환할변환할 수수 없습니다없습니다 . 이런이런 작업을작업을 수행하는수행하는 데데 필요한필요한프레임워크가프레임워크가 없기없기 때문입니다때문입니다 . 그러나그러나 source 또는또는 source type이나이나 이벤트이벤트 자체의자체의 패턴패턴 같은같은 기준에기준에 따라따라 데이데이터를터를 라우팅할라우팅할 수수 있는있는 헤비헤비 포워더로포워더로 구성된구성된 중간중간 전달전달 층으로층으로 데이터를데이터를 보내도록보내도록 유니버설유니버설 포워더를포워더를 설정할설정할수수 있습니다있습니다 .

라우팅과라우팅과 필터링에필터링에 대한대한 자세한자세한 내용은내용은 Splunk Enterprise 데이터 전달 매뉴얼의의 데이터데이터 라우팅라우팅 및및 필터링을필터링을 참조참조하십시오하십시오 .

포워더와포워더와 인덱서인덱서 간간 호환성호환성

포워더와포워더와 수신수신 인덱서인덱서 사이에는사이에는 버전버전 호환성과호환성과 관련된관련된 제약이제약이 있습니다있습니다 . 인덱서의인덱서의 Splunk Enterprise 버전은버전은 데데이터를이터를 해당해당 인덱서로인덱서로 전송하는전송하는 포워더와포워더와 같거나같거나 더더 새로운새로운 버전이어야버전이어야 합니다합니다 .

포워더포워더 -인덱서인덱서 호환성호환성

6.0 버전버전 이상의이상의 유니버설유니버설 포워더에서는포워더에서는 Splunk Enterprise 버전이버전이 5.0 이상인이상인 인덱서로인덱서로 데이터를데이터를 보낼보낼 수수있습니다있습니다 .Splunk Enterprise 버전이버전이 6.0 이상인이상인 인덱서는인덱서는 4.3 버전버전 이상의이상의 유니버설유니버설 포워더에서포워더에서 전송된전송된 데이터를데이터를 수수신할신할 수수 있습니다있습니다 .

유니버설 포워더와 인덱서의 특정 버전이 필요한 기능

일부일부 전달전달 기능을기능을 사용하려면사용하려면 포워더와포워더와 수신기가수신기가 모두모두 특정특정 버전버전 이상이어야이상이어야 합니다합니다 .

다음다음 기능은기능은 포워더와포워더와 포워더가포워더가 연결하는연결하는 수신수신 인덱서가인덱서가 모두모두 6.0 버전버전 이상이어야만이상이어야만 사용할사용할 수수 있습니다있습니다 .

동적동적 파일파일 헤더헤더구조화된구조화된 데이터데이터 전달전달포워더의포워더의 표준표준 시간대시간대 전송전송 . 또한또한 포워더에서는포워더에서는 중간중간 전달전달 층이층이 라이트라이트 또는또는 유니버설유니버설 포워더로포워더로 구성된구성된 경경우우 시간대시간대 전송전송 기능을기능을 전체전체 중간중간 전달전달 층에층에 걸쳐걸쳐 유지하지유지하지 않습니다않습니다 .

앱별앱별 호환성호환성 제약에제약에 대한대한 내용은내용은 Splunkbase에서에서 해당해당 앱앱 설명서를설명서를 참조하십시오참조하십시오 .

Splunk Light로로 데이터데이터 전달전달

9

Splunk Light로로 데이터를데이터를 전달하는전달하는 방법방법

Splunk Light 인스턴스에인스턴스에 데이터를데이터를 전달하려면전달하려면 다음다음 절차를절차를 따르십시오따르십시오 .

Splunk Light 인스턴스에서인스턴스에서 수신을수신을 설정합니다설정합니다 .유니버설유니버설 포워더를포워더를 다운로드하여다운로드하여 설치합니다설치합니다 .Splunk Light 인스턴스로인스턴스로 데이터를데이터를 보내도록보내도록 유니버설유니버설 포워더를포워더를 설정합니다설정합니다 .(선택선택 사항사항 ) 유니버설유니버설 포워더가포워더가 배포배포 클라이언트의클라이언트의 역할을역할을 하도록하도록 설정합니다설정합니다 .유니버설유니버설 포워더가포워더가 설치된설치된 호스트에서호스트에서 데이터를데이터를 수집하도록수집하도록 설정합니다설정합니다 .

Splunk Light에서에서 수신수신 설정설정

1. Splunk Light 인스턴스에인스턴스에 로그인합니다로그인합니다 .

2. 사이드바를사이드바를 열고열고 데이터데이터 메뉴에서메뉴에서 수신수신을을 선택합니다선택합니다 .

3. 새로새로 만들기만들기를를 클릭합니다클릭합니다 .

4. Splunk Light 인스턴스에서인스턴스에서 수신을수신을 대기할대기할 포트포트 번호를번호를 '이이 포트에서포트에서 수신수신 대기대기 ' 필드에필드에 입력합니다입력합니다 .

5. 저장저장을을 클릭합니다클릭합니다 . Splunk Light 인스턴스가인스턴스가 입력한입력한 포트포트 번호에서번호에서 수신을수신을 대기하기대기하기 시작합니다시작합니다 .

유니버설유니버설 포워더포워더 다운로드다운로드 및및 설치설치

유니버설유니버설 포워더를포워더를 아직아직 다운로드하지다운로드하지 않은않은 경우경우 지금지금 다운로드하십시오다운로드하십시오 .

Splunk에서는에서는 다양한다양한 운영운영 체제용체제용 유니버설유니버설 포워더를포워더를 제공합니다제공합니다 . 운영운영 체제에체제에 맞는맞는 소프트웨어를소프트웨어를 선택하십시선택하십시오오 . 구체적인구체적인 설치설치 지침은지침은 다음다음 항목을항목을 참조하십시오참조하십시오 .

*nix 운영운영 체제에체제에 설치하려는설치하려는 경우경우 nix 유니버설유니버설 포워더포워더 설치설치다양한다양한 Windows 운영운영 체제에체제에 설치하려는설치하려는 경우경우 설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치

유니버설유니버설 포워더에서포워더에서 Splunk Light 인덱서로인덱서로 데이터를데이터를 보내도록보내도록 설정설정

CLI(명령줄명령줄 인터페이스인터페이스 )에서에서 Splunk Light로로 데이터를데이터를 보내도록보내도록 유니버설유니버설 포워더를포워더를 설정합니다설정합니다 .

1. 유니버설유니버설 포워더의포워더의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 bin 디렉터리로디렉터리로 이동합니다이동합니다 .

Unix Windows

cd $SPLUNK_HOME/bin cd %SPLUNK_HOME%\bin

2. 호스트를호스트를 지정하여지정하여 데이터를데이터를 보낼보낼 Splunk Light 인스턴스를인스턴스를 추가합니다추가합니다 .

Unix Windows

./splunk add forward-server <host>:<port> .\splunk add forward-server <host>:<port>

host는는 데이터를데이터를 수신할수신할 Splunk Light 호스트의호스트의 이름이나이름이나 IP 주소입니다주소입니다 .port는는 Splunk Light에서에서 수신수신 설정설정에서에서 설정한설정한 TCP 포트입니다포트입니다 .

전달전달 호스트를호스트를 추가하기추가하기 전에전에 이이 인스턴스에서인스턴스에서 자격자격 증명을증명을 확인합니다확인합니다 .

./splunk add forward-server splunkaday-linux-light:8999

Added forwarding to: splunkaday-linux-light:8999.

유니버설유니버설 포워더를포워더를 배포배포 클라이언트로클라이언트로 설정설정

유니버설유니버설 포워더를포워더를 배포배포 클라이언트클라이언트로로 설정하면설정하면 포워더포워더 설정의설정의 더더 많은많은 요소를요소를 한한 곳에서곳에서 제어할제어할 수수 있습니다있습니다 .여기에는여기에는 포워더에서포워더에서 수집하는수집하는 데이터와데이터와 포워더에포워더에 설치하는설치하는 Splunk 추가추가 기능이기능이 포함됩니다포함됩니다 . 특정한특정한 유형의유형의 데데이터를이터를 가져와서가져와서 Splunk Light 인스턴스에인스턴스에 전달할전달할 수수 있습니다있습니다 . 이이 절차는절차는 선택선택 사항입니다사항입니다 .

1. 유니버설유니버설 포워더의포워더의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 bin 디렉터리로디렉터리로 이동합니다이동합니다 .

Unix Windows

./splunk set deploy-poll <host>:<port> .\splunk set deploy-poll <host>:<port>

10

host는는 Splunk Light 호스트의호스트의 이름이나이름이나 IP 주소입니다주소입니다 .port는는 Splunk Light 인스턴스의인스턴스의 관리관리 포트입니다포트입니다 . 기본값은기본값은 8089입니다입니다 .

유니버설유니버설 포워더에서포워더에서 Splunk Light로로 데이터를데이터를 보내도록보내도록 설정설정

데이터를데이터를 여러여러 가지가지 방법으로방법으로 수집할수집할 수수 있습니다있습니다 .

유니버설 포워더에서 CLI를 사용하여 수동으로 입력 정의

유니버설유니버설 포워더에서포워더에서 CLI를를 사용하여사용하여 입력을입력을 정의할정의할 수수 있습니다있습니다 . 입력을입력을 정의하면정의하면 유니버설유니버설 포워더가포워더가 이이 정의정의에에 따라따라 데이터를데이터를 수집합니다수집합니다 . 단단 , 모니터링할모니터링할 데이터에데이터에 포워더가포워더가 액세스할액세스할 수수 있어야있어야 합니다합니다 .

예를예를 들어들어 유니버설유니버설 포워더의포워더의 Windows 버전에서버전에서 Windows 이벤트이벤트 로그로그 입력을입력을 정의하려면정의하려면 다음다음 명령어를명령어를 실행실행합니다합니다 .

.\splunk enable eventlog System

/var/log/messages 파일에파일에 대한대한 파일파일 모니터모니터 입력을입력을 정의하려면정의하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

./splunk add monitor /var/log/messages

CLI를를 사용하여사용하여 입력을입력을 추가하는추가하는 예를예를 더더 보려면보려면 Splunk Enterprise 설명서의설명서의 데이터 가져오기 매뉴얼을매뉴얼을 참조하참조하십시오십시오 .

포워더에서 설정 파일을 사용하여 입력 정의

사용할사용할 입력에입력에 CLI 명령어가명령어가 없는없는 경우경우 설정설정 파일을파일을 사용하여사용하여 입력을입력을 설정할설정할 수수 있습니다있습니다 .

1. 명령명령 또는또는 셸셸 프롬프트를프롬프트를 사용하여사용하여 유니버설유니버설 포워더포워더 설정설정 디렉터리로디렉터리로 이동합니다이동합니다 .

Unix Windows

cd $SPLUNK_HOME/etc/system/local cd %SPLUNK_HOME%\etc\system\local

2. 이이 디렉터리에디렉터리에 inputs.conf 파일을파일을 만듭니다만듭니다 .

3. inputs.conf에에 스탠자를스탠자를 추가하여추가하여 파일을파일을 편집합니다편집합니다 .

예를예를 들어들어 Windows 보안보안 , 애플리케이션애플리케이션 및및 시스템시스템 이벤트이벤트 로그를로그를 유니버설유니버설 포워더의포워더의 모니터링모니터링 스탠자에스탠자에 추가추가하려면하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

# Windows platform specific input processor.

[WinEventLog://Application]

disabled = 0

[WinEventLog://Security]

disabled = 0

[WinEventLog://System]

disabled = 0

Apache 로그로그 파일을파일을 모니터링하려면모니터링하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

[monitor:///apache/*.log]

disabled = 0

설정설정 파일을파일을 사용하여사용하여 입력을입력을 정의하는정의하는 예를예를 더더 보려면보려면 Splunk Enterprise 데이터 가져오기 매뉴얼의매뉴얼의 inputs.conf를를 사용하여사용하여 파일파일 및및 디렉터리디렉터리 모니터링을모니터링을 참조하십시오참조하십시오 .

포워더에 추가 기능 설치

추가추가 기능을기능을 유니버설유니버설 포워더에포워더에 설치할설치할 수수 있습니다있습니다 .

1. 유니버설유니버설 포워더가포워더가 실행실행 중이면중이면 중지합니다중지합니다 .

11

Unix Windows


2. Splunkbase에서에서 추가추가 기능을기능을 다운로드합니다다운로드합니다 .

3. 유니버설유니버설 포워더에포워더에 추가추가 기능을기능을 설치합니다설치합니다 .

Unix Windows

tar xvzf /path/to/add-on.tgz -C $SPLUNK_HOME/etc/apps

Windows에는에는 tar에에 해당하는해당하는 기능이기능이 없으므로없으므로WinZip이나이나 기타기타 아카이브아카이브 유틸리티를유틸리티를 사용하십시사용하십시오오 .

4. (선택선택 사항사항 ) 포워더에서포워더에서 설정설정 파일을파일을 편집하거나편집하거나 추가추가 기능에기능에 포함된포함된 스크립트를스크립트를 실행하여실행하여 추가추가 기능을기능을 설정설정합니다합니다 .

5. 유니버설유니버설 포워더를포워더를 재시작합니다재시작합니다 .

Splunk Light 안에서 포워더 설정

유니버설유니버설 포워더를포워더를 Splunk Light 인스턴스에인스턴스에 배포하는배포하는 배포배포 클라이언트로클라이언트로 설정한설정한 경우경우 데이터데이터 입력입력 수를수를 SplunkLight 인스턴스에서인스턴스에서 바로바로 설정할설정할 수수 있습니다있습니다 . 이이 설정은설정은 유니버설유니버설 포워더에서포워더에서 앱앱 또는또는 설정설정 파일이나파일이나 CLI를를 사사용하여용하여 설정한설정한 데이터데이터 입력입력 정보에정보에 영향을영향을 미치지미치지 않습니다않습니다 .

1. 유니버설유니버설 포워더를포워더를 배포배포 클라이언트로클라이언트로 설정합니다설정합니다 .

2. 해당해당 유니버설유니버설 포워더의포워더의 배포배포 서버서버 역할을역할을 하는하는 Splunk Light 인스턴스에인스턴스에 로그인합니다로그인합니다 .

3. 검색검색 창에서창에서 데이터데이터 추가추가 > 전달전달을을 클릭합니다클릭합니다 .

4. '서버서버 클래스클래스 선택선택 ' 토글에서토글에서 새로새로 만들기만들기 옵션이옵션이 선택되었는지선택되었는지 확인합니다확인합니다 .

5. 사용사용 가능한가능한 호스트호스트 창에서창에서 유니버설유니버설 포워더를포워더를 선택합니다선택합니다 . 선택된선택된 호스트호스트 창으로창으로 이동합니다이동합니다 .

참고참고 : 추가추가 호스트가호스트가 있는있는 경우경우 이이 절차를절차를 해당해당 호스트에호스트에 대해대해 반복하십시오반복하십시오 . 포워더가포워더가 해당해당 호스트에호스트에 없는없는 경우경우이이 Splunk Light 인스턴스를인스턴스를 배포배포 서버로서버로 사용하도록사용하도록 설정하지설정하지 않았기않았기 때문입니다때문입니다 . 배포배포 클라이언트클라이언트 설정에설정에 대대한한 지침을지침을 검토한검토한 다음다음 작업을작업을 다시다시 해보십시오해보십시오 .

6. 새새 서버서버 클래스클래스 이름이름 필드에필드에 이름을이름을 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

7. 모니터링모니터링 원본을원본을 선택합니다선택합니다 .

8. 선택한선택한 모니터에모니터에 대한대한 세부세부 정보를정보를 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

9. (선택선택 사항사항 ) source type과과 인덱스인덱스 같은같은 입력입력 설정을설정을 수정합니다수정합니다 .

10. 검토검토를를 클릭합니다클릭합니다 .

11. 설정을설정을 검토합니다검토합니다 .

12. (선택선택 사항사항 ) 변경변경 사항을사항을 적용하려면적용하려면 < 단추를단추를 클릭합니다클릭합니다 . 그렇지그렇지 않으면않으면 제출제출을을 클릭하십시오클릭하십시오 . 설정이설정이 저저장된장된 후후 포워더로포워더로 푸시됩니다푸시됩니다 .

Splunk Cloud로로 데이터데이터 전달전달

Splunk Cloud로로 데이터를데이터를 전달하는전달하는 방법방법

보유한보유한 Splunk Cloud 인스턴스인스턴스 유형유형 확인확인

Splunk Cloud에에 전달하는전달하는 절차는절차는 프로비저닝한프로비저닝한 Splunk Cloud 인스턴스인스턴스 유형에유형에 따라따라 조금씩조금씩 다릅니다다릅니다 .

셀프셀프 서비스서비스 Splunk Cloud 인스턴스인스턴스 (Splunk Cloud 웹웹 사이트에서사이트에서 직접직접 프로비저닝한프로비저닝한 인스턴스인스턴스 )에에 데이터를데이터를 전전달하려면달하려면 다음다음 절차를절차를 따르십시오따르십시오 .

Splunk Cloud 인스턴스를인스턴스를 프로비저닝합니다프로비저닝합니다 .유니버설유니버설 포워더를포워더를 다운로드하여다운로드하여 설치합니다설치합니다 .Splunk Cloud 인스턴스에서인스턴스에서 Splunk 유니버설유니버설 포워더포워더 자격자격 증명증명 패키지를패키지를 다운로드합니다다운로드합니다 .

12

Splunk 유니버설유니버설 포워더포워더 자격자격 증명증명 패키지를패키지를 유니버설유니버설 포워더에포워더에 설치합니다설치합니다 .유니버설유니버설 포워더에서포워더에서 설정설정 파일파일 , 추가추가 기능기능 또는또는 명령줄명령줄 인터페이스를인터페이스를 사용하여사용하여 데이터를데이터를 추가합니다추가합니다 .

클러스터된클러스터된 Splunk Cloud 인스턴스인스턴스 (Splunk 담당자가담당자가 프로비저닝해프로비저닝해 준준 인스턴스인스턴스 )에에 데이터를데이터를 전달하려면전달하려면 다음다음절차를절차를 따르십시오따르십시오 .

유니버설유니버설 포워더를포워더를 다운로드하여다운로드하여 설치합니다설치합니다 .Splunk Cloud 인스턴스에인스턴스에 로그인합니다로그인합니다 .유니버설유니버설 포워더포워더 SSL Cert 앱을앱을 열고열고 이이 앱에서앱에서 SSL 인증서를인증서를 다운로드합니다다운로드합니다 .다운로드한다운로드한 인증서를인증서를 유니버설유니버설 포워더에포워더에 설치합니다설치합니다 .Splunk Cloud 인스턴스에인스턴스에 대해대해 주어진주어진 정보를정보를 사용하여사용하여 유니버설유니버설 포워더가포워더가 해당해당 인스턴스에인스턴스에 연결하도록연결하도록설정합니다설정합니다 .유니버설유니버설 포워더에서포워더에서 설정설정 파일파일 , 추가추가 기능기능 또는또는 명령줄명령줄 인터페이스를인터페이스를 사용하여사용하여 데이터를데이터를 추가합니다추가합니다 .

셀프셀프 서비스서비스 Splunk Cloud 인스턴스에인스턴스에 데이터데이터 전달전달

Splunk Cloud 인스턴스 프로비저닝

Splunk Cloud에에 데이터를데이터를 전달하려면전달하려면 먼저먼저 사용사용 가능한가능한 Splunk Cloud 인스턴스가인스턴스가 있어야있어야 합니다합니다 . Splunk Cloud를를 평가판으로평가판으로 실행하거나실행하거나 구입하는구입하는 방법은방법은 Splunk Cloud 웹웹 사이트를사이트를 참조하십시오참조하십시오 .

유니버설 포워더 다운로드 및 설치

유니버설유니버설 포워더를포워더를 다운로드하지다운로드하지 않은않은 경우경우 지금지금 다운로드하십시오다운로드하십시오 .

운영운영 체제에체제에 적합한적합한 포워더포워더 유형을유형을 선택합니다선택합니다 . Splunk에서는에서는 다양한다양한 운영운영 체제용체제용 유니버설유니버설 포워더를포워더를 제공합니제공합니다다 . 구체적인구체적인 설치설치 지침은지침은 다음다음 항목을항목을 참조하십시오참조하십시오 .


Splunk 유니버설 포워더 자격 증명 패키지 다운로드 및 설치

Splunk Cloud 인스턴스는인스턴스는 자격자격 증명증명 패키지와패키지와 함께함께 제공됩니다제공됩니다 . 이이 패키지가패키지가 설치된설치된 유니버설유니버설 포워더는포워더는 SplunkCloud 인스턴스로인스턴스로 인증하고인증하고 해당해당 인스턴스에인스턴스에 데이터를데이터를 보낼보낼 수수 있습니다있습니다 . 입력입력 정보를정보를 설정하기설정하기 전에전에 유니버설유니버설포워더에포워더에 패키지를패키지를 설치하십시오설치하십시오 .

1. Splunk Cloud 인스턴스에인스턴스에 로그인합니다로그인합니다 .

2. 앱앱에서에서 유니버설유니버설 포워더포워더를를 클릭합니다클릭합니다 .

3. 유니버설유니버설 포워더포워더 자격자격 증명증명 다운로드다운로드를를 클릭합니다클릭합니다 .

패키지가패키지가 다운로드다운로드 디렉터리에디렉터리에 splunkclouduf.spl로로 저장됩니다저장됩니다 .

4. 유니버설유니버설 포워더의포워더의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 유니버설유니버설 포워더포워더 자격자격 증명증명 패키지를패키지를 설치합니다설치합니다 .

Unix Windows

$SPLUNK_HOME/bin/splunk install app <download

path>/splunkclouduf.spl -auth <user>:<password>

%SPLUNK_HOME%/bin/splunk install app <download

path>/splunkclouduf.spl -auth <user>:<password>

user 및및 password는는 포워더에포워더에 로그인하는로그인하는 데데 사용하는사용하는 자격자격 증명입니다증명입니다 .<download path>는는 유니버설유니버설 포워더포워더 자격자격 증명증명 패키지가패키지가 저장된저장된 위치입니다위치입니다 .

패키지가패키지가 유니버설유니버설 포워더에포워더에 설치됩니다설치됩니다 . 그러면그러면 포워더가포워더가 특정특정 Splunk Cloud 인스턴스에인스턴스에 연결하는연결하는 데데 필요한필요한자격자격 증명과증명과 보안보안 인증서가인증서가 해당해당 포워더에포워더에 제공됩니다제공됩니다 .





13



CLI를를 사용해사용해 입력을입력을 추가하는추가하는 예를예를 더더 보려면보려면 Splunk Enterprise 데이터 가져오기 매뉴얼을을 참고하십시오참고하십시오 .

클러스터된클러스터된 Splunk Cloud 인스턴스에인스턴스에 데이터데이터 전달전달

유니버설 포워더 다운로드 및 설치


운영운영 체제에체제에 적합한적합한 포워더포워더 유형을유형을 선택해야선택해야 합니다합니다 . Splunk에서는에서는 다양한다양한 운영운영 체제용체제용 유니버설유니버설 포워더를포워더를 제제공합니다공합니다 . 구체적인구체적인 설치설치 지침은지침은 다음다음 항목을항목을 참조하십시오참조하십시오 .


Splunk Cloud 인스턴스에 로그인

Splunk에서에서 제공한제공한 자격자격 증명을증명을 사용하여사용하여 Splunk Cloud 클러스터에클러스터에 로그인합니다로그인합니다 . 예를예를 들어들어 다음다음 로그인로그인 정보정보가가 제공된제공된 경우경우

host: wicket.splunkcloud.com

username: admin_wicket

password: wicket2015

1. 웹웹 브라우저를브라우저를 사용하여사용하여 https://wicket.splunkcloud.com으로으로 이동합니다이동합니다 .

2. 자격자격 증명을증명을 사용하여사용하여 로그인합니다로그인합니다 .







CLI를를 사용하여사용하여 입력을입력을 추가하는추가하는 예를예를 더더 보려면보려면 Splunk Enterprise 설명서의설명서의 데이터 가져오기 매뉴얼을매뉴얼을 참조하참조하십시오십시오 .

Splunk Enterprise로로 데이터데이터 전달전달

Splunk Enterprise로로 데이터를데이터를 전달하는전달하는 방법방법

유니버설유니버설 포워더는포워더는 Splunk Enterprise 인덱서인덱서 또는또는 인덱서인덱서 클러스터로클러스터로 데이터를데이터를 보내는보내는 데데 가장가장 많이많이 사용됩니사용됩니다다 . 이이 항목에서는항목에서는 데이터를데이터를 전달하기전달하기 위해위해 따라야따라야 하는하는 절차에절차에 대해대해 자세히자세히 설명합니다설명합니다 .

헤비헤비 및및 라이트라이트 포워더에서포워더에서 데이터를데이터를 Splunk Enterprise에에 전달할전달할 수도수도 있습니다있습니다 . 자세한자세한 내용은내용은 SplunkEnterprise 데이터 전달 매뉴얼의의 Splunk Enterprise 인스턴스에서인스턴스에서 전달전달 활성화를활성화를 참조하십시오참조하십시오 .

호스트의호스트의 데이터를데이터를 Splunk Enterprise 인덱서로인덱서로 가져오려면가져오려면 다음다음 절차를절차를 따르십시오따르십시오 .

Splunk Enterprise 인스턴스인스턴스 또는또는 클러스터에서클러스터에서 수신을수신을 설정합니다설정합니다 .유니버설유니버설 포워더를포워더를 다운로드하여다운로드하여 설치합니다설치합니다 .Splunk Enterprise 인스턴스로인스턴스로 데이터를데이터를 보내도록보내도록 유니버설유니버설 포워더를포워더를 설정합니다설정합니다 .(선택선택 사항사항 ) 유니버설유니버설 포워더가포워더가 배포배포 클라이언트의클라이언트의 역할을역할을 하도록하도록 설정합니다설정합니다 .유니버설유니버설 포워더가포워더가 설치된설치된 호스트에서호스트에서 데이터를데이터를 수집하도록수집하도록 설정합니다설정합니다 .

14

전달을전달을 설정한설정한 후후 다음다음 고급고급 작업을작업을 수행하여수행하여 보안을보안을 강화하고강화하고 데이터데이터 신뢰성을신뢰성을 높일높일 수수 있습니다있습니다 .

부하부하 분산분산 설정설정프록시프록시 서버서버 뒤에뒤에 있는있는 인덱서로인덱서로 데이터를데이터를 전송전송하도록하도록 포워더포워더 설정설정포워더에서포워더에서 다른다른 포워더로포워더로 데이터를데이터를 보내면보내면 해당해당 포워더에서포워더에서 수신수신 인덱서로인덱서로 데이터를데이터를 보내는보내는 중간중간 전달전달층층 설정설정데이터를데이터를 더더 받기받기 전에전에 데이터데이터 수신을수신을 확인확인하도록하도록 인덱서인덱서 설정설정토큰을토큰을 사용하여사용하여 포워더가포워더가 인덱서에인덱서에 액세스하는액세스하는 방법방법 제어제어타사타사 시스템시스템에에 데이터데이터 전달전달

이러한이러한 고급고급 설정에설정에 대한대한 자세한자세한 내용은내용은 "고급고급 설정설정 수행수행"을을 참조하십시오참조하십시오 .

Splunk Enterprise에서에서 수신수신 설정설정

Splunk Enterprise 인덱서로인덱서로 데이터를데이터를 보내려면보내려면 인덱서에서인덱서에서 데이터를데이터를 수신하도록수신하도록 먼저먼저 설정해야설정해야 합니다합니다 . 이렇게이렇게설정하지설정하지 않으면않으면 데이터가데이터가 전달되지전달되지 않습니다않습니다 .

Splunk Enterprise 인덱서에서인덱서에서 데이터를데이터를 수신하도록수신하도록 설정하려면설정하려면 수신기수신기 활성화활성화를를 참조하십시오참조하십시오 .

유니버설유니버설 포워더포워더 다운로드다운로드 및및 설치설치


운영운영 체제에체제에 적합한적합한 포워더포워더 유형을유형을 선택해야선택해야 합니다합니다 . Splunk에서는에서는 다양한다양한 운영운영 체제용체제용 유니버설유니버설 포워더를포워더를 제제공합니다공합니다 . 구체적인구체적인 설치설치 지침은지침은 다음다음 항목을항목을 참조하십시오참조하십시오 .


Splunk Enterprise 인덱서로인덱서로 데이터를데이터를 보내도록보내도록 유니버설유니버설 포워더포워더 설정설정

유니버설유니버설 포워더가포워더가 Splunk Enterprise로로 데이터를데이터를 보내려면보내려면 Splunk 명령줄명령줄 인터페이스인터페이스 (CLI)를를 사용하여사용하여 포워더포워더를를 설정해야설정해야 합니다합니다 .

다음다음 절차에서는절차에서는 기본기본 설정에설정에 대해대해 자세히자세히 설명합니다설명합니다 . 추가추가 설정설정 옵션은옵션은 유니버설유니버설 포워더포워더 설정설정을을 참조하십시참조하십시오오 .

1. 유니버설유니버설 포워더의포워더의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 $SPLUNK_HOME/bin 디렉터리로디렉터리로 이동합니다이동합니다 .

Unix Windows


2. Splunk Enterprise 수신기의수신기의 호스트호스트 이름이름 또는또는 IP 주소를주소를 지정합니다지정합니다 .

Unix Windows

./splunk add forward-server <host>:<port> .\splunk add forward-server <host>:<port>

host는는 데이터를데이터를 수신할수신할 Splunk Enterprise 호스트의호스트의 이름이나이름이나 IP 주소입니다주소입니다 . port는는 이이 매뉴얼의매뉴얼의 수신기수신기 활성활성화화에서에서 설정한설정한 TCP 포트입니다포트입니다 . 전달전달 호스트를호스트를 추가하기추가하기 전에전에 이이 인스턴스에서인스턴스에서 자격자격 증명을증명을 확인합니다확인합니다 .

./splunk add forward-server splunkaday-linux-light:8999

Added forwarding to: splunkaday-linux-light:8999.

유니버설유니버설 포워더를포워더를 배포배포 클라이언트로클라이언트로 설정설정

유니버설유니버설 포워더를포워더를 배포배포 클라이언트로클라이언트로 설정하면설정하면 유니버설유니버설 포워더포워더 설정을설정을 중앙의중앙의 한한 곳에서곳에서 제어할제어할 수수 있습니있습니다다 . Splunk Web을을 사용하여사용하여 포워더에서포워더에서 가져오는가져오는 설정설정 , 수신하는수신하는 추가추가 기능기능 , 수집하는수집하는 데이터데이터 등을등을 설정할설정할 수수있습니다있습니다 .

배포배포 서버를서버를 사용하여사용하여 유니버설유니버설 포워더에포워더에 설정을설정을 배포하려면배포하려면 포워더가포워더가 배포배포 서버에서버에 연결하도록연결하도록 먼저먼저 설정해야설정해야합니다합니다 . 모든모든 Splunk Enterprise 인덱서가인덱서가 배포배포 서버일서버일 수수 있으며있으며 , 유니버설유니버설 포워더가포워더가 인덱서인덱서 관리관리 포트에포트에 연결하연결하면면 배포배포 서버가서버가 자동으로자동으로 활성화됩니다활성화됩니다 . 그러면그러면 포워더가포워더가 배포배포 클라이언트클라이언트가가 됩니다됩니다 .

1. 유니버설유니버설 포워더의포워더의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 $SPLUNK_HOME/bin 디렉터리로디렉터리로 이동합니다이동합니다 .

15

Unix Windows


2. 배포배포 서버의서버의 호스트호스트 이름이름 또는또는 IP 주소를주소를 지정합니다지정합니다 .

Unix Windows

./splunk set deploy-poll <host>:<port> .\splunk set deploy-poll <host>:<port>

host는는 배포배포 서버의서버의 이름이나이름이나 IP 주소입니다주소입니다 . port는는 배포배포 서버의서버의 관리관리 포트입니다포트입니다 . 기본값은기본값은 8089입니다입니다 .

Splunk Enterprise로로 데이터를데이터를 보내도록보내도록 유니버설유니버설 포워더포워더 설정설정

유니버설유니버설 포워더에서포워더에서 여러여러 가지가지 방법으로방법으로 데이터를데이터를 수집할수집할 수수 있습니다있습니다 .

유니버설 포워더에서 CLI를 사용하여 입력 정의






CLI를를 사용해사용해 입력을입력을 추가하는추가하는 예를예를 더더 보려면보려면 Splunk Enterprise '데이터데이터 가져오기가져오기 ' 매뉴얼을매뉴얼을 참조하십시오참조하십시오 .

유니버설 포워더에서 설정 파일을 사용하여 입력 정의

설정할설정할 입력에입력에 대한대한 CLI 인수가인수가 없는없는 경우경우 설정설정 파일을파일을 사용하여사용하여 입력을입력을 설정할설정할 수수 있습니다있습니다 .

1. 명령명령 또는또는 셸셸 프롬프트를프롬프트를 사용하여사용하여 유니버설유니버설 포워더포워더 설정설정 디렉터리로디렉터리로 이동합니다이동합니다 .

Unix Windows


2. 이이 디렉터리에디렉터리에 inputs.conf 파일을파일을 만듭니다만듭니다 .

3. inputs.conf에에 스탠자를스탠자를 추가하여추가하여 파일을파일을 편집합니다편집합니다 .

예를예를 들어들어 Windows 보안보안 , 애플리케이션애플리케이션 및및 시스템시스템 이벤트이벤트 로그를로그를 유니버설유니버설 포워더의포워더의 모니터링모니터링 스탠자에스탠자에 추가추가하려면하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

# Windows platform specific input processor.

[WinEventLog://Application]

disabled = 0

[WinEventLog://Security]

disabled = 0

[WinEventLog://System]

disabled = 0

Apache 로그로그 파일을파일을 모니터링하려면모니터링하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

[monitor:///apache/*.log]

disabled = 0

설정설정 파일을파일을 사용하여사용하여 입력을입력을 정의하는정의하는 예를예를 더더 보려면보려면 Splunk Enterprise '데이터데이터 가져오기가져오기 ' 매뉴얼의매뉴얼의

16

inputs.conf를를 사용하여사용하여 파일파일 및및 디렉터리디렉터리 모니터링을모니터링을 참조하십시오참조하십시오 .

유니버설 포워더에 추가 기능 설치

1. 유니버설유니버설 포워더를포워더를 중지합니다중지합니다 .

Unix Windows


2. 아직아직 SplunkBase에서에서 추가추가 기능을기능을 다운로드하지다운로드하지 않았으면않았으면 지금지금 다운로드합니다다운로드합니다 .

3. 유니버설유니버설 포워더에포워더에 추가추가 기능을기능을 설치합니다설치합니다 .

Unix Windows

tar xvzf /path/to/add-

on.tgz -C

$SPLUNK_HOME/etc/apps

Windows에는에는 tar에에 해당하는해당하는 기능이기능이 없으므로없으므로 WinZip이나이나 기타기타 아카이브아카이브 유틸유틸리티를리티를 사용하여사용하여 %SPLUNK_HOME%\etc\apps 폴더에폴더에 애플리케이션의애플리케이션의 압축을압축을푸십시오푸십시오 .

4. (선택선택 사항사항 ) 포워더에서포워더에서 설정설정 파일을파일을 편집하거나편집하거나 추가추가 기능에기능에 포함된포함된 스크립트를스크립트를 실행하여실행하여 추가추가 기능을기능을 설정설정합니다합니다 .


수신기수신기 활성화활성화

전달과전달과 수신을수신을 활성화하려면활성화하려면 포워더포워더와와 수신기수신기를를 모두모두 설정해야설정해야 합니다합니다 . 수신기는수신기는 데이터를데이터를 수신하는수신하는 SplunkEnterprise 인스턴스입니다인스턴스입니다 . 포워더는포워더는 데이터를데이터를 수신기로수신기로 보냅니다보냅니다 .

포워더는포워더는 수신기의수신기의 수신수신 네트워크네트워크 포트에포트에 연결하고연결하고 , 수신기가수신기가 인식되는인식되는 한한 데이터를데이터를 계속계속 수신기로수신기로 보냅니다보냅니다 .수신기가수신기가 2개개 이상의이상의 인덱서에인덱서에 연결하도록연결하도록 설정하면설정하면 설정한설정한 인덱서로인덱서로 부하가부하가 분산됩니다분산됩니다 .

수신기는수신기는 다른다른 포워더의포워더의 데이터를데이터를 수신하도록수신하도록 설정한설정한 Splunk Enterprise 인덱서인덱서 (일반적인일반적인 경우경우 )이거나이거나 또다른또다른

포워더포워더 ("중간중간 포워더포워더"라고라고 함함 )입니다입니다 .

유니버설유니버설 포워더에서포워더에서 수신을수신을 설정하는설정하는 방법은방법은 다음과다음과 같이같이 두두 가지입니다가지입니다 .

Splunk 명령줄명령줄 인터페이스인터페이스 (CLI) 사용사용inputs.conf 설정설정 파일파일 편집편집

Splunk에서는에서는 수신기를수신기를 먼저먼저 설정하는설정하는 전달전달 설정설정 방법을방법을 권장합니다권장합니다 . 그런그런 다음다음 해당해당 수신기에수신기에 데이터를데이터를 전송전송하도록하도록 포워더를포워더를 설정할설정할 수수 있습니다있습니다 .

Splunk CLI를를 통한통한 수신수신 설정설정

1. 수신을수신을 활성화하려면활성화하려면 다음다음 CLI(명령줄명령줄 인터페이스인터페이스 ) 명령어를명령어를 실행합니다실행합니다 .

splunk enable listen <port> -auth <username>:<password>

<port>는는 수신기에서수신기에서 수신을수신을 대기하도록대기하도록 설정할설정할 포트포트 (수신수신 포트포트 )입니다입니다 . 예를예를 들어들어 9997을을 입력하면입력하면 수신수신기의기의 9997 포트에서포트에서 데이터를데이터를 수신합니다수신합니다 .규칙에규칙에 따라따라 수신기는수신기는 포트포트 9997에서에서 수신을수신을 대기하지만대기하지만 , 사용하지사용하지 않는않는 임의의임의의 포트를포트를 지정할지정할 수도수도 있습있습니다니다 . netstat 같은같은 도구를도구를 사용하여사용하여 시스템에서시스템에서 사용사용 가능한가능한 포트를포트를 확인할확인할 수수 있습니다있습니다 . 선택한선택한 포트가포트가Splunk Enterprise나나 기타기타 프로세스에서프로세스에서 사용사용 중인중인 포트가포트가 아닌지아닌지 확인하십시오확인하십시오 .

splunk enable listen 명령어를명령어를 실행하면실행하면 [splunktcp] 스탠자가스탠자가 inputs.conf에에 생성됩니다생성됩니다 . 예를예를 들어들어 포트를포트를 9997로로설정하면설정하면 [splunktcp://9997] 스탠자가스탠자가 생성됩니다생성됩니다 .

설정설정 파일을파일을 통한통한 수신수신 설정설정

$SPLUNK_HOME/etc/system/local에에 있는있는 inputs.conf를를 설정하여설정하여 Splunk Enterprise 인스턴스에서인스턴스에서 수신을수신을 활성화합니활성화합니다다 .

1. 수신을수신을 활성화하려면활성화하려면 수신수신 포트를포트를 지정하는지정하는 [splunktcp] 스탠자를스탠자를 추가합니다추가합니다 . 이이 예에서예에서 수신수신 포트는포트는 9997입입니다니다 .

17

[splunktcp://9997]

disabled = 0

참고참고 : [splunktcp://9997] 및및 [splunktcp://:9997] 양식양식 (콜론콜론 1개개 또는또는 2개개 )은은 의미가의미가 같습니다같습니다 .

유니버설유니버설 포워더포워더 소프트웨어소프트웨어 설치설치

유니버설유니버설 포워더를포워더를 설치하기설치하기 전에전에 운영운영 체제에체제에 맞는맞는 올바른올바른 버전을버전을 다운로드해야다운로드해야 합니다합니다 . Windows 및및 다양한다양한*nix 버전용버전용 유니버설유니버설 포워더를포워더를 다운로드할다운로드할 수수 있습니다있습니다 .

Splunk 유니버설유니버설 포워더를포워더를 사용할사용할 수수 있는있는 운영운영 체제를체제를 확인하려면확인하려면 설치설치 매뉴얼의매뉴얼의 시스템시스템 요구요구 사항사항 페이지를페이지를참조하십시오참조하십시오 . 그런그런 다음다음 유니버설유니버설 포워더포워더 다운로드다운로드 페이지로페이지로 이동하여이동하여 해당해당 운영운영 체제와체제와 애플리케이션에애플리케이션에 적합적합한한 포워더를포워더를 다운로드하십시오다운로드하십시오 .

포워더포워더 설치설치 패키지를패키지를 다운로드한다운로드한 후후 설치설치 요구요구 사항과사항과 가장가장 일치하는일치하는 설치설치 항목의항목의 설명을설명을 따르십시오따르십시오 . 설치하설치하는는 동안동안 또는또는 설치설치 후후 즉시즉시 설정을설정을 수행할수행할 수도수도 있습니다있습니다 . 각각 설치설치 항목에는항목에는 설치부터설치부터 설정설정 및및 배포까지의배포까지의 특정특정시나리오를시나리오를 다루는다루는 여러여러 이용이용 사례가사례가 있습니다있습니다 .

Windows에에 유니버설유니버설 포워더포워더 설치설치

Windows에에 유니버설유니버설 포워더를포워더를 설치하는설치하는 몇몇 가지가지 방법이방법이 있습니다있습니다 . 해당해당 애플리케이션에애플리케이션에 가장가장 적합한적합한 방법을방법을선택하십시오선택하십시오 .

설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치 . MSI 패키지를패키지를 사용하여사용하여 소프트웨어를소프트웨어를 설치하는설치하는 이이 방방법이법이 가장가장 많이많이 사용됩니다사용됩니다 .

명령줄을명령줄을 통해통해 Windows 유니버설유니버설 포워더포워더 설치설치 . 이이 방법을방법을 사용하면사용하면 설치설치 프로그램을프로그램을 사용하는사용하는 경우보다경우보다더더 많은많은 설정설정 작업을작업을 수행할수행할 수수 있습니다있습니다 .

정적정적 설정을설정을 통해통해 Windows 유니버설유니버설 포워더포워더 원격원격 설치설치 . 여러여러 호스트에호스트에 복제할복제할 수수 있는있는 시스템시스템 이미지에이미지에 유유니버설니버설 포워더를포워더를 설치하려면설치하려면 이이 방법을방법을 사용합니다사용합니다 .

*nix에에 유니버설유니버설 포워더포워더 설치설치

*nix 유니버설유니버설 포워더포워더 설치설치 . tar 파일파일 또는또는 기타기타 패키지를패키지를 사용하여사용하여 *nix 호스트에호스트에 설치하는설치하는 이이 방법이방법이 가장가장많이많이 사용됩니다사용됩니다 .

정적정적 설정을설정을 통해통해 *nix 유니버설유니버설 포워더포워더 원격원격 설치설치 . 여러여러 호스트에호스트에 복제할복제할 수수 있는있는 시스템시스템 이미지에이미지에 유니버유니버설설 포워더를포워더를 설치하려면설치하려면 이이 방법을방법을 사용합니다사용합니다 .

여러여러 호스트의호스트의 데이터데이터 통합통합

가장가장 일반적인일반적인 전달전달 이용이용 사례사례 중중 하나는하나는 여러여러 컴퓨터에서컴퓨터에서 발신된발신된 데이터를데이터를 통합하는통합하는 것입니다것입니다 . 여러여러 컴퓨터에컴퓨터에설치된설치된 포워더에서포워더에서 데이터를데이터를 중앙중앙 Splunk Enterprise 인덱서로인덱서로 보냅니다보냅니다 . 다음은다음은 다양한다양한 운영운영 체제를체제를 실행실행 중인중인컴퓨터의컴퓨터의 유니버설유니버설 포워더에서포워더에서 모든모든 데이터를데이터를 인덱싱하고인덱싱하고 검색검색 기능을기능을 제공하는제공하는 단일단일 Splunk Enterprise 인스턴인스턴스로스로 데이터를데이터를 전송하는전송하는 일반적인일반적인 시나리오에시나리오에 대해대해 설명하는설명하는 그림입니다그림입니다 .

18

여기서는여기서는 소규모소규모 배포배포 환경에환경에 대해대해 설명합니다설명합니다 . 실제로는실제로는 수천수천 개의개의 유니버설유니버설 포워더가포워더가 데이터데이터 통합에통합에 사용될사용될수수 있습니다있습니다 .

1. 액세스해야액세스해야 하는하는 데이터와데이터와 컴퓨터를컴퓨터를 결정합니다결정합니다 .

2. Splunk Enterprise 인스턴스를인스턴스를 호스트에호스트에 설치합니다설치합니다 .

이이 인스턴스가인스턴스가 수신기수신기 역할을역할을 수행하며수행하며 데이터가데이터가 이이 인스턴스에인스턴스에 전달되어전달되어 인덱싱인덱싱 및및 검색됩니다검색됩니다 .

3. $SPLUNK_HOME/bin/에서에서 CLI를를 사용하여사용하여 다음다음 명령어를명령어를 입력합니다입력합니다 .

./splunk enable listen <port> -auth <username>:<password>

<port>는는 수신기에서수신기에서 수신수신 대기하도록대기하도록 설정할설정할 네트워크네트워크 포트입니다포트입니다 .

4. 데이터를데이터를 생성할생성할 컴퓨터에컴퓨터에 유니버설유니버설 포워더를포워더를 각각각각 설치합니다설치합니다 .

5. 입력입력 정보를정보를 각각 포워더에포워더에 대해대해 설정합니다설정합니다 .

Splunk Enterprise가가 인덱싱할인덱싱할 수수 있는있는 대상과대상과 입력입력 정보를정보를 설정하는설정하는 방법에방법에 대해대해 알아보려면알아보려면 데이터 가져오기의의Splunk Enterprise에서에서 인덱싱할인덱싱할 수수 있는있는 대상을대상을 참조하십시오참조하십시오 .

6. 각각 유니버설유니버설 포워더에서포워더에서 수신기에수신기에 데이터를데이터를 보내도록보내도록 설정합니다설정합니다 . Windows 포워더의포워더의 경우경우 설치설치 시에시에 설정하설정하

거나거나 설치설치 후에후에 CLI를를 통해통해 설정할설정할 수수 있습니다있습니다 . *nix 포워더의포워더의 경우경우 CLI를를 통해통해 이이 작업을작업을 수행해야수행해야 합니다합니다 .

./splunk add forward-server <host>:<port> -auth <username>:<password>

<host>:<port>는는 수신기의수신기의 호스트호스트 및및 수신기수신기 포트포트 번호입니다번호입니다 (예예 : splunk_indexer.acme.com:9997).

포워더가포워더가 여러여러 개인개인 경우경우 outputs.conf 파일을파일을 대신대신 사용하여사용하여 수신기를수신기를 지정할지정할 수수 있습니다있습니다 . 예는예는 다음과다음과 같습니같습니다다 .

[tcpout:my_indexers]

server= splunk_indexer.acme.com:9997

이이 파일을파일을 한한 번번 만들고만들고 복사본을복사본을 각각 포워더에포워더에 배포할배포할 수수 있습니다있습니다 .

19

유니버설유니버설 포워더포워더 소프트웨어소프트웨어 설치설치

설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치

Windows 호스트에호스트에 유니버설유니버설 포워더를포워더를 수동으로수동으로 설치할설치할 수수 있습니다있습니다 . 아래아래 절차에서는절차에서는 배포배포 도구를도구를 사용하지사용하지않고않고 Windows 호스트에호스트에 직접직접 설치하려고설치하려고 한다고한다고 가정합니다가정합니다 .

이이 설치설치 방법은방법은 다음에다음에 가장가장 적합합니다적합합니다 .

소규모소규모 배포배포개념개념 증명증명 테스트테스트 배포배포최종최종 복제에복제에 사용할사용할 시스템시스템 이미지이미지 또는또는 가상가상 컴퓨터컴퓨터

명령줄에서명령줄에서 msiexec 설치설치 프로그램을프로그램을 사용하여사용하여 유니버설유니버설 포워더를포워더를 설치할설치할 수도수도 있습니다있습니다 . 명령줄로명령줄로 설치하면설치하면 더더많은많은 설정설정 옵션을옵션을 사용하여사용하여 데이터데이터 입력입력 정보정보 등을등을 설정할설정할 수수 있습니다있습니다 . 포워더가포워더가 설치설치 후에후에 바로바로 실행되지실행되지 않도않도록록 하려면하려면 명령줄로명령줄로 설치하십시오설치하십시오 . 명령줄을명령줄을 통해통해 Windows 유니버설유니버설 포워더포워더 설치설치를를 참조하십시오참조하십시오 .

Windows에에 유니버설유니버설 포워더를포워더를 설치하기설치하기 위한위한 전제전제 조건조건

유니버설 포워더 실행 Windows 사용자 선택

유니버설유니버설 포워더를포워더를 설치할설치할 때때 포워더가포워더가 데이터를데이터를 가져오기가져오기 위해위해 사용할사용할 Windows 사용자를사용자를 선택할선택할 수수 있습니있습니다다 . 두두 가지가지 선택이선택이 가능합니다가능합니다 .

로컬로컬 시스템시스템도메인도메인 계정계정

로컬로컬 시스템시스템 사용자로사용자로 설치하도록설치하도록 설치설치 프로그램에프로그램에 지시할지시할 경우경우 유니버설유니버설 포워더가포워더가 로컬로컬 컴퓨터에서컴퓨터에서 사용사용 가능가능한한 모든모든 데이터데이터 유형을유형을 수집할수집할 수수 있습니다있습니다 . 그러나그러나 다른다른 컴퓨터에서컴퓨터에서 데이터를데이터를 수집할수집할 수는수는 없습니다없습니다 .

다음다음 작업을작업을 수행하려면수행하려면 포워더를포워더를 도메인도메인 사용자사용자로로 설치하십시오설치하십시오 .

이벤트이벤트 로그로그 원격원격 읽기읽기성능성능 카운터카운터 원격원격 수집수집네트워크네트워크 공유공유 로그로그 파일파일 읽기읽기Active Directory 모니터링을모니터링을 사용하여사용하여 Active Directory 스키마에스키마에 액세스액세스

원격원격 Windows 데이터데이터 수집을수집을 위해위해 포워더를포워더를 설치하기설치하기 전에전에 유니버설유니버설 포워더포워더 실행실행 사용자를사용자를 선택하고선택하고 설정하십설정하십시오시오 . 그러지그러지 않으면않으면 설치에설치에 실패할실패할 수수 있습니다있습니다 .

도메인도메인 사용자로사용자로 설치하는설치하는 경우경우 모니터링할모니터링할 데이터에데이터에 액세스할액세스할 수수 있는있는 사용자를사용자를 지정하십시오지정하십시오 . 원격원격 Windows데이터를데이터를 수집하기수집하기 전에전에 충족해야충족해야 하는하는 사용자사용자 요구요구 사항에사항에 대한대한 개념개념 및및 절차는절차는 Splunk Enterprise 설치 매뉴얼에서에서 Splunk 실행실행 Windows 사용자사용자 선택을선택을 참조하십시오참조하십시오 .

도메인도메인 사용자로사용자로 설치할설치할 경우경우 사용자가사용자가 로컬로컬 컴퓨터에서컴퓨터에서 관리관리 권한을권한을 갖도록갖도록 할지할지 여부를여부를 선택할선택할 수수 있습니다있습니다 .사용자에게사용자에게 관리관리 권한을권한을 제공하지제공하지 않기로않기로 선택한선택한 경우경우 유니버설유니버설 포워더가포워더가 "low-privilege" 모드를모드를 활성화합니다활성화합니다 .low-privilege 모드에서모드에서 유니버설유니버설 포워더포워더 설치설치를를 참조하십시오참조하십시오 .

Windows 환경에서 원격 데이터 수집 설정

모니터링을모니터링을 위해위해 원격원격 Windows 데이터를데이터를 수집할수집할 유니버설유니버설 포워더를포워더를 설치해야설치해야 하는하는 경우경우 포워더를포워더를 올바르게올바르게 설설치할치할 수수 있도록있도록 Windows 환경을환경을 설정하십시오설정하십시오 .

단계별단계별 지침은지침은 Splunk Enterprise 설치 매뉴얼의의 Splunk Enterprise를를 네트워크네트워크 또는또는 도메인도메인 사용자로사용자로 설치하기설치하기위해위해 Windows 네트워크네트워크 준비준비 항목을항목을 참조하십시오참조하십시오 .

1. 유니버설유니버설 포워더포워더 실행실행 사용자로사용자로 보안보안 그룹을그룹을 만들고만들고 설정합니다설정합니다 .

2. (선택선택 사항사항 ) 유니버설유니버설 포워더포워더 계정을계정을 관리관리 서비스서비스 계정으로계정으로 설정합니다설정합니다 .

3. 보안보안 정책정책 및및 사용자사용자 권한권한 할당을할당을 위한위한 그룹그룹 정책정책 개체개체 (GPO)를를 만들고만들고 설정합니다설정합니다 .

4. GPO에에 적절한적절한 사용자사용자 권한을권한을 할당합니다할당합니다 .

5. 설정이설정이 업데이트된업데이트된 GPO를를 해당해당 개체에개체에 배포합니다배포합니다 .

데이터를 전달할 대상을 온 프레미스 Splunk 버전 또는 Splunk Cloud 중에서 결정

대상대상 Splunk 플랫폼에플랫폼에 따라따라 설치설치 절차가절차가 다릅니다다릅니다 . 설치설치 지침은지침은 다음다음 항목을항목을 참조하십시오참조하십시오 .

20

온온 프레미스프레미스 Splunk 인스턴스와인스턴스와 함께함께 사용할사용할 유니버설유니버설 포워더포워더 설치설치Splunk Cloud와와 함께함께 사용할사용할 유니버설유니버설 포워더포워더 설치설치

온온 프레미스프레미스 Splunk 인스턴스와인스턴스와 함께함께 사용할사용할 유니버설유니버설 포워더포워더 설치설치

Windows 유니버설유니버설 포워더포워더 설치설치 프로그램으로프로그램으로 유니버설유니버설 포워더를포워더를 설치하면설치하면 온온 프레미스프레미스 Splunk Enterprise 인스인스턴스로턴스로 데이터를데이터를 보내도록보내도록 설정됩니다설정됩니다 . 그리고그리고 기존기존 포워더에서포워더에서 체크포인트체크포인트 설정을설정을 마이그레이션하는마이그레이션하는 옵션이옵션이제공됩니다제공됩니다 .

64비트비트 Windows 시스템이나시스템이나 지원되지지원되지 않는않는 Windows 버전에버전에 Windows용용 Splunk 유니버설유니버설 포워더의포워더의 32비트비트 버버전을전을 설치하거나설치하거나 실행하지실행하지 마십시오마십시오 . 유니버설유니버설 포워더를포워더를 설치할설치할 때때 기존에기존에 설치된설치된 전체전체 Splunk Enterprise를를 덮덮어쓰지어쓰지 마십시오마십시오 .

유니버설 포워더 설치 옵션

Windows에에 유니버설유니버설 포워더를포워더를 설치할설치할 때때 기본기본 설정을설정을 사용하여사용하여 설치할설치할 것인지것인지 아니면아니면 설치설치 전에전에 사용자사용자 지정지정설정을설정을 구성할구성할 것인지것인지 선택할선택할 수수 있습니다있습니다 .

설정을설정을 구성하지구성하지 않는않는 옵션을옵션을 선택하면선택하면 설치설치 프로그램에서프로그램에서 다음다음 작업을작업을 수행합니다수행합니다 .

시스템시스템 드라이브드라이브 (Windows 시스템을시스템을 부팅한부팅한 드라이브드라이브 )의의 \Program Files\SplunkUniversalForwarder에에 유니버유니버설설 포워더를포워더를 설치합니다설치합니다 .기본기본 관리관리 포트를포트를 사용하여사용하여 유니버설유니버설 포워더를포워더를 설치합니다설치합니다 .로컬로컬 시스템시스템 사용자로사용자로 실행되도록실행되도록 유니버설유니버설 포워더를포워더를 설정합니다설정합니다 . 이렇게이렇게 작업을작업을 수행한수행한 결과에결과에 대해대해 알알아보려면아보려면 이이 매뉴얼의매뉴얼의 Splunk Enterprise 실행실행 사용자사용자 선택을선택을 참조하십시오참조하십시오 .애플리케이션애플리케이션 , 시스템시스템 및및 보안보안 Windows 이벤트이벤트 로그로그 데이터데이터 입력을입력을 활성화합니다활성화합니다 .위위 입력입력 정보를정보를 관리하는관리하는 Windows용용 Splunk 추가추가 기능을기능을 설치합니다설치합니다 .

기본 옵션으로 포워더 설치

1. splunk.com에서에서 유니버설유니버설 포워더를포워더를 다운로드합니다다운로드합니다 .

2. MSI 파일을파일을 두두 번번 클릭하여클릭하여 설치를설치를 시작합니다시작합니다 .

3. (선택선택 사항사항 ) 라이선스라이선스 계약을계약을 보려면보려면 "라이선스라이선스 계약계약 보기보기" 단추를단추를 클릭합니다클릭합니다 .

4. "이이 상자를상자를 선택하여선택하여 라이선스라이선스 계약에계약에 동의합니다동의합니다" 체크박스를체크박스를 선택합니다선택합니다 .

5. 기본기본 설치설치 설정을설정을 변경하려면변경하려면 "옵션옵션 사용자사용자 지정지정" 단추를단추를 클릭하여클릭하여 옵션옵션 사용자사용자 지정지정을을 확인합니다확인합니다 . 설정을설정을

변경하지변경하지 않으려면않으려면 설치설치를를 클릭하여클릭하여 기본기본 설정으로설정으로 소프트웨어를소프트웨어를 설치합니다설치합니다 .

참고참고 : 다음다음 두두 단계단계 중중 하나하나 이상을이상을 수행하지수행하지 않으면않으면 유니버설유니버설 포워더에서포워더에서 데이터를데이터를 보낼보낼 수수 없습니다없습니다 .

6. (선택선택 사항사항 ) 배포배포 서버서버 창에창에 유니버설유니버설 포워더를포워더를 연결할연결할 배포배포 서버의서버의 호스트호스트 이름이름 또는또는 IP 주소와주소와 관리관리 포트를포트를

입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

7. (선택선택 사항사항 ) 수신수신 인덱서인덱서 창에창에 유니버설유니버설 포워더에서포워더에서 데이터를데이터를 보낼보낼 수신수신 인덱서의인덱서의 호스트호스트 이름이름 또는또는 IP 주소와주소와

수신수신 포트를포트를 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

8. 설치설치를를 클릭하여클릭하여 계속합니다계속합니다 .

설치설치 프로그램이프로그램이 실행되고실행되고 설치설치 완료완료 대화상자가대화상자가 표시됩니다표시됩니다 . 유니버설유니버설 포워더가포워더가 자동으로자동으로 시작됩니다시작됩니다 .

21

7. 제어판에서제어판에서 SplunkForwarder 서비스가서비스가 실행되는지실행되는지 확인합니다확인합니다 .

옵션 사용자 지정

유니버설유니버설 포워더포워더 설치설치 대화상자에서대화상자에서 "옵션옵션 사용자사용자 지정지정"을을 선택하면선택하면 설치설치 프로그램에프로그램에 다음과다음과 같은같은 옵션이옵션이 표시표시됩니다됩니다 .

설치설치 프로그램에서프로그램에서 유니버설유니버설 포워더를포워더를 설치하는설치하는 기본기본 디렉터리는디렉터리는 C:\Program Files\SplunkUniversalForwarder입니입니다다 .

1. 다른다른 설치설치 디렉터리를디렉터리를 지정하려면지정하려면 변경변경을을 클릭합니다클릭합니다 .

2. (선택선택 사항사항 ) 현재현재 컴퓨터의컴퓨터의 ID를를 확인하는확인하는 데데 사용할사용할 SSL 인증서를인증서를 선택합니다선택합니다 .

인증서인증서 요건에요건에 따라따라 인증서의인증서의 ID를를 확인하기확인하기 위한위한 암호와암호와 루트루트 CA(인증인증 기관기관 ) 인증서를인증서를 지정해야지정해야 합니다합니다 . 그렇그렇지지 않으면않으면 해당해당 필드를필드를 비워둬도비워둬도 됩니다됩니다 .

22

3. 로컬로컬 시스템시스템 또는또는 도메인도메인 계정계정 체크박스를체크박스를 선택한선택한 후후 다음다음을을 클릭합니다클릭합니다 .

로컬로컬 시스템시스템을을 지정하면지정하면 Windows 입력입력 활성화활성화 대화상자가대화상자가 표시됩니다표시됩니다 .

도메인도메인 계정계정을을 지정하면지정하면 도메인도메인 및및 사용자사용자 정보를정보를 입력할입력할 수수 있는있는 추가추가 대화상자가대화상자가 표시됩니다표시됩니다 .

4. "도메인도메인 계정계정"을을 선택한선택한 경우경우 사용자사용자 이름이름 및및 암호암호 자격자격 증명이증명이 있는있는 대화상자가대화상자가 표시됩니다표시됩니다 . 사용자사용자 이름과이름과

암호를암호를 사용자사용자 이름이름 및및 암호암호 필드에필드에 입력합니다입력합니다 . 사용자사용자 이름을이름을 domain\username 형식으로형식으로 지정하지지정하지 않으면않으면 설치설치에에 실패할실패할 수수 있습니다있습니다 .

5. 암호암호 확인확인 필드에필드에 암호를암호를 다시다시 입력합니다입력합니다 .

6. "사용자를사용자를 로컬로컬 관리자로관리자로 추가추가" 체크박스를체크박스를 선택한선택한 후후 다음다음을을 클릭하여클릭하여 지정된지정된 도메인도메인 사용자를사용자를 로컬로컬 관리자관리자

그룹에그룹에 추가합니다추가합니다 . 그러면그러면 지정된지정된 도메인도메인 사용자가사용자가 로컬로컬 관리자관리자 그룹에그룹에 추가됩니다추가됩니다 .

"사용자를사용자를 로컬로컬 관리자로관리자로 추가추가" 체크박스를체크박스를 선택하지선택하지 않으면않으면 유니버설유니버설 포워더가포워더가 "low-privilege" 모드로모드로 설치됩설치됩니다니다 . 추가추가 정보정보 및및 주의주의 사항은사항은 이이 항목의항목의 뒷부분에뒷부분에 있는있는 "low-privilege 모드에서모드에서 유니버설유니버설 포워더포워더 실행실행"을을 참조참조하십시오하십시오 .

7. (선택선택 사항사항 ) 리스트에서리스트에서 Windows 입력입력 정보를정보를 하나하나 이상이상 선택한선택한 후후 다음다음을을 클릭합니다클릭합니다 .

참고참고 : 유니버설유니버설 포워더포워더 디렉터리에서디렉터리에서 inputs.conf를를 편집하여편집하여 입력을입력을 나중에나중에 활성화할활성화할 수수 있습니다있습니다 . 이이 대화상자대화상자

에서에서 입력을입력을 활성화할활성화할 경우경우 발생하는발생하는 결과에결과에 대해서는대해서는 이이 항목의항목의 뒷부분에뒷부분에 있는있는 "설치설치 프로그램에서프로그램에서 데이터데이터 입입력을력을 활성화할활성화할 때때 고려할고려할 사항사항"을을 참조하십시오참조하십시오 .

8. 로컬로컬 컴퓨터에컴퓨터에 아직아직 Windows용용 Splunk 추가추가 기능기능 복사본을복사본을 설치하지설치하지 않은않은 경우경우 이이 설치설치 프로그램과프로그램과 함께함께 포포함된함된 Microsoft Windows용용 Splunk 추가추가 기능기능 설치설치를를 선택합니다선택합니다 . 그렇지그렇지 않고않고 추가추가 기능의기능의 로컬로컬 복사본이복사본이 호스호스트에트에 설치되어설치되어 있는있는 경우경우 Microsoft Windows용용 Splunk 추가추가 기능의기능의 기존기존 로컬로컬 복사본복사본 설치설치를를 선택하십시오선택하십시오 .

설치설치 프로그램프로그램 대화상자의대화상자의 이전이전 창에창에 표시되는표시되는 Windows 입력입력 중중 하나를하나를 선택하면선택하면 "Windows용용 Splunk 추가추가 기기능능 선택선택" 대화상자가대화상자가 나타납니다나타납니다 .

23

9. 위에서위에서 "기존기존 복사본복사본 설치설치"를를 선택한선택한 경우경우 찾아보기찾아보기를를 클릭하여클릭하여 호스트에호스트에 설치된설치된 복사본을복사본을 찾습니다찾습니다 .

10. 다음다음을을 클릭합니다클릭합니다 .

11. (선택선택 사항사항 ) 배포배포 서버의서버의 호스트호스트 이름이름 또는또는 IP 주소와주소와 관리관리 포트를포트를 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

참고참고 : 다음다음 두두 단계단계 중중 하나하나 이상을이상을 수행하십시오수행하십시오 . 두두 단계단계 모두모두 선택선택 사항이지만사항이지만 , 한한 단계도단계도 수행하지수행하지 않으면않으면 포포워더에워더에 설정이설정이 없기없기 때문에때문에 포워더가포워더가 아무아무 작업도작업도 수행하지수행하지 않습니다않습니다 .

12. (선택선택 사항사항 ) 수신수신 인덱서인덱서 (수신기수신기 )의의 호스트호스트 이름이름 또는또는 IP 주소와주소와 수신수신 포트포트를를 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

13. 설치설치를를 클릭하여클릭하여 설치를설치를 계속합니다계속합니다 .

설치 프로그램에서 데이터 입력을 활성화할 때 고려할 사항

유니버설유니버설 포워더를포워더를 설치할설치할 때때 "입력입력 활성화활성화" 대화상자에서대화상자에서 데이터데이터 입력을입력을 활성화하면활성화하면 Windows용용 Splunk 추가추가기능도기능도 설치됩니다설치됩니다 . 해당해당 입력을입력을 활성화하는활성화하는 설정이설정이 추가추가 기능에기능에 저장됩니다저장됩니다 . 이이 설정에는설정에는 인덱스인덱스 정의가정의가 포함포함됩니다됩니다 .

즉즉 이이 포워더에서포워더에서 데이터를데이터를 전송하는전송하는 수신수신 인덱서에인덱서에 해당해당 인덱스가인덱스가 이미이미 정의되어정의되어 있어야있어야 합니다합니다 . 인덱스는인덱스는 다다음과음과 같습니다같습니다 .

perfmon(성능성능 모니터링모니터링 입력의입력의 경우경우 )windows(일반일반 Windows 입력의입력의 경우경우 )wineventlog(Windows 이벤트이벤트 로그로그 입력의입력의 경우경우 )

인덱서에는인덱서에는 기본적으로기본적으로 해당해당 인덱스가인덱스가 정의되어정의되어 있지있지 않습니다않습니다 . 따라서따라서 유니버설유니버설 포워더를포워더를 설치하기설치하기 전에전에 인덱인덱스를스를 정의하거나정의하거나 , Windows용용 Splunk 추가추가 기능을기능을 인덱서에인덱서에 설치해야설치해야 합니다합니다 . Splunk에서는에서는 후자의후자의 방법을방법을 권장권장합니다합니다 .

Splunk Cloud와와 함께함께 사용할사용할 유니버설유니버설 포워더포워더 설치설치

Splunk Cloud용용 유니버설유니버설 포워더를포워더를 설치하는설치하는 방법은방법은 Splunk Enterprise의의 온온 프레미스프레미스 버전을버전을 설치하는설치하는 방법과방법과유사합니다유사합니다 .

1. splunk.com에서에서 유니버설유니버설 포워더를포워더를 다운로드합니다다운로드합니다 .

2. MSI 파일을파일을 두두 번번 클릭하여클릭하여 설치를설치를 시작합니다시작합니다 .

3. "이이 상자를상자를 선택하여선택하여 라이선스라이선스 계약에계약에 동의합니다동의합니다" 체크박스를체크박스를 선택합니다선택합니다 .

4. "이이 유니버설유니버설 포워더를포워더를 온온 프레미스프레미스 Splunk Enterprise와와 함께함께 사용사용 ..." 체크박스의체크박스의 선택을선택을 취소합니다취소합니다 .

5. 기본기본 설치설치 설정을설정을 변경하려면변경하려면 옵션옵션 사용자사용자 지정지정 단추를단추를 클릭하고클릭하고 Splunk Cloud 설치설치 옵션옵션 사용자사용자 지정지정 절차로절차로

24

계속계속 진행합니다진행합니다 . 그렇지그렇지 않으면않으면 다음다음을을 클릭합니다클릭합니다 .

참고참고 : 다음다음 두두 단계단계 중중 하나하나 이상을이상을 수행하지수행하지 않으면않으면 유니버설유니버설 포워더에서포워더에서 데이터를데이터를 보낼보낼 수수 없습니다없습니다 .

6. (선택선택 사항사항 ) 배포배포 서버서버 창에창에 유니버설유니버설 포워더를포워더를 연결할연결할 배포배포 서버의서버의 호스트호스트 이름이름 또는또는 IP 주소와주소와 관리관리 포트를포트를

입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

7. (선택선택 사항사항 ) 수신수신 인덱서인덱서 창에창에 유니버설유니버설 포워더에서포워더에서 데이터를데이터를 보낼보낼 수신수신 인덱서의인덱서의 호스트호스트 이름이름 또는또는 IP 주소와주소와

수신수신 포트를포트를 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 .

8. 설치설치를를 클릭합니다클릭합니다 . 설치설치 프로그램이프로그램이 실행되고실행되고 설치설치 완료완료 대화상자가대화상자가 표시됩니다표시됩니다 . 유니버설유니버설 포워더가포워더가 자동으자동으

로로 시작됩니다시작됩니다 .

Splunk Cloud 설치 옵션 사용자 지정

유니버설유니버설 포워더를포워더를 Splunk Cloud와와 함께함께 사용하기사용하기 위해위해 자세한자세한 설정이설정이 필요한필요한 경우경우 다음다음 지침을지침을 따르십시오따르십시오 .

1. (선택선택 사항사항 ) 대상대상 폴더폴더 대화상자에서대화상자에서 변경변경을을 클릭하여클릭하여 다른다른 설치설치 디렉터리를디렉터리를 지정합니다지정합니다 .

2. 인증서인증서 정보정보 대화상자에서대화상자에서 다음다음을을 클릭합니다클릭합니다 . 매개변수를매개변수를 지정하지지정하지 마십시오마십시오 .

3. 유니버설유니버설 포워더를포워더를 로컬로컬 시스템시스템 사용자로사용자로 실행할실행할 것인지것인지 아니면아니면 도메인도메인 사용자로사용자로 실행할실행할 것인지것인지 지정한지정한 후후다음다음을을 클릭합니다클릭합니다 .

로컬로컬 시스템시스템을을 지정한지정한 경우경우 두두 번째번째 화면을화면을 건너뛰고건너뛰고 "Windows 입력입력 활성화활성화" 대화상자로대화상자로 바로바로 이동합니다이동합니다 .

4. 도메인도메인 계정계정을을 지정한지정한 경우경우 도메인도메인 및및 사용자사용자 정보를정보를 입력할입력할 수수 있는있는 추가추가 대화상자가대화상자가 표시됩니다표시됩니다 . 사용자사용자 이이름과름과 암호를암호를 사용자사용자 이름이름 및및 암호암호 필드에필드에 입력합니다입력합니다 . 사용자사용자 이름을이름을 domain\username 형식으로형식으로 지정하지지정하지 않으면않으면

설치에설치에 실패할실패할 수수 있습니다있습니다 .

5. 암호암호 확인확인 필드에필드에 암호를암호를 다시다시 입력합니다입력합니다 .

6. "사용자를사용자를 로컬로컬 관리자로관리자로 추가추가" 체크박스를체크박스를 선택한선택한 후후 다음다음을을 클릭하여클릭하여 지정된지정된 도메인도메인 사용자를사용자를 로컬로컬 관리자관리자

그룹에그룹에 추가합니다추가합니다 . 그러면그러면 지정된지정된 도메인도메인 사용자가사용자가 로컬로컬 관리자관리자 그룹에그룹에 추가됩니다추가됩니다 .

"사용자를사용자를 로컬로컬 관리자로관리자로 추가추가" 체크박스를체크박스를 선택하지선택하지 않으면않으면 유니버설유니버설 포워더가포워더가 "low-privilege" 모드로모드로 설치됩설치됩니다니다 . 추가추가 정보정보 및및 주의주의 사항은사항은 이이 항목의항목의 뒷부분에뒷부분에 있는있는 "low-privilege 모드에서모드에서 유니버설유니버설 포워더포워더 실행실행"을을 참조참조하십시오하십시오 .

7. (선택선택 사항사항 ) 리스트에서리스트에서 Windows 입력입력 정보를정보를 하나하나 이상이상 선택한선택한 후후 다음다음을을 클릭합니다클릭합니다 .

8. 로컬로컬 컴퓨터에컴퓨터에 아직아직 Windows용용 Splunk 추가추가 기능기능 복사본을복사본을 설치하지설치하지 않은않은 경우경우 이이 설치설치 프로그램과프로그램과 함께함께 포포함된함된 Microsoft Windows용용 Splunk 추가추가 기능기능 설치설치를를 선택합니다선택합니다 . 그렇지그렇지 않고않고 추가추가 기능의기능의 로컬로컬 복사본이복사본이 호스호스트에트에 설치되어설치되어 있는있는 경우경우 Microsoft Windows용용 Splunk 추가추가 기능의기능의 기존기존 로컬로컬 복사본복사본 설치를설치를 선택하십시오선택하십시오 .

설치설치 프로그램프로그램 대화상자의대화상자의 이전이전 창에창에 표시되는표시되는 Windows 입력입력 중중 하나를하나를 선택하면선택하면 "Windows용용 Splunk 추가추가 기기능능 선택선택" 대화상자가대화상자가 나타납니다나타납니다 .

9. 위에서위에서 "기존기존 복사본복사본 설치설치"를를 선택한선택한 경우경우 찾아보기찾아보기를를 클릭하여클릭하여 호스트에호스트에 설치된설치된 복사본을복사본을 찾습니다찾습니다 .

10. 다음다음을을 클릭합니다클릭합니다 .

11. 온온 프레미스프레미스 배포배포 서버가서버가 있고있고 이이 서버를서버를 사용하려면사용하려면 해당해당 정보를정보를 입력한입력한 후후 다음다음을을 클릭합니다클릭합니다 . 그렇지그렇지 않않으면으면 여기서여기서 매개변수를매개변수를 지정하지지정하지 마십시오마십시오 .

12. 다음다음을을 클릭합니다클릭합니다 . 여기서여기서 매개변수를매개변수를 지정하지지정하지 마십시오마십시오 .

13. 설치설치를를 클릭하여클릭하여 설치를설치를 계속합니다계속합니다 . 설치설치 프로그램이프로그램이 실행되고실행되고 설치설치 완료완료 대화상자가대화상자가 표시됩니다표시됩니다 . 유니버유니버

설설 포워더가포워더가 자동으로자동으로 시작됩니다시작됩니다 .

14. Windows 제어판에서제어판에서 SplunkForwarder 서비스가서비스가 실행되는지실행되는지 확인합니다확인합니다 .

"low-privilege" 모드에서모드에서 유니버설유니버설 포워더포워더 설치설치

도메인도메인 사용자를사용자를 지정하고지정하고 해당해당 사용자에게사용자에게 로컬로컬 관리자관리자 권한을권한을 제공하지제공하지 않으면않으면 포워더가포워더가 설치되고설치되고 "low-privilege" 모드로모드로 실행됩니다실행됩니다 .

이이 경우에경우에 몇몇 가지가지 주의할주의할 사항이사항이 있습니다있습니다 .

low-privilege 모드에서모드에서 유니버설유니버설 포워더를포워더를 실행할실행할 경우경우 호스트호스트 또는또는 도메인의도메인의 리소스에리소스에 관리자관리자 권한으로권한으로액세스할액세스할 수수 없습니다없습니다 .

25

원격원격 리소스에리소스에 액세스하려면액세스하려면 추가추가 도메인도메인 그룹에그룹에 도메인도메인 사용자를사용자를 추가해야추가해야 합니다합니다 . 그리고그리고 권한이권한이 있는있는사용자만사용자만 액세스할액세스할 수수 있는있는 로컬로컬 리소스에리소스에 액세스하려면액세스하려면 사용자를사용자를 로컬로컬 그룹에그룹에 추가해야추가해야 합니다합니다 .관리자가관리자가 아닌아닌 사용자로사용자로 WMI(Windows Management Instrumentation) 데이터를데이터를 수집할수집할 수수 없습니다없습니다 .

유니버설유니버설 포워더포워더 제거제거

상황에상황에 따라따라 제거제거 프로세스프로세스 중에중에 Microsoft 설치설치 프로그램에서프로그램에서 재부팅을재부팅을 요청할요청할 수수 있습니다있습니다 . 이이 요청을요청을 무시하무시하고고 재부팅하지재부팅하지 않아도않아도 안전합니다안전합니다 .

1. 서비스서비스 MMC 스냅인스냅인 (시작시작 > 관리관리 도구도구 > 서비스서비스 )을을 사용하여사용하여 SplunkForwarder 서비스를서비스를 중지합니다중지합니다 . 명령줄에명령줄에

서서 다음다음 명령어를명령어를 사용하여사용하여 서비스를서비스를 중지할중지할 수도수도 있습니다있습니다 .

NET STOP SplunkForwarder

2. 프로그램프로그램 추가추가 또는또는 제거제거 제어판을제어판을 사용하여사용하여 포워더를포워더를 제거합니다제거합니다 . Windows 7, 8, Server 2008 및및 Server 2012의의 경우경우 해당해당 옵션은옵션은 프로그램프로그램 및및 기능기능에서에서 선택할선택할 수수 있습니다있습니다 .

명령줄을명령줄을 통해통해 Windows 유니버설유니버설 포워더포워더 설치설치

Windows 환경에서환경에서 명령줄명령줄 인터페이스를인터페이스를 사용하여사용하여 유니버설유니버설 포워더를포워더를 설치할설치할 수수 있습니다있습니다 . GUI 설치설치 프로그램프로그램을을 사용하려면사용하려면 설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치를를 참조하십시오참조하십시오 .

명령줄로명령줄로 설치해야설치해야 하는하는 경우경우

명령명령 프롬프트프롬프트 또는또는 PowerShell 창에서창에서 유니버설유니버설 포워더를포워더를 개별개별 호스트에호스트에 수동으로수동으로 설치할설치할 수수 있습니다있습니다 . 명령명령줄로줄로 설치하는설치하는 방법이방법이 유용한유용한 시나리오는시나리오는 다음과다음과 같습니다같습니다 .

포워더를포워더를 설치할설치할 예정이지만예정이지만 바로바로 시작하지시작하지 않을않을 경우경우스크립트를스크립트를 사용하여사용하여 포워더포워더 설치를설치를 자동화하려는자동화하려는 경우경우나중에나중에 복제할복제할 시스템에시스템에 포워더를포워더를 설치하려는설치하려는 경우경우Group Policy 또는또는 System Center Configuration Manager와와 같은같은 배포배포 도구를도구를 사용하려는사용하려는 경우경우Windows Server Core 버전을버전을 실행하는실행하는 경우경우

상황에상황에 따라따라 제거제거 프로세스프로세스 중에중에 Microsoft 설치설치 프로그램에서프로그램에서 재부팅을재부팅을 요청할요청할 수수 있습니다있습니다 . 이이 요청을요청을 무시하무시하고고 재부팅하지재부팅하지 않아도않아도 안전합니다안전합니다 .

유니버설유니버설 포워더포워더 설치설치 전제전제 조건조건

유니버설 포워더 실행 Windows 사용자 선택

유니버설유니버설 포워더를포워더를 설치할설치할 때때 어느어느 사용자로사용자로 실행해야실행해야 하는지하는지 선택할선택할 수수 있습니다있습니다 . 기본기본 사용자는사용자는 로컬로컬 시스템시스템입니다입니다 . 도메인도메인 계정을계정을 지정하려면지정하려면 이이 항목의항목의 뒷부분에뒷부분에 설명되어설명되어 있는있는 LOGON_USERNAME 및및 LOGON_PASSWORD 플래그를플래그를사용하십시오사용하십시오 .

로컬로컬 컴퓨터에서컴퓨터에서 관리자가관리자가 아닌아닌 사용자로사용자로 포워더를포워더를 설치할설치할 수도수도 있습니다있습니다 . 포워더를포워더를 "low-privilege" 모드에서모드에서설치하려면설치하려면 SET_ADMIN_USER 설치설치 플래그를플래그를 사용하십시오사용하십시오 .

포워더를포워더를 로컬로컬 시스템시스템 사용자로사용자로 설치하면설치하면 포워더가포워더가 로컬로컬 컴퓨터에서컴퓨터에서 사용사용 가능한가능한 모든모든 데이터데이터 유형을유형을 수집할수집할수수 있습니다있습니다 . 그러나그러나 다른다른 컴퓨터에서컴퓨터에서 데이터를데이터를 수집할수집할 수는수는 없습니다없습니다 . 이것은이것은 잘못된잘못된 현상이현상이 아닙니다아닙니다 .

다음다음 작업을작업을 수행할수행할 계획이면계획이면 유니버설유니버설 포워더에포워더에 사용자사용자 계정을계정을 제공해야제공해야 합니다합니다 .

이벤트이벤트 로그로그 원격원격 읽기읽기성능성능 카운터카운터 원격원격 수집수집네트워크네트워크 공유공유 로그로그 파일파일 읽기읽기Active Directory 모니터링을모니터링을 사용하여사용하여 Active Directory 스키마스키마 열거열거

원격원격 Windows 데이터데이터 수집을수집을 위해위해 유니버설유니버설 포워더를포워더를 설치하기설치하기 전에전에 Splunk 실행실행 사용자를사용자를 선택하고선택하고 설정하십설정하십시오시오 . 그러지그러지 않으면않으면 설치에설치에 실패할실패할 수수 있습니다있습니다 .

원격원격 Windows 데이터를데이터를 수집하기수집하기 전에전에 충족해야충족해야 하는하는 사용자사용자 요구요구 사항에사항에 대한대한 개념개념 및및 절차는절차는 SplunkEnterprise 설치 매뉴얼에서에서 Splunk 실행실행 Windows 사용자사용자 선택을선택을 참조하십시오참조하십시오 .

설치 전에 Windows 환경 설정

다음다음 절차는절차는 개괄적입니다개괄적입니다 . 단계별단계별 지침은지침은 Splunk Enterprise 설치 매뉴얼의의 Splunk Enterprise를를 네트워크네트워크 또는또는도메인도메인 사용자로사용자로 설치하기설치하기 위해위해 Windows 네트워크네트워크 준비준비 항목을항목을 참조하십시오참조하십시오 .

1. 유니버설유니버설 포워더포워더 실행실행 사용자로사용자로 보안보안 그룹을그룹을 만들고만들고 설정합니다설정합니다 .

26

2. 원하는원하는 경우경우 유니버설유니버설 포워더포워더 계정을계정을 관리관리 서비스서비스 계정으로계정으로 설정합니다설정합니다 .

3. 사용자사용자 권한권한 할당을할당을 위한위한 그룹그룹 정책정책 또는또는 로컬로컬 보안보안 정책정책 개체를개체를 만들고만들고 설정합니다설정합니다 .

4. 적절한적절한 보안보안 설정을설정을 할당합니다할당합니다 .

5. Active Directory 사용사용 시시 그룹그룹 정책정책 개체를개체를 업데이트된업데이트된 설정과설정과 함께함께 적절한적절한 개체에개체에 배포합니다배포합니다 .

유니버설유니버설 포워더포워더 설치설치

일부일부 개별개별 설정설정 창이창이 표시되지표시되지 않도록않도록 하는하는 플래그를플래그를 사용하여사용하여 포워더를포워더를 설치하거나설치하거나 , /quiet 인수를인수를 지정하고지정하고AGREETOLICENSE 플래그를플래그를 설정하여설정하여 완전완전 자동으로자동으로 설치할설치할 수수 있습니다있습니다 .

명령줄로명령줄로 유니버설유니버설 포워더를포워더를 설치하는설치하는 방법에방법에 대한대한 예는예는 [Installthe를를 참조하십시오참조하십시오 .

설치 플래그를 사용하여 유니버설 포워더 설치

이이 설치설치 방법은방법은 설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치에에 설명되어설명되어 있는있는 방법과방법과 유사하지만유사하지만 , 지정지정된된 설치설치 플래그에플래그에 따라따라 설치설치 프로세스프로세스 도중에도중에 일부일부 설정설정 창이창이 표시되지표시되지 않습니다않습니다 .

1. 지원되는지원되는 명령줄명령줄 플래그플래그 테이블을테이블을 살펴보고살펴보고 명령줄명령줄 설치설치 작업을작업을 완료하는완료하는 데데 필요한필요한 플래그를플래그를 결정합니다결정합니다 .

2. 명령명령 프롬프트프롬프트 또는또는 PowerShell 창에서창에서 다음다음 구문을구문을 해당해당 플래그와플래그와 함께함께 사용하여사용하여 msiexec.exe 설치설치 프로그램프로그램

을을 실행합니다실행합니다 .

msiexec.exe /i splunkuniversalforwarder.msi [<flag>=<value>]...[<flagN>=<value>]

3. 화면화면 프롬프트에프롬프트에 따라따라 설치를설치를 완료합니다완료합니다 . 명령줄에서명령줄에서 지정한지정한 플래그에플래그에 해당하는해당하는 창이창이 표시되지표시되지 않습니다않습니다 .

유니버설유니버설 포워더포워더 자동자동 설치설치

시스템에시스템에 사용자사용자 계정계정 제어제어 (UAC)가가 활성화된활성화된 경우경우 자동자동 설치를설치를 관리자관리자 권한으로권한으로 실행해야실행해야 합니다합니다 .


2. 명령명령 프롬프트프롬프트 또는또는 PowerShell 창에서창에서 해당해당 플래그를플래그를 사용하여사용하여 msiexec.exe를를 실행하고실행하고 AGREETOLICENSE=yes/quiet을을 다음과다음과 같이같이 명령명령 문자열문자열 끝에끝에 추가합니다추가합니다 .

msiexec.exe /i splunkuniversalforwarder.msi [<flag>=<value>]...[<flagN>=<value>] AGREETOLICENSE=yes /quiet

오류가오류가 없으면없으면 설치가설치가 자동으로자동으로 완료되고완료되고 유니버설유니버설 포워더가포워더가 시작됩니다시작됩니다 .

low-privilege 모드에서모드에서 유니버설유니버설 포워더포워더 설치설치

유니버설유니버설 포워더를포워더를 low-privilege 모드에서모드에서 설치하는설치하는 경우경우 포워더포워더 소프트웨어를소프트웨어를 호스트에서호스트에서 실행하기실행하기 위해위해 관리관리자자 수준수준 권한이권한이 있는있는 사용자를사용자를 지정하지지정하지 않아도않아도 됩니다됩니다 .

포워더를포워더를 low-privilege 모드에서모드에서 실행할실행할 때때 몇몇 가지가지 주의할주의할 사항이사항이 있습니다있습니다 .

low-privilege 모드에서모드에서 유니버설유니버설 포워더를포워더를 실행할실행할 경우경우 호스트호스트 또는또는 도메인의도메인의 리소스에리소스에 관리자관리자 권한으로권한으로액세스할액세스할 수수 없습니다없습니다 .원격원격 리소스에리소스에 액세스하려면액세스하려면 추가추가 도메인도메인 그룹에그룹에 도메인도메인 사용자를사용자를 추가해야추가해야 합니다합니다 . 그리고그리고 권한이권한이 있는있는사용자만사용자만 액세스할액세스할 수수 있는있는 로컬로컬 리소스에리소스에 액세스하려면액세스하려면 사용자를사용자를 로컬로컬 그룹에그룹에 추가해야추가해야 합니다합니다 .관리자가관리자가 아닌아닌 사용자로사용자로 WMI(Windows Management Instrumentation) 데이터를데이터를 수집할수집할 수수 없습니다없습니다 .


2. 명령명령 프롬프트프롬프트 또는또는 PowerShell 창에서창에서 해당해당 플래그를플래그를 사용하여사용하여 msiexec.exe를를 실행하고실행하고 LOGON_USERNAME =<username> LOGON_PASSWORD = <password> SET_ADMIN_USER = 0을을 명령명령 문자열문자열 끝에끝에 추가합니다추가합니다 .

msiexec.exe /i splunkuniversalforwarder.msi [<flag>=<value>]...[<flagN>=<value>] LOGON_USERNAME=<username>

LOGON_PASSWORD=<password> SET_ADMIN_USER=0

3. (선택선택 사항사항 ) 자동으로자동으로 설치하려면설치하려면 AGREETOLICENSE=yes /quiet을을 명령줄명령줄 문자열문자열 끝에끝에 추가합니다추가합니다 .

msiexec.exe /i splunkuniversalforwarder.msi [<flag>=<value>]...[<flagN>=<value>] LOGON_USERNAME=<username>

LOGON_PASSWORD=<password> SET_ADMIN_USER=0 AGREETOLICENSE=yes /quiet

27

4. 화면화면 프롬프트에프롬프트에 따라따라 설치를설치를 완료합니다완료합니다 . 명령줄에서명령줄에서 지정한지정한 플래그에플래그에 해당하는해당하는 설치설치 프로그램프로그램 설정설정 창이창이표시되지표시되지 않습니다않습니다 .

포워더가포워더가 "low-privilege" 모드에서모드에서 설치설치 및및 실행됩니다실행됩니다 .

유니버설유니버설 포워더를포워더를 설치하고설치하고 설치설치 중에중에 상세상세 로깅로깅 활성화활성화

msiexec 로깅로깅 명령어에명령어에 대한대한 자세한자세한 내용은내용은 MS TechNet에서에서 To set logging level을을 참조하십시오참조하십시오 .


2. 명령명령 프롬프트프롬프트 또는또는 PowerShell 창에서창에서 다음다음 구문을구문을 해당해당 플래그와플래그와 함께함께 사용하여사용하여 msiexec.exe 설치설치 프로그램프로그램

을을 실행합니다실행합니다 .

msiexec.exe /i splunkuniversalforwarder.msi [<flag>=<value>]...[<flagN>=<value>] /L*v logfile.txt

3. 화면화면 프롬프트에프롬프트에 따라따라 설치를설치를 완료합니다완료합니다 . 명령줄에서명령줄에서 지정한지정한 플래그에플래그에 해당하는해당하는 설치설치 프로그램프로그램 설정설정 창이창이표시되지표시되지 않습니다않습니다 .

지원되는지원되는 명령줄명령줄 플래그플래그

명령줄명령줄 플래그를플래그를 사용하여사용하여 설치설치 시에시에 포워더를포워더를 설정할설정할 수수 있습니다있습니다 . 명령줄명령줄 플래그를플래그를 사용하면사용하면 다음과다음과 같은같은 설설정을정을 지정할지정할 수수 있습니다있습니다 .

유니버설유니버설 포워더포워더 실행실행 사용자사용자 . 이이 플래그를플래그를 지정하는지정하는 경우경우 , 전달할전달할 콘텐츠에콘텐츠에 액세스하는액세스하는 데데 필요한필요한 권한이권한이지정된지정된 사용자에게사용자에게 있는지있는지 확인하십시오확인하십시오 .포워더가포워더가 "low-privilege" 모드에서모드에서 로컬로컬 관리관리 액세스액세스 권한이권한이 없는없는 사용자로사용자로 실행되는지실행되는지 여부여부유니버설유니버설 포워더에서포워더에서 데이터를데이터를 보낼보낼 수신수신 Splunk Enterprise 인스턴스인스턴스설정설정 업데이트용업데이트용 배포배포 서버서버인덱싱할인덱싱할 Windows 이벤트이벤트 로그로그설치가설치가 완료되면완료되면 유니버설유니버설 포워더가포워더가 자동으로자동으로 시작해야시작해야 하는지하는지 여부여부

아래아래 리스트에는리스트에는 사용사용 가능한가능한 플래그와플래그와 다양한다양한 설정의설정의 예가예가 몇몇 가지가지 나와나와 있습니다있습니다 .

참고참고 : 전체전체 Splunk Enterprise 버전의버전의 설치설치 프로그램에는프로그램에는 자체자체 설치설치 플래그플래그 집합이집합이 있습니다있습니다 . Splunk Enterprise설치 매뉴얼의의 Windows에에 설치를설치를 참조하십시오참조하십시오 .

플래그플래그 용도용도 기본값기본값

AGREETOLICENSE=Yes|No 라이선스에라이선스에 동의합니다동의합니다 . 자동으자동으로로 설치하려면설치하려면 이이 플래그를플래그를 Yes로로설정해야설정해야 합니다합니다 .

No

INSTALLDIR="<directory_path>" 설치설치 디렉터리를디렉터리를 지정합니다지정합니다 .

유니버설유니버설 포워더를포워더를 설치할설치할 때때 기기존에존에 설치된설치된 전체전체 SplunkEnterprise를를 덮어쓰지덮어쓰지 마십시오마십시오 .

c:\Program

Files\SplunkUniversalForwarder

LOGON_USERNAME="<domain\username>"

LOGON_PASSWORD="<pass>"

SplunkForwarder 서비스를서비스를 실행할실행할사용자의사용자의 도메인도메인 /사용자사용자 이름이름 및및암호암호 정보를정보를 제공합니다제공합니다 . 도메인도메인과과 사용자사용자 이름은이름은 domain\username형식으로형식으로 지정합니다지정합니다 . 이이 플래그플래그를를 포함하지포함하지 않으면않으면 유니버설유니버설 포포워더가워더가 로컬로컬 시스템시스템 사용자로사용자로 설설치됩니다치됩니다 .

n/a

RECEIVING_INDEXER="<host:port>" (선택선택 사항사항 ) 유니버설유니버설 포워더에서포워더에서데이터를데이터를 전달할전달할 수신수신 인덱서를인덱서를지정합니다지정합니다 . 수신기의수신기의 이름이름 (호스호스트트 이름이름 또는또는 IP 주소주소 )과과 수신수신 포포트트를를 입력합니다입력합니다 . 이이 플래그는플래그는 수수신기신기 1개만개만 허용합니다허용합니다 . 부하부하 분분산을산을 구현하기구현하기 위해위해 여러여러 수신기수신기를를 지정하려면지정하려면 CLI 또는또는outputs.conf를를 통해통해 이이 설정을설정을 구구성하십시오성하십시오 .

n/a

28

참고참고 : 이이 플래그를플래그를 지정하지지정하지 않고않고DEPLOYMENT_SERVER도도 지정하지지정하지 않으않으면면 유니버설유니버설 포워더가포워더가 데이터를데이터를전달할전달할 대상대상 인덱서를인덱서를 결정할결정할 수수없습니다없습니다 .

DEPLOYMENT_SERVER="<host:port>" 설정설정 업데이트를업데이트를 유니버설유니버설 포워포워더에더에 푸시할푸시할 배포배포 서버서버를를 지정합지정합

니다니다 . 배포배포 서버서버 이름이름 (호스트호스트 이름이름또는또는 IP 주소주소 )과과 포트를포트를 입력하십입력하십시오시오 .

참고참고 : 이이 플래그를플래그를 지정하지지정하지 않고않고RECEIVING_INDEXER도도 지정하지지정하지 않으않으면면 유니버설유니버설 포워더가포워더가 데이터를데이터를전달할전달할 대상대상 인덱서를인덱서를 결정할결정할 수수없습니다없습니다 .

n/a

LAUNCHSPLUNK=1|0 설치설치 완료완료 시시 유니버설유니버설 포워더를포워더를시작해야시작해야 하는지하는지 여부를여부를 지정합지정합니다니다 .

1(예예 )

SERVICESTARTTYPE=auto|manual 시스템시스템 재부팅재부팅 시시 유니버설유니버설 포워포워더를더를 시작해야시작해야 하는지하는지 여부를여부를 지지정합니다정합니다 .

참고참고 : LAUNCHSPLUNK를를 0으로으로 설정하설정하

고고 SERVICESTARTTYPE을을 auto로로 설정설정하면하면 다음다음 시스템시스템 부팅부팅 시까지시까지 유유니버설니버설 포워더에서포워더에서 전달을전달을 시작시작하지하지 않습니다않습니다 . 이이 설정은설정은 시스템시스템이미지를이미지를 복제하려는복제하려는 경우에경우에 유유용합니다용합니다 .

auto

MONITOR_PATH="<directory_path>" 모니터링할모니터링할 파일이나파일이나 디렉터리를디렉터리를지정합니다지정합니다 .

n/a

WINEVENTLOG_APP_ENABLE=1|0

WINEVENTLOG_SEC_ENABLE=1|0

WINEVENTLOG_SYS_ENABLE=1|0

WINEVENTLOG_FWD_ENABLE=1|0

WINEVENTLOG_SET_ENABLE=1|0

다음다음 Windows 이벤트이벤트 로그를로그를 활활성화합니다성화합니다 .

application

security

system

forwarders

setup

이러한이러한 플래그플래그 중중 두두 개개 이상을이상을 명명령어에령어에 지정할지정할 수수 있습니다있습니다 .

0(아니요아니요 )

PERFMON=<input_type>,<input_type>,... 성능성능 모니터링모니터링 입력을입력을 활성화합활성화합니다니다 . <input_type>은은 다음다음 중중 하나하나일일 수수 있습니다있습니다 .

cpu memory network diskspace

n/a

ENABLEADMON=1|0 원격원격 배포에배포에 대해대해 Active Directory모니터링을모니터링을 활성화합니다활성화합니다 .

0(활성화하지활성화하지 않음않음 )

CERTFILE=<c:\path\to\certfile.pem>

ROOTCACERTFILE=<c:\path\to\rootcacertfile.pem>

CERTPASSWORD=<password>

SSL 인증서에인증서에 다음다음 정보를정보를 제공제공합니다합니다 .

공용공용 /개인개인 키키 쌍을쌍을 포함하는포함하는 cert파일의파일의 경로경로

CERTFILE이이 올바른지올바른지 확인하기확인하기

n/a

29

위한위한 루트루트 CA 인증서가인증서가 있는있는 파일파일의의 경로경로 (선택선택 사항사항 )

CERTFILE의의 개인개인 키키 암호암호 (선택선택사항사항 )

참고참고 : 이러한이러한 플래그를플래그를 적용하려적용하려

면면 RECEIVING_INDEXER를를 설정해야설정해야합니다합니다 .

CLONEPREP=1|0 인스턴스별인스턴스별 데이터를데이터를 삭제하여삭제하여컴퓨터컴퓨터 복제본복제본 만들기를만들기를 준비합준비합니다니다 . 그러면그러면 CLI에서에서 splunkclone-prep 명령어를명령어를 호출합니다호출합니다 .

0(복제를복제를 위해위해 인스턴스인스턴스 준준비를비를 하지하지 않음않음 )

SET_ADMIN_USER=1|0 지정하는지정하는 사용자가사용자가 관리자인지관리자인지여부를여부를 지정합니다지정합니다 . 이이 플래그를플래그를0으로으로 설정하면설정하면 유니버설유니버설 포워더포워더가가 "low-privilege" 모드에서모드에서 로컬로컬컴퓨터에컴퓨터에 대한대한 관리자관리자 권한이권한이 없없는는 사용자로사용자로 실행됩니다실행됩니다 . 이이 모드모드는는 서버에서서버에서 관리자관리자 권한으로권한으로 프프로그램을로그램을 실행할실행할 수수 없는없는 고객이고객이사용할사용할 수수 있습니다있습니다 .

이이 플래그를플래그를 설정하는설정하는 경우경우LOGON_USERNAME과과 LOGON_PASSWORD 플플래그를래그를 모두모두 설정해야설정해야 합니다합니다 .

1(관리관리 권한이권한이 있는있는 사용자사용자로로 유니버설유니버설 포워더를포워더를 설치설치합니다합니다 . 유니버설유니버설 포워더는포워더는"low-privilege" 모드가모드가 아닌아닌일반일반 모드에서모드에서 실행됩니다실행됩니다 .)

예예

유니버설 포워더가 로컬 시스템 사용자로 실행되고 deploymentserver1에서 설정을 요청하도록 설치

이이 방법은방법은 포워더를포워더를 새로새로 배포할배포할 때때 사용할사용할 수수 있습니다있습니다 .

msiexec.exe /i splunkuniversalforwarder_x86.msi DEPLOYMENT_SERVER="deploymentserver1:8089" AGREETOLICENSE=Yes /quiet

유니버설 포워더가 도메인 사용자로 실행되지만 즉시 시작되지 않도록 설치

이이 방법은방법은 복제를복제를 위해위해 샘플샘플 호스트를호스트를 준비할준비할 때때 사용할사용할 수수 있습니다있습니다 .

msiexec.exe /i splunkuniversalforwarder_x86.msi LOGON_USERNAME="AD\splunk" LOGON_PASSWORD="splunk123"

DEPLOYMENT_SERVER="deploymentserver1:8089" LAUNCHSPLUNK=0 AGREETOLICENSE=Yes /quiet

유니버설 포워더를 설치하고, Windows 보안 및 시스템 이벤트 로그의 인덱싱을 활성화하고, 설치 프로그램을 자동모드로 실행

이이 방법은방법은 자동자동 설치를설치를 통해통해 보안보안 및및 시스템시스템 이벤트이벤트 로그만로그만 수집하기수집하기 위해위해 사용할사용할 수수 있습니다있습니다 .

msiexec.exe /i splunkuniversalforwarder_x86.msi RECEIVING_INDEXER="indexer1:9997" WINEVENTLOG_SEC_ENABLE=1

WINEVENTLOG_SYS_ENABLE=1 AGREETOLICENSE=Yes /quiet

low-privilege 모드에서 유니버설 포워더를 설치하고 로그 파일에 상세 표시 설치 로깅 활성화

로컬로컬 서버에서서버에서 관리관리 권한이권한이 없는없는 사용자로사용자로 포워더를포워더를 실행해야실행해야 할할 경우경우 이를이를 수행할수행할 수수 있습니다있습니다 .

msiexec.exe /i splunkuniversalforwarder_x64.msi /l*v install_splunkforwarder-6.1-201357-x64-release.msi.log

LOGON_USERNAME=adtest1\lowpriv-testuser LOGON_PASSWORD=win1@splunk

AGREETOLICENSE=Yes SET_ADMIN_USER=0 /quiet

유니버설유니버설 포워더포워더 제거제거

1. 명령줄에서명령줄에서 다음다음 명령어를명령어를 사용하여사용하여 서비스를서비스를 중지합니다중지합니다 .

30

NET STOP SplunkForwarder

참고참고 : 서비스서비스 MMC 스냅인스냅인 (시작시작 > 관리관리 도구도구 > 서비스서비스 )을을 사용하여사용하여 SplunkForwarder 서비스를서비스를 중지할중지할 수도수도 있습니있습니

다다 .

2. Microsoft 설치설치 프로그램을프로그램을 실행하여실행하여 제거를제거를 수행합니다수행합니다 .

msiexec /uninstall|x splunkuniversalforwarder-<...>-x86-release.msi

이이 설치설치 프로그램에는프로그램에는 제거제거 중에중에 사용할사용할 수수 있는있는 지원되는지원되는 플래그가플래그가 1개개 있습니다있습니다 .

플래그플래그 용도용도 기본값기본값

REMOVE_FROM_GROUPS=1|0 이이 플래그는플래그는 유니버설유니버설 포워더를포워더를 제거할제거할 때만때만 사용할사용할

수수 있습니다있습니다 . 포워더를포워더를 설치한설치한 사용자로부터사용자로부터 권한권한 및및관리관리 그룹그룹 구성원구성원 자격을자격을 제거할지제거할지 여부를여부를 지정합니지정합니다다 .

이이 플래그를플래그를 1로로 설정한설정한 경우경우 설치설치 프로그램은프로그램은 포워더포워더를를 설치한설치한 사용자로부터사용자로부터 그룹그룹 구성원구성원 자격과자격과 상승된상승된권한을권한을 제거합니다제거합니다 .

이이 플래그를플래그를 0으로으로 설정한설정한 경우경우 설치설치 프로그램은프로그램은 사용사용자로부터자로부터 그룹그룹 구성원구성원 자격과자격과 상승된상승된 권한을권한을 제거하제거하지지 않습니다않습니다 .

1(제거제거 시시 상승된상승된 권권한과한과 그룹그룹 구성원구성원 자자격을격을 제거합니다제거합니다 .)

정적정적 설정을설정을 통해통해 Windows 유니버설유니버설 포워더포워더 원격원격 설치설치

정적정적 설정을설정을 통해통해 유니버설유니버설 포워더를포워더를 Windows 호스트에호스트에 원격으로원격으로 설치할설치할 수수 있습니다있습니다 .

다음과다음과 같은같은 여러여러 상황에서상황에서 정적정적 설정을설정을 통해통해 유니버설유니버설 포워더를포워더를 설치할설치할 수수 있습니다있습니다 .

나중에나중에 설정을설정을 변경할변경할 필요가필요가 없는없는 경우경우설치설치 후후 변경변경 사항을사항을 System Center Configuration Manager, Altris 또는또는 BigFix/Tivoli와와 같은같은 타사타사 배포배포 도구도구를를 사용하여사용하여 적용하려는적용하려는 경우경우

이이 설치설치 유형을유형을 사용하는사용하는 경우경우 명령줄을명령줄을 통해통해 유니버설유니버설 포워더를포워더를 설치하십시오설치하십시오 . 모든모든 설정설정 옵션을옵션을 지정하고지정하고 자자동동 모드를모드를 사용합니다사용합니다 (/quiet). 설치설치 프로그램이프로그램이 지원하는지원하는 설치설치 플래그의플래그의 리스트와리스트와 지침은지침은 명령줄을명령줄을 통해통해Windows 유니버설유니버설 포워더포워더 설치설치를를 참조하십시오참조하십시오 .

정적정적 설정을설정을 통해통해 유니버설유니버설 포워더포워더 설치설치

유니버설유니버설 포워더를포워더를 다운로드하고다운로드하고 설치를설치를 계획한계획한 후에후에 포워더를포워더를 설치하십시오설치하십시오 .

1. 명령줄명령줄 인터페이스와인터페이스와 원하는원하는 플래그를플래그를 사용하여사용하여 유니버설유니버설 포워더를포워더를 테스트테스트 컴퓨터에컴퓨터에 설치하고설치하고 설정합니다설정합니다 .

2. 설치를설치를 테스트하고테스트하고 조정합니다조정합니다 .

3. 유니버설유니버설 포워더포워더 MSI 파일을파일을 소프트웨어소프트웨어 배포배포 도구에도구에 로드합니다로드합니다 .

4. 배포배포 도구를도구를 사용하여사용하여 테스트된테스트된 플래그를플래그를 지정합니다지정합니다 .

5. 배포배포 도구를도구를 사용하여사용하여 설치를설치를 실행합니다실행합니다 .

필요한필요한 설치설치 플래그플래그

정적정적 설정을설정을 통해통해 유니버설유니버설 포워더를포워더를 설치하는설치하는 경우경우 /quiet 플래그를플래그를 비롯하여비롯하여 최소한최소한 다음다음 플래그를플래그를 지정하십지정하십시오시오 .

AGREETOLICENSE=Yes

RECEIVING_INDEXER="<server:port>"

포워더에포워더에 추가추가 기능을기능을 설치하지설치하지 않을않을 계획이면계획이면 WINEVENTLOG_APP_ENABLE=1 같은같은 데이터데이터 입력입력 플래그도플래그도 하나하나 이상이상 포포함해야함해야 합니다합니다 . 사용사용 가능한가능한 모든모든 명령줄명령줄 플래그의플래그의 리스트는리스트는 명령줄을명령줄을 통해통해 Windows 유니버설유니버설 포워더포워더 설치설치를를참조하십시오참조하십시오 .

정적정적 설정을설정을 통한통한 원격원격 설치설치 예예

로컬 시스템 사용자로 설치하고, 보안 이벤트 로그 채널에서 이벤트를 가져오고, 해당 이벤트를 인덱서에 전달

31

다음은다음은 유니버설유니버설 포워더를포워더를 로컬로컬 시스템시스템 사용자로사용자로 실행하고실행하고 , Windows 보안보안 및및 시스템시스템 이벤트이벤트 로그에서로그에서 이벤트이벤트를를 가져오고가져오고 , 데이터를데이터를 indexer1로로 보내고보내고 자동으로자동으로 시작하도록시작하도록 설정하는설정하는 예입니다예입니다 .

msiexec.exe /i splunkuniversalforwarder_x86.msi RECEIVING_INDEXER="indexer1:9997" WINEVENTLOG_SEC_ENABLE=1

WINEVENTLOG_SYS_ENABLE=1 AGREETOLICENSE=Yes /quiet

인증서 파일과 권한을 지정하여 보안 설정으로 설치

다음다음 예에서는예에서는 보안보안 설정을설정을 설치하고설치하고 SSL 인증서를인증서를 지정합니다지정합니다 .

msiexec.exe /i splunkuniversalforwarder.msi CERTFILE=<c:\path\to\certfile.pem>

ROOTCACERTFILE=<c:\path\to\rootcacertfile.pem> CERTPASSWORD=<password> RECEIVING_INDEXER="indexer1:9997"

WINEVENTLOG_SEC_ENABLE=1 AGREETOLICENSE=yes

자세한자세한 내용은내용은 지원되는지원되는 명령줄명령줄 플래그플래그 리스트리스트를를 참조하십시오참조하십시오 .

배포배포 테스트테스트

Splunk에서는에서는 유니버설유니버설 포워더를포워더를 호스트호스트 하나에하나에 설치하고설치하고 포워더포워더 작동작동 여부를여부를 확인한확인한 후후 포워더를포워더를 추가추가 호스트호스트에에 설치하는설치하는 방법을방법을 권장합니다권장합니다 .

1. 포워더를포워더를 설치한설치한 후후 포워더가포워더가 원하는원하는 데이터를데이터를 가져와서가져와서 인덱서로인덱서로 보내는지보내는지 확인합니다확인합니다 .

2. 포워더가포워더가 제대로제대로 작동하는지작동하는지 확인한확인한 후후 나머지나머지 호스트에호스트에 포워더포워더 소프트웨어를소프트웨어를 계속계속 설치합니다설치합니다 .

nix 유니버설유니버설 포워더포워더 설치설치

이이 항목에서는항목에서는 유니버설유니버설 포워더포워더 소프트웨어를소프트웨어를 Mac OS X, Solaris 또는또는 Linux 같은같은 *nix 호스트에호스트에 설치하는설치하는 방법방법에에 대해대해 설명합니다설명합니다 . 여기서는여기서는 배포배포 도구를도구를 사용하지사용하지 않고않고 호스트에호스트에 직접직접 설치할설치할 계획이라고계획이라고 가정합니다가정합니다 . 이이 배배포포 유형은유형은 다음과다음과 같은같은 요구요구 사항에사항에 가장가장 적합합니다적합합니다 .

소규모소규모 배포배포개념개념 증명증명 테스트테스트 배포배포최종최종 복제에복제에 사용할사용할 시스템시스템 이미지이미지 또는또는 가상가상 컴퓨터컴퓨터

유니버설유니버설 포워더포워더 설치설치 패키지는패키지는 splunk.com에서에서 다운로드할다운로드할 수수 있습니다있습니다 .

*nix 운영운영 체제에서는체제에서는 tar 파일이나파일이나 설치설치 패키지패키지 (.rpm, .deb, .pkg 등등 )를를 사용하여사용하여 설치합니다설치합니다 . 필요필요 사항에사항에 적합하적합하고고 사용하기사용하기 편리한편리한 패키지패키지 유형을유형을 선택하십시오선택하십시오 .

일반적으로일반적으로 tar 파일은파일은 유니버설유니버설 포워더를포워더를 설치하고설치하고 실행하는실행하는 데데 필요한필요한 파일로만파일로만 구성되며구성되며 , 권한이권한이 있으면있으면 어어디에나디에나 설치할설치할 수수 있습니다있습니다 . 설치설치 패키지에는패키지에는 소프트웨어소프트웨어 종속성을종속성을 확인하고확인하고 운영운영 체제에체제에 따라따라 미리미리 정해진정해진 위위치에치에 설치하는설치하는 로직이로직이 포함되어포함되어 있습니다있습니다 .

유니버설유니버설 포워더를포워더를 *nix 호스트에호스트에 설치하려면설치하려면 특정특정 OS에에 해당하는해당하는 지침을지침을 따르십시오따르십시오 .

Linux에에 설치설치Solaris에에 설치설치Mac OS X에에 설치설치FreeBSD에에 설치설치AIX에에 설치설치HP-UX에에 설치설치

Linux에에 유니버설유니버설 포워더포워더 설치설치

Linux에서에서 유니버설유니버설 포워더는포워더는 tar 파일파일 , RPM 패키지패키지 또는또는 DEB 패키지로패키지로 제공됩니다제공됩니다 .

tar 파일로 설치

1. tar 파일을파일을 tar 명령어를명령어를 사용해사용해 해당해당 디렉터리에디렉터리에 풉니다풉니다 . 기본기본 설치설치 위치는위치는 현재현재 작업작업 디렉터리의디렉터리의 splunk입니입니다다 .

tar xvzf splunkforwarder-<â¦>-Linux-x86_64.tgz

/opt/splunkforwarder에에 설치하려면설치하려면 다음을다음을 실행하십시오실행하십시오 .

32

tar xvzf splunkforwarder-<â¦>-Linux-x86_64.tgz -C /opt

RPM(RedHat Package Manager) 패키지로 설치

1. 설치에설치에 사용할사용할 rpm 패키지를패키지를 대상대상 호스트에서호스트에서 로컬로로컬로 사용할사용할 수수 있고있고 포워더포워더 실행실행 사용자가사용자가 읽을읽을 수수 있는지있는지

확인합니다확인합니다 .

2. rpm 프로그램을프로그램을 사용하여사용하여 RPM 파일을파일을 설치합니다설치합니다 . Splunk RPM을을 기본기본 디렉터리인디렉터리인 /opt/splunkforwarder에에 설설치하려면치하려면 다음다음 명령어를명령어를 실행하십시오실행하십시오 .

rpm -i splunkforwarder-<â¦>-linux-2.6-x86_64.rpm

DEB(Debian 패키지 관리) 파일로 설치

1. dpkg 도구를도구를 사용하여사용하여 Splunk DEB 패키지를패키지를 설치합니다설치합니다 . dpkg를를 사용하면사용하면 DEB 패키지를패키지를 기본기본 위치인위치인

/opt/splunkforwarder에만에만 설치할설치할 수수 있습니다있습니다 .

dpkg -i splunk_package_name.deb

Solaris에에 유니버설유니버설 포워더포워더 설치설치

Solaris에서에서 유니버설유니버설 포워더는포워더는 tar 파일파일 또는또는 PKG 파일로파일로 제공됩니다제공됩니다 .


1. tar 파일을파일을 tar 명령어를명령어를 사용해사용해 해당해당 디렉터리에디렉터리에 풉니다풉니다 . 기본기본 설치설치 디렉터리는디렉터리는 현재현재 작업작업 디렉터리의디렉터리의

splunk입니다입니다 .

tar xvzf splunk_package_name.tar.Z


tar xvzf splunk_package_name.tar.Z -C /opt

Solaris PKG 파일로 설치

PKG 설치설치 패키지에는패키지에는 설치를설치를 시작하기시작하기 전에전에 몇몇 가지가지 사항을사항을 질문하는질문하는 요청요청 파일이파일이 포함되어포함되어 있습니다있습니다 .

1. 설치설치 프로그램을프로그램을 실행합니다실행합니다 .

pkgadd -d ./splunk_product_name.pkg

사용사용 가능한가능한 패키지의패키지의 리스트가리스트가 표시됩니다표시됩니다 .

2. 처리할처리할 패키지를패키지를 선택합니다선택합니다 (기본값은기본값은 "모두모두").

3. 기본기본 설치설치 디렉터리를디렉터리를 지정합니다지정합니다 .

4. 기본기본 디렉터리인디렉터리인 /opt/splunkforwarder에에 설치하려면설치하려면 해당해당 부분을부분을 비워비워 둡니다둡니다 . 그렇지그렇지 않으면않으면 포워더를포워더를 설치할설치할

디렉터리를디렉터리를 입력합니다입력합니다 .

Mac OS X에에 유니버설유니버설 포워더포워더 설치설치

Mac OS X에서에서 유니버설유니버설 포워더는포워더는 tar 파일파일 또는또는 DMG 패키지로패키지로 제공됩니다제공됩니다 .

파인더에서 유니버설 포워더 설치

1. DMG 파일을파일을 두두 번번 클릭합니다클릭합니다 . splunkforwarder.pkg가가 있는있는 파인더파인더 창이창이 열립니다열립니다 .

2. 파인더파인더 창에서창에서 splunkforwarder.pkg를를 두두 번번 클릭합니다클릭합니다 .

설치설치 프로그램이프로그램이 열리고열리고 버전버전 및및 저작권저작권 정보가정보가 나열된나열된 소개소개 화면이화면이 표시됩니다표시됩니다 .

3. 계속계속을을 클릭합니다클릭합니다 .

33

4. 유니버설유니버설 포워더를포워더를 설치할설치할 위치를위치를 선택합니다선택합니다 .

기본기본 디렉터리인디렉터리인 /Applications/splunk에에 설치하려면설치하려면 하드하드 드라이브드라이브 아이콘을아이콘을 클릭합니다클릭합니다 .다른다른 위치를위치를 선택하려면선택하려면 폴더폴더 선택선택 ...을을 클릭합니다클릭합니다 .

5. 계속계속을을 클릭합니다클릭합니다 . 사전사전 설치설치 요약이요약이 표시됩니다표시됩니다 .

6. (선택선택 사항사항 ) 변경변경 사항을사항을 적용하려면적용하려면 설치설치 위치위치 변경변경을을 클릭하여클릭하여 새새 폴더를폴더를 선택하거나선택하거나 뒤로뒤로를를 선택하여선택하여 한한단계단계 뒤로뒤로 돌아갑니다돌아갑니다 . 그렇지그렇지 않으면않으면 설치설치를를 클릭합니다클릭합니다 .

설치가설치가 시작됩니다시작됩니다 . 완료될완료될 때까지때까지 시간이시간이 몇몇 분분 정도정도 걸릴걸릴 수수 있습니다있습니다 .

7. 마침마침을을 클릭합니다클릭합니다 . 설치설치 프로그램이프로그램이 바탕바탕 화면에화면에 바로바로 가기를가기를 생성합니다생성합니다 .

터미널 창에서 유니버설 포워더 설치

명령줄로명령줄로 Mac OS X에에 유니버설유니버설 포워더를포워더를 설치하려면설치하려면 루트루트 사용자를사용자를 사용하거나사용하거나 sudo 명령어를명령어를 사용하여사용하여 권한권한을을 높여야높여야 합니다합니다 . sudo를를 사용할사용할 경우경우 계정이계정이 관리자관리자 수준수준 계정이어야계정이어야 합니다합니다 .

1. 터미널터미널 창을창을 엽니다엽니다 .

2. DMG를를 마운트합니다마운트합니다 .

sudo hdid splunk_package_name.dmg

파인더가파인더가 디스크디스크 이미지를이미지를 바탕바탕 화면에화면에 마운트합니다마운트합니다 . 이미지는이미지는 /Volumes/SplunkForwarder <version>(공백공백 주주의의 )에에 있습니다있습니다 .

3. 설치설치 프로그램을프로그램을 실행합니다실행합니다 .

cd /Volumes/SplunkForwarder\ <version>

sudo installer -pkg .payload/splunk.pkg -target <target>

참고참고 : 디스크디스크 이미지이미지 이름에이름에 공백이공백이 있습니다있습니다 . 백슬래시를백슬래시를 사용하여사용하여 공백을공백을 이스케이프하거나이스케이프하거나 , 디스크디스크 이미지이미지

이름을이름을 따옴표로따옴표로 묶으십시오묶으십시오 .

-target은은 포워더를포워더를 /Applications/splunk에에 설치할설치할 대상대상 볼륨볼륨 (예예 : 다른다른 디스크디스크 )을을 지정합니다지정합니다 .

볼륨의볼륨의 /Applications/splunk가가 아닌아닌 다른다른 디렉터리에디렉터리에 설치하려면설치하려면 위의위의 설명에설명에 따라따라 그래픽그래픽 설치설치 프로그램을프로그램을 사용사용하십시오하십시오 .


1. 터미널터미널 창을창을 엽니다엽니다 .

2. tar 파일을파일을 tar 명령어를명령어를 사용해사용해 해당해당 디렉터리에디렉터리에 풉니다풉니다 .

tar xvzf splunkforwarder.tgz

기본기본 설치설치 디렉터리는디렉터리는 현재현재 작업작업 디렉터리의디렉터리의 splunk입니다입니다 . /Applications/splunk에에 설치하려면설치하려면 다음다음 명령어를명령어를 사사용하십시오용하십시오 .

tar xvzf splunkforwarder.tgz -C /Applications

FreeBSD에에 유니버설유니버설 포워더포워더 설치설치

FreeBSD에서에서 유니버설유니버설 포워더는포워더는 tar 파일로파일로 제공됩니다제공됩니다 .

FreeBSD에 유니버설 포워더를 설치하기 위한 전제 조건

FreeBSD 8에서만에서만 유니버설유니버설 포워더에포워더에 호환성호환성 패키지가패키지가 필요합니다필요합니다 . 호환성호환성 패키지를패키지를 설치하려면설치하려면 :

1. 포트를포트를 설치합니다설치합니다 .

portsnap fetch update

cd /usr/ports/misc/compat7x/ && make install clean

34

2. 패키지를패키지를 추가합니다추가합니다 .

pkg_add -r compat7x-amd64

기본 FreeBSD 설치

FreeBSD에서는에서는 베스트베스트 프랙티스에프랙티스에 따라따라 작은작은 루트루트 파일시스템을파일시스템을 유지합니다유지합니다 . Splunk를를 /opt에에 설치하지설치하지 않고않고다른다른 파일시스템으로파일시스템으로 연결되는연결되는 바로바로 가기가기 링크를링크를 만들어서만들어서 해당해당 위치에위치에 설치하려고설치하려고 할할 수수 있습니다있습니다 .

패키지를패키지를 사용하면사용하면 포워더가포워더가 기본기본 디렉터리인디렉터리인 /opt/splunkforwarder에에 설치됩니다설치됩니다 . /opt가가 없고없고 이이 디렉터리를디렉터리를 만만들지도들지도 않은않은 경우경우 오류오류 메시지가메시지가 나타날나타날 수수 있습니다있습니다 .

1. /opt/splunkforwarder 디렉터리가디렉터리가 있는지있는지 확인합니다확인합니다 . 해당해당 디렉터리가디렉터리가 없으면없으면 만들거나만들거나 해당해당 위치에서위치에서 다른다른 파파일일 시스템으로시스템으로 연결합니다연결합니다 .

2. Intel 설치설치 프로그램을프로그램을 사용하여사용하여 유니버설유니버설 포워더를포워더를 FreeBSD에에 설치합니다설치합니다 .

pkg_add splunkforwarder-intel.tgz

포워더를포워더를 다른다른 디렉터리에디렉터리에 설치하려면설치하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

pkg_add -v -p /usr/splunk splunkforwarder-intel.tgz


유니버설유니버설 포워더포워더 tar 파일을파일을 tar 명령어를명령어를 사용해사용해 해당해당 디렉터리에디렉터리에 풉니다풉니다 . 기본기본 설치설치 디렉터리는디렉터리는 현재현재 작업작업 디렉디렉터리의터리의 splunkforwarder입니다입니다 .

tar xvzf splunkforwarder.tgz


tar xvzf splunkforwarder.tgz -C /opt

FreeBSD에 포워더를 설치한 후 요구되는 사항

포워더가포워더가 FreeBSD에서에서 올바르게올바르게 작동하도록작동하도록 하려면하려면 다음다음 작업을작업을 수행해야수행해야 합니다합니다 .

1. 다음을다음을 /boot/loader.conf에에 추가합니다추가합니다 .

kern.maxdsiz="2147483648" # 2GB

kern.dfldsiz="2147483648" # 2GB

machdep.hlt_cpus=0

2. 다음을다음을 /etc/sysctl.conf에에 추가합니다추가합니다 .

vm.max_proc_mmap=2147483647

변경변경 사항을사항을 적용하려면적용하려면 FreeBSD를를 재시작해야재시작해야 합니다합니다 .

호스트호스트 메모리가메모리가 2GB보다보다 작으면작으면 값을값을 적절히적절히 줄이십시오줄이십시오 .

AIX에에 유니버설유니버설 포워더포워더 설치설치

AIX에서에서 유니버설유니버설 포워더는포워더는 tar 파일로파일로 제공됩니다제공됩니다 . 기본기본 설치설치 디렉터리는디렉터리는 /opt/splunkforwarder입니다입니다 .

1. 유니버설유니버설 포워더포워더 실행실행 사용자에게사용자에게 /dev/random 및및 /dev/urandom 장치를장치를 읽을읽을 수수 있는있는 권한이권한이 있는지있는지 확인합니다확인합니다 .

2. tar 파일을파일을 해당해당 디렉터리에디렉터리에 풉니다풉니다 .

tar xvzf splunkforwarder-<...>.tgz

부팅 시 유니버설 포워더 자동 시작 활성화

35

유니버설유니버설 포워더의포워더의 AIX 버전은버전은 재부팅재부팅 시시 자동으로자동으로 시작하도록시작하도록 저절로저절로 설정되지설정되지 않습니다않습니다 . 이렇게이렇게 설정하려면설정하려면프롬프트가프롬프트가 표시될표시될 때때 다음다음 명령어를명령어를 $SPLUNK_HOME/bin 디렉터리에서디렉터리에서 실행할실행할 수수 있습니다있습니다 .

./splunk enable boot-start

이이 명령어를명령어를 실행하면실행하면 다음다음 시스템시스템 명령어가명령어가 호출되어호출되어 포워더가포워더가 시스템시스템 리소스리소스 컨트롤러컨트롤러 (SRC)에에 등록됩니다등록됩니다 .

mkssys -G splunk -s splunkd -p <path to splunkd> -u <splunk user> -a _internal_exec_splunkd -S -n 2 -f 9

자동자동 부팅부팅 시작을시작을 활성화하면활성화하면 SRC가가 포워더포워더 실행실행 상태를상태를 처리합니다처리합니다 . 따라서따라서 포워더를포워더를 수동으로수동으로 시작시작 및및 중지중지하려면하려면 다른다른 명령어를명령어를 사용해야사용해야 합니다합니다 .

포워더를포워더를 시작하려면시작하려면 /usr/bin/startsrc -s splunkd를를 사용합니다사용합니다 .포워더를포워더를 중지하려면중지하려면 /usr/bin/stopsrc -s splunkd를를 사용합니다사용합니다 .

$SPLUNK_HOME 디렉터리에서디렉터리에서 ./splunk [start|stop] 메서드를메서드를 사용해사용해 포워더를포워더를 시작시작 및및 중지하려고중지하려고 하면하면 SRC가가 해해당당 시도를시도를 포착하고포착하고 포워더에서포워더에서 다음다음 메시지를메시지를 표시합니다표시합니다 .

Splunk boot-start is enabled. Please use /usr/bin/[startsrc|stopsrc] -s splunkd to [start|stop] Splunk.

이이 메시지가메시지가 표시되지표시되지 않도록않도록 하고하고 $SPLUNK_HOME 디렉터리에서디렉터리에서 포워더를포워더를 시작시작 및및 중지하는중지하는 기능을기능을 복원하려면복원하려면 부부팅팅 시작을시작을 비활성화하십시오비활성화하십시오 .

./splunk disable boot-start

mkssys 명령줄명령줄 인수에인수에 대한대한 자세한자세한 내용은내용은 IBM pSeries and AIX Information Center 웹웹 사이트에서사이트에서 Mkssyscommand(http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp?topic=/com.ibm.aix.cmds/doc/aixcmds3/mkssys.htm)를를 참조하십시오참조하십시오 .SRC에에 대한대한 자세한자세한 내용은내용은 IBM Knowledge Center 웹웹 사이트에서사이트에서 System resource controller(https://www-01.ibm.com/support/knowledgecenter/#!/ssw_aix_71/com.ibm.aix.genprogc/src.htm)를를 참조하십시오참조하십시오 .

HP-UX에에 유니버설유니버설 포워더포워더 설치설치

HP/UX에서에서 유니버설유니버설 포워더는포워더는 tar 파일로파일로 제공됩니다제공됩니다 . 기본기본 설치설치 디렉터리는디렉터리는 /opt/splunkforwarder입니다입니다 .

HP-UX와와 함께함께 제공되는제공되는 tar 버전을버전을 사용하면사용하면 유니버설유니버설 포워더포워더 tar 파일이파일이 성공적으로성공적으로 추출되지추출되지 않습니다않습니다 . GNUtar 버전을버전을 사용하거나사용하거나 다른다른 플랫폼에플랫폼에 tar 파일파일 압축을압축을 푸십시오푸십시오 .

1. GNU tar 버전을버전을 사용하여사용하여 파일을파일을 해당해당 디렉터리에디렉터리에 풉니다풉니다 .

tar xvzf splunkforwarder-<...>.tgz

유니버설유니버설 포워더포워더 설치에설치에 대한대한 고려고려 사항사항

유니버설유니버설 포워더를포워더를 설치할설치할 때때 다음다음 사항에사항에 주의하십시오주의하십시오 .

tar 파일을 사용한 설치

tar 파일을파일을 사용하여사용하여 유니버설유니버설 포워더를포워더를 설치하는설치하는 경우경우 :

GNU가가 아닌아닌 일부일부 tar 버전에는버전에는 사용사용 가능한가능한 -C 인수가인수가 없을없을 수수 있습니다있습니다 . 이이 경우에경우에 특정특정 디렉터리에디렉터리에 설치설치하려면하려면 tar 명령어를명령어를 실행하기실행하기 전에전에 cd를를 사용하여사용하여 포워더를포워더를 설치할설치할 디렉터리로디렉터리로 이동하거나이동하거나 해당해당 디렉터디렉터리에리에 tar 파일을파일을 저장하십시오저장하십시오 .

유니버설유니버설 포워더에서포워더에서 splunk 사용자를사용자를 만들지만들지 않습니다않습니다 . 포워더가포워더가 특정특정 사용자로사용자로 실행되도록실행되도록 하려면하려면 설치설치전에전에 해당해당 사용자를사용자를 수동으로수동으로 만들어야만들어야 합니다합니다 .

인덱싱할인덱싱할 데이터의데이터의 압축을압축을 해제한해제한 볼륨을볼륨을 저장할저장할 공간이공간이 디스크디스크 파티션에파티션에 충분한지충분한지 확인하십시오확인하십시오 .

Solaris를 구동하는 Sun SPARC 시스템에 유니버설 포워더를 설치하기 위해 요구되는 최소 패치 레벨

Solaris를를 실행실행 중인중인 Sun SPARC 시스템에시스템에 유니버설유니버설 포워더를포워더를 설치할설치할 계획이면계획이면 C 라이브러리라이브러리 (libc.so.1) 패치패치 레레벨이벨이 SUNW_1.22.7 이상인지이상인지 확인하십시오확인하십시오 . 유니버설유니버설 포워더를포워더를 실행하려면실행하려면 이이 라이브러리라이브러리 버전이버전이 필요합니다필요합니다 .

기본 설치 위치

유니버설유니버설 포워더는포워더는 기본적으로기본적으로 /opt/splunkforwarder 디렉터리에디렉터리에 설치됩니다설치됩니다 . (전체전체 Splunk의의 기본기본 설치설치 디렉터리디렉터리는는 /opt/splunk입니다입니다 .)

유니버설 포워더를 설치할 때 기존에 설치된 Splunk Enterprise 덮어쓰기 금지36

유니버설유니버설 포워더를포워더를 설치할설치할 때때 기존에기존에 설치된설치된 전체전체 Splunk Enterprise를를 덮어쓰지덮어쓰지 마십시오마십시오 . 특히특히 "nix 라이트라이트 포포워더워더 마이그레이션마이그레이션"의의 설명에설명에 따라따라 라이트라이트 포워더에서포워더에서 마이그레이션할마이그레이션할 계획인계획인 경우경우 이이 지침을지침을 따르는따르는 것이것이 중중요합니다요합니다 .

정적정적 설정을설정을 통해통해 *nix 유니버설유니버설 포워더포워더 원격원격 설치설치

스크립트나스크립트나 yum 또는또는 puppet 같은같은 관리관리 도구를도구를 사용하여사용하여 여러여러 *nix 유니버설유니버설 포워더를포워더를 원격으로원격으로 설치할설치할 수수 있습니있습니다다 .

유니버설유니버설 포워더포워더 하나를하나를 *nix 운영운영 체제에체제에 설치하고설치하고 설정하는설정하는 방법에방법에 대한대한 내용은내용은 nix 유니버설유니버설 포워더포워더 설치설치를를참조하십시오참조하십시오 .

정적정적 설정을설정을 통해통해 *nix 유니버설유니버설 포워더포워더 설치설치

1. 사용사용 중인중인 플랫폼에플랫폼에 해당하는해당하는 유니버설유니버설 포워더포워더 소프트웨어를소프트웨어를 다운로드합니다다운로드합니다 .

2. nix 유니버설유니버설 포워더포워더 설치설치의의 설명에설명에 따라따라 유니버설유니버설 포워더를포워더를 테스트테스트 컴퓨터에컴퓨터에 설치합니다설치합니다 .

3. 설정을설정을 테스트하고테스트하고 조정합니다조정합니다 .

4. 설치설치 및및 설정설정 명령어의명령어의 스크립트스크립트 래퍼를래퍼를 만듭니다만듭니다 .

5. 대상대상 호스트에서호스트에서 스크립트를스크립트를 실행하여실행하여 스크립트가스크립트가 모든모든 필요한필요한 명령명령 셸과셸과 함께함께 작동하는지작동하는지 확인합니다확인합니다 .

6. 스크립트를스크립트를 원하는원하는 호스트호스트 집합에집합에 대해대해 실행합니다실행합니다 .

유니버설유니버설 포워더포워더 설치설치 래퍼래퍼 스크립트를스크립트를 만들고만들고 실행실행

완전히완전히 설정된설정된 유니버설유니버설 포워더를포워더를 테스트하여테스트하여 설치설치 및및 설정설정 프로세스를프로세스를 확인한확인한 후에후에 프로세스를프로세스를 스크립트에스크립트에 통통합합니다합합니다 .

스크립트 요구 사항

대상대상 컴퓨터에서컴퓨터에서 액세스할액세스할 수수 있는있는 네트워크네트워크 위치에위치에 설치설치 패키지패키지 또는또는 tar 파일을파일을 저장합니다저장합니다 . 스크립트에서스크립트에서 파파일을일을 각각 대상대상 호스트로호스트로 푸시하도록푸시하도록 설정하거나설정하거나 NFS 마운트처럼마운트처럼 전반적인전반적인 액세스가액세스가 가능한가능한 위치에위치에 파일을파일을 저장저장할할 수수 있습니다있습니다 .

스크립트가스크립트가 오류오류 보고보고 역할을역할을 수행합니다수행합니다 .

샘플 스크립트

다음은다음은 출발점으로출발점으로 사용할사용할 수수 있는있는 샘플샘플 스크립트입니다스크립트입니다 . 이이 스크립트는스크립트는 배포에배포에 대해대해 작성할작성할 수수 있는있는 스크립트스크립트유형의유형의 예일예일 뿐입니다뿐입니다 . 스크립트의스크립트의 주석은주석은 스크립트를스크립트를 필요에필요에 맞게맞게 수정할수정할 수수 있는있는 방법을방법을 안내합니다안내합니다 . 주석에주석에설명되지설명되지 않은않은 방법으로방법으로 스크립트를스크립트를 더더 수정해야수정해야 하는하는 경우도경우도 있습니다있습니다 .

스크립트의스크립트의 용도는용도는 다음과다음과 같습니다같습니다 .

포워더포워더 tar 파일을파일을 HOST_FILE 변수와변수와 연결된연결된 파일에서파일에서 지정한지정한 호스트호스트 리스트에리스트에 배포배포 . 이이 파일을파일을 스크립트스크립트 주주석에석에 지정된지정된 형식으로형식으로 제공해야제공해야 합니다합니다 .

tar 파일의파일의 압축을압축을 해제할해제할 각각 대상대상 호스트에호스트에 위치위치 지정지정

나중에나중에 포워더를포워더를 관리하고관리하고 업데이트할업데이트할 수수 있는있는 배포배포 서버서버의의 역할을역할을 수행할수행할 Splunk Enterprise 인스턴스인스턴스 지지정정 . 이이 설정설정 단계는단계는 선택선택 사항입니다사항입니다 .

각각 호스트에서호스트에서 포워더포워더 실행실행 파일파일 시작시작

스크립트에는스크립트에는 여러여러 주석이주석이 있습니다있습니다 . 주석을주석을 주의깊게주의깊게 살펴본살펴본 후후 환경에환경에 맞게맞게 수정하십시오수정하십시오 .

#!/bin/sh

# This script provides an example of how to deploy the universal forwarder

# to many remote hosts via ssh and common Unix commands.

#

# Note that this script will only work unattended if you have SSH host keys

# setup & unlocked.

# To learn more about this subject, do a web search for "openssh key management".

37

# ----------- Adjust the variables below -----------

# Populate this file with a list of hosts that this script should install to,

# with one host per line. You may use hostnames or IP addresses, as

# applicable. You can also specify a user to login as, for example, "foo@host".

#

# Example file contents:

# server1

# server2.foo.lan

# you@server3

# 10.2.3.4

HOSTS_FILE="/path/to/splunk.install.list"

# This is the path to the tar file that you wish to push out. You may

# wish to make this a symlink to a versioned tar file, so as to minimize

# updates to this script in the future.

SPLUNK_FILE="/path/to/splunk-latest.tar.gz"

# This is where the tar file will be stored on the remote host during

# installation. The file will be removed after installation. You normally will

# not need to set this variable, as $NEW_PARENT will be used by default.

#

# SCRATCH_DIR="/home/your_dir/temp"

# The location in which to unpack the new tar file on the destination

# host. This can be the same parent dir as for your existing

# installation (if any). This directory will be created at runtime, if it does

# not exist.

NEW_PARENT="/opt"

# After installation, the forwarder will become a deployment client of this

# host. Specify the host and management (not web) port of the deployment server

# that will be managing these forwarder instances. If you do not wish to use

# a deployment server, you may leave this unset.

#

# DEPLOY_SERV="splunkDeployMaster:8089"

# A directory on the current host in which the output of each installation

# attempt will be logged. This directory need not exist, but the user running

# the script must be able to create it. The output will be stored as

# $LOG_DIR/<[user@]destination host>. If installation on a host fails, a

# corresponding file will also be created, as

# $LOG_DIR/<[user@]destination host>.failed.

LOG_DIR="/tmp/splunkua.install"

# For conversion from normal Splunk Enterprise installs to the universal forwarder:

# After installation, records of progress in indexing files (monitor)

# and filesystem change events (fschange) can be imported from an existing

# Splunk Enterprise (non-forwarder) installation. Specify the path to that installation here.

# If there is no prior Splunk Enterprise instance, you may leave this variable empty ("").

#

# NOTE: THIS SCRIPT WILL STOP THE SPLUNK ENTERPRISE INSTANCE SPECIFIED HERE.

#

# OLD_SPLUNK="/opt/splunk"

# If you use a non-standard SSH port on the remote hosts, you must set this.

# SSH_PORT=1234

# You must remove this line, or the script will refuse to run. This is to

# ensure that all of the above has been read and set. :)

UNCONFIGURED=1

38

# ----------- End of user adjustable settings -----------

# helpers.

faillog() {

echo "$1" >&2

}

fail() {

faillog "ERROR: $@"

exit 1

}

# error checks.

test "$UNCONFIGURED" -eq 1 && \

fail "This script has not been configured. Please see the notes in the script."

test -z "$HOSTS_FILE" && \

fail "No hosts configured! Please populate HOSTS_FILE."

test -z "$NEW_PARENT" && \

fail "No installation destination provided! Please set NEW_PARENT."

test -z "$SPLUNK_FILE" && \

fail "No splunk package path provided! Please populate SPLUNK_FILE."

if [ ! -d "$LOG_DIR" ]; then

mkdir -p "$LOG_DIR" || fail "Cannot create log dir at \"$LOG_DIR\"!"

fi

# some setup.

if [ -z "$SCRATCH_DIR" ]; then

SCRATCH_DIR="$NEW_PARENT"

fi

if [ -n "$SSH_PORT" ]; then

SSH_PORT_ARG="-p${SSH_PORT}"

SCP_PORT_ARG="-P${SSH_PORT}"

fi

NEW_INSTANCE="$NEW_PARENT/splunkforwarder" # this would need to be edited for non-UA...

DEST_FILE="${SCRATCH_DIR}/splunk.tar.gz"

#

#

# create script to run remotely.

#

#

REMOTE_SCRIPT="

fail() {

echo ERROR: \"\$@\" >&2

test -f \"$DEST_FILE\" && rm -f \"$DEST_FILE\"

exit 1

}

"

### try untarring tar file.

REMOTE_SCRIPT="$REMOTE_SCRIPT

(cd \"$NEW_PARENT\" && tar -zxf \"$DEST_FILE\") || fail \"could not untar /$DEST_FILE to $NEW_PARENT.\"

"

### setup seed file to migrate input records from old instance, and stop old instance.

if [ -n "$OLD_SPLUNK" ]; then


echo \"$OLD_SPLUNK\" > \"$NEW_INSTANCE/old_splunk.seed\" || fail \"could not create seed file.\"

\"$OLD_SPLUNK/bin/splunk\" stop || fail \"could not stop existing splunk.\"

"

fi

39

### setup deployment client if requested.

if [ -n "$DEPLOY_SERV" ]; then


\"$NEW_INSTANCE/bin/splunk\" set deploy-poll \"$DEPLOY_SERV\" --accept-license --answer-yes \

--auto-ports --no-prompt || fail \"could not setup deployment client\"

"

fi

### start new instance.


\"$NEW_INSTANCE/bin/splunk\" start --accept-license --answer-yes --auto-ports --no-prompt || \

fail \"could not start new splunk instance!\"

"

### remove downloaded file.


rm -f "$DEST_FILE" || fail \"could not delete downloaded file $DEST_FILE!\"

"

#

#

# end of remote script.

#

#

exec 5>&1 # save stdout.

exec 6>&2 # save stderr.

echo "In 5 seconds, will copy install file and run the following script on each"

echo "remote host:"

echo

echo "===================="

echo "$REMOTE_SCRIPT"

echo "===================="

echo

echo "Press Ctrl-C to cancel..."

test -z "$MORE_FASTER" && sleep 5

echo "Starting."

# main loop. install on each host.

for DST in `cat "$HOSTS_FILE"`; do

if [ -z "$DST" ]; then

continue;

fi

LOG="$LOG_DIR/$DST"

FAILLOG="${LOG}.failed"

echo "Installing on host $DST, logging to $LOG."

# redirect stdout/stderr to logfile.

exec 1> "$LOG"

exec 2> "$LOG"

if ! ssh $SSH_PORT_ARG "$DST" \

"if [ ! -d \"$NEW_PARENT\" ]; then mkdir -p \"$NEW_PARENT\"; fi"; then

touch "$FAILLOG"

# restore stdout/stderr.

exec 1>&5

exec 2>&6

continue

fi

# copy tar file to remote host.

if ! scp $SCP_PORT_ARG "$SPLUNK_FILE" "${DST}:${DEST_FILE}"; then

touch "$FAILLOG"


exec 1>&5

40

exec 2>&6

continue

fi

# run script on remote host and log appropriately.

if ! ssh $SSH_PORT_ARG "$DST" "$REMOTE_SCRIPT"; then

touch "$FAILLOG" # remote script failed.

else

test -e "$FAILLOG" && rm -f "$FAILLOG" # cleanup any past attempt log.

fi


exec 1>&5

exec 2>&6

if [ -e "$FAILLOG" ]; then

echo " --> FAILED <--"

else

echo " SUCCEEDED"

fi

done

FAIL_COUNT=`ls "${LOG_DIR}" | grep -c '\.failed$'`

if [ "$FAIL_COUNT" -gt 0 ]; then

echo "There were $FAIL_COUNT remote installation failures."

echo " ( see ${LOG_DIR}/*.failed )"

else

echo

echo "Done."

fi

# Voila.

스크립트 실행

스크립트를스크립트를 실행한실행한 후에후에 오류에오류에 대해대해 생성된생성된 로그로그 파일을파일을 확인하십시오확인하십시오 . 이이 항목의항목의 샘플샘플 스크립트에서는스크립트에서는 로그로그를를 /tmp/splunkua.install/<destination hostname>에에 저장합니다저장합니다 .

호스트호스트 이미지의이미지의 일부로일부로 유니버설유니버설 포워더포워더 배포배포

유니버설유니버설 포워더를포워더를 호스트호스트 이미지이미지 또는또는 가상가상 컴퓨터의컴퓨터의 일부로일부로 배포할배포할 수수 있습니다있습니다 . 이이 방법은방법은 특히특히 배포할배포할 유니유니버설버설 포워더의포워더의 수가수가 많을많을 경우에경우에 유용합니다유용합니다 . 유니버설유니버설 포워더포워더 수가수가 많지많지 않으면않으면 Windows 및및 nix 컴퓨터에컴퓨터에 대한대한설명에설명에 따라따라 수동으로수동으로 설치하는설치하는 방법이방법이 더더 간단할간단할 수수 있습니다있습니다 .

이이 항목의항목의 절차를절차를 따르기따르기 전에전에 "유니버설유니버설 포워더포워더 배포배포 개요개요"를를 읽으십시오읽으십시오 .

배포배포 절차절차

유니버설유니버설 포워더를포워더를 다운로드하고다운로드하고 배포를배포를 계획한계획한 후에는후에는 다음다음 단계를단계를 수행하십시오수행하십시오 .

1. 유니버설유니버설 포워더를포워더를 테스트테스트 컴퓨터에컴퓨터에 설치합니다설치합니다 . 아래를아래를 참조하십시오참조하십시오 .

2. 아래에아래에 나와나와 있는있는 설명에설명에 따라따라 설치설치 후후 설정설정 작업을작업을 수행합니다수행합니다 .

3. 아래에아래에 나와나와 있는있는 설명에설명에 따라따라 배포를배포를 테스트하고테스트하고 조정합니다조정합니다 .

4. 테스트한테스트한 설정을설정을 사용하여사용하여 유니버설유니버설 포워더를포워더를 원본원본 컴퓨터에컴퓨터에 설치합니다설치합니다 .

5. 유니버설유니버설 포워더를포워더를 중지합니다중지합니다 .

6. 포워더에서포워더에서 다음다음 CLI 명령어를명령어를 실행합니다실행합니다 .

./splunk clone-prep-clear-config

이렇게이렇게 하면하면 서버서버 이름과이름과 GUID 같은같은 인스턴스별인스턴스별 정보가정보가 포워더에서포워더에서 삭제됩니다삭제됩니다 . 그런그런 다음다음 이이 정보는정보는 처음처음 시시작할작할 때때 각각의각각의 복제된복제된 포워더에서포워더에서 설정됩니다설정됩니다 .

41

7. 복제를복제를 위해위해 필요에필요에 따라따라 이미지이미지 또는또는 가상가상 컴퓨터를컴퓨터를 준비합니다준비합니다 .

8. *nix 시스템에서시스템에서 cron 또는또는 원하는원하는 일정일정 관리관리 시스템을시스템을 사용하여사용하여 splunkd 데몬이데몬이 부팅부팅 시시 시작되도록시작되도록 설정합니설정합니

다다 . Windows에서는에서는 서비스를서비스를 Automatic으로으로 설정하되설정하되 시작하지시작하지 마십시오마십시오 .

9. 시스템시스템 이미지이미지 또는또는 가상가상 컴퓨터컴퓨터 복제본을복제본을 환경환경 전체에전체에 분산되어분산되어 있는있는 컴퓨터에컴퓨터에 배포하고배포하고 시작합니다시작합니다 .

10. 포워더포워더 설정설정 중에중에 지정한지정한 인덱서에인덱서에 포워더가포워더가 연결되었는지연결되었는지 확인합니다확인합니다 .

참조참조 절차절차

위위 배포배포 절차의절차의 각각 단계에는단계에는 다음과다음과 같은같은 하위하위 항목이항목이 참조되었습니다참조되었습니다 .

유니버설 포워더 설치

사용사용 중인중인 운영운영 체제에체제에 해당되는해당되는 절차를절차를 사용하여사용하여 유니버설유니버설 포워더를포워더를 설치하십시오설치하십시오 .

*nix 컴퓨터에컴퓨터에 설치하려면설치하려면 "nix 유니버설유니버설 포워더포워더 수동수동 배포배포"를를 참조하십시오참조하십시오 .

Windows 컴퓨터컴퓨터의의 경우경우 설치설치 프로그램프로그램 GUI 또는또는 명령줄명령줄 인터페이스를인터페이스를 사용할사용할 수수 있습니다있습니다 . GUI를를 사용사용하여하여 설치하려면설치하려면 "설치설치 프로그램프로그램 GUI를를 통해통해 Windows 유니버설유니버설 포워더포워더 배포배포"를를 참조하십시오참조하십시오 . 명령줄명령줄 인인터페이스에터페이스에 대한대한 내용은내용은 "명령줄을명령줄을 통해통해 Windows 유니버설유니버설 포워더포워더 배포배포"를를 참조하십시오참조하십시오 .

중요중요 : Windows 컴퓨터에서컴퓨터에서 유니버설유니버설 포워더가포워더가 설치설치 후에후에 즉시즉시 시작되지시작되지 않도록않도록 하려면하려면 명령줄명령줄 인터페이스를인터페이스를

사용해야사용해야 합니다합니다 . 올바른올바른 명령줄명령줄 플래그를플래그를 사용하여사용하여 유니버설유니버설 포워더를포워더를 설치할설치할 때때 원본원본 컴퓨터에서컴퓨터에서 시작되지시작되지

않고않고 활성화활성화 후에후에 복제본에서복제본에서 자동으로자동으로 시작되도록시작되도록 설정할설정할 수수 있습니다있습니다 .

설치설치 시시 유니버설유니버설 포워더를포워더를 설정할설정할 수도수도 있습니다있습니다 . 배포배포 개요의개요의 "일반적인일반적인 설정설정 문제문제"를를 참조하십시오참조하십시오 .

추가 설정 수행

설치설치 후에후에 유니버설유니버설 포워더의포워더의 설정설정 파일파일 (inputs.conf 및및 outputs.conf 등등 )을을 직접직접 편집하여편집하여 해당해당 포워더의포워더의 설정을설정을업데이트할업데이트할 수수 있습니다있습니다 . 관련관련 내용은내용은 "유니버설유니버설 포워더포워더 설정설정"을을 참조하십시오참조하십시오 .

설정설정 변경변경 사항을사항을 여러여러 유니버설유니버설 포워더에포워더에 배포하는배포하는 방법에방법에 대한대한 내용은내용은 Splunk Enterprise 인스턴스 업데이트 매매뉴얼에서뉴얼에서 "배포배포 서버서버"를를 참조하십시오참조하십시오 .

배포 테스트

설정한설정한 유니버설유니버설 포워더를포워더를 전체전체 환경에환경에 배포하기배포하기 전에전에 컴퓨터컴퓨터 한한 대에서대에서 테스트하여테스트하여 기능이기능이 올바르게올바르게 작동하는작동하는지지 확인하십시오확인하십시오 . 배포를배포를 테스트할테스트할 때때 다음다음 질문에질문에 대해대해 생각해생각해 보십시오보십시오 .

1. 포워더에서포워더에서 설정한설정한 데이터데이터 입력에서입력에서 원하는원하는 데이터를데이터를 수집합니까수집합니까?

그렇지그렇지 않은않은 경우경우 :

포워더에서포워더에서 inputs.conf를를 확인하여확인하여 입력입력 스탠자가스탠자가 올바른지올바른지 확인하십시오확인하십시오 . 예를예를 들어들어 파일파일 모니터링을모니터링을 설설정하려면정하려면 포워더의포워더의 inputs.conf에서에서 해당해당 파일을파일을 참조하는지참조하는지 확인하십시오확인하십시오 .파일을파일을 참조하는참조하는 스탠자가스탠자가 비활성화되지비활성화되지 않았는지않았는지 확인하십시오확인하십시오 . (스탠자에서스탠자에서 'disabled = 1'을을 찾아보십찾아보십시오시오 .)

2. 포워더에서포워더에서 원하는원하는 데이터를데이터를 원하는원하는 위치로위치로 전송합니까전송합니까?

그렇지그렇지 않은않은 경우경우 :

포워더의포워더의 outputs.conf가가 이미이미 설정되었는지설정되었는지 확인하십시오확인하십시오 . outputs.conf 파일은파일은 포워더가포워더가 지정된지정된 호스트호스트이름이름 또는또는 IP 주소주소 및및 포트를포트를 사용하여사용하여 네트워크를네트워크를 통해통해 액세스할액세스할 수수 있는있는 수신수신 인덱서를인덱서를 참조해야참조해야 합니다합니다 .포워더와포워더와 수신기에수신기에 모두모두 지정한지정한 포트의포트의 네트워크네트워크 트래픽을트래픽을 차단하는차단하는 방화벽이방화벽이 없는지없는지 확인합니다확인합니다 .포워더와포워더와 수신기에수신기에 지정한지정한 포트가포트가 같은지같은지 확인합니다확인합니다 . 전달하려면전달하려면 두두 포트가포트가 동일해야동일해야 합니다합니다 . 예를예를 들어들어포트포트 9997을을 인덱서의인덱서의 수신수신 포트로포트로 지정할지정할 경우경우 , 포워더의포워더의 outputs.conf 설정에서설정에서 이이 포트와포트와 동일한동일한 포트를포트를대상으로대상으로 지정해야지정해야 합니다합니다 .수신수신 인덱서의인덱서의 검색검색 페이지를페이지를 사용하여사용하여 포워더에서포워더에서 설정한설정한 이벤트가이벤트가 보이는지보이는지 확인하십시오확인하십시오 .

유니버설유니버설 포워더포워더 설정설정

유니버설유니버설 포워더포워더 설정설정

포워더에서포워더에서 데이터를데이터를 전달하려면전달하려면 포워더에포워더에 설정이설정이 있어야있어야 합니다합니다 . 설정을설정을 통해통해 포워더는포워더는 다음을다음을 확인합니다확인합니다 .

42

보낼보낼 데이터데이터데이터를데이터를 보낼보낼 대상대상

유니버설유니버설 포워더에는포워더에는 Splunk Web이이 없기없기 때문에때문에 설정을설정을 설치설치 도중도중 (Windows 시스템만시스템만 해당해당 )에에 지정하거나지정하거나 이이후의후의 별도별도 단계에단계에 지정해야지정해야 합니다합니다 . 다음과다음과 같은같은 방법으로방법으로 설치설치 후후 설정설정 작업을작업을 수행할수행할 수수 있습니다있습니다 .

CLI 사용사용 . CLI를를 사용하면사용하면 거의거의 모든모든 설정설정 작업을작업을 몇몇 단계로단계로 수행할수행할 수수 있지만있지만 , 포워더의포워더의 모든모든 기능을기능을 완전완전히히 이용할이용할 수는수는 없습니다없습니다 .포워더에서포워더에서 직접직접 설정설정 파일을파일을 만들거나만들거나 수정수정배포배포 서버서버 사용사용 . 배포배포 서버를서버를 사용하면사용하면 설정을설정을 쉽게쉽게 배포할배포할 수수 있지만있지만 , 포워더에서포워더에서 데이터를데이터를 자동으로자동으로 전전달하지달하지 않습니다않습니다 . 배포배포 서버를서버를 사용하여사용하여 설정을설정을 포워더로포워더로 전달해서전달해서 원하는원하는 데이터를데이터를 포워더에서포워더에서 수집하수집하고고 원하는원하는 대상으로대상으로 보내도록보내도록 해야해야 합니다합니다 .

설정 파일로 유니버설 포워더 설정

설정설정 파일은파일은 유니버설유니버설 포워더가포워더가 시작되거나시작되거나 설정이설정이 다시다시 로드될로드될 때때 읽는읽는 텍스트텍스트 파일입니다파일입니다 . 데이터를데이터를 받고받고 전전송할송할 위치를위치를 알려면알려면 포워더에서포워더에서 설정설정 파일을파일을 읽어야읽어야 합니다합니다 . 설정설정 파일을파일을 통해통해 전체전체 포워더포워더 기능에기능에 액세스할액세스할 수수있는있는 완전한완전한 권한을권한을 얻을얻을 수수 있지만있지만 , 설정설정 파일은파일은 편집하기가편집하기가 어렵거나어렵거나 편집할편집할 때때 실수가실수가 발생하기발생하기 쉽습니다쉽습니다 . 설설정정 파일의파일의 작동작동 방식에방식에 대한대한 자세한자세한 내용은내용은 Splunk Enterprise 관리자 매뉴얼의매뉴얼의 "설정설정 파일파일" 및및 "설정설정 파일파일 우선순우선순위위"를를 참조하십시오참조하십시오 .

주요주요 설정설정 파일은파일은 다음과다음과 같습니다같습니다 .

inputs.conf는는 포워더에서포워더에서 데이터를데이터를 수집하는수집하는 방법을방법을 제어합니다제어합니다 .outputs.conf는는 포워더에서포워더에서 데이터를데이터를 인덱서나인덱서나 다른다른 포워더로포워더로 보내는보내는 방법을방법을 제어합니다제어합니다 .server.conf는는 연결과연결과 성능성능 조정을조정을 위해위해 사용합니다사용합니다 .deploymentclient.conf는는 배포배포 서버에서버에 연결하기연결하기 위해위해 사용합니다사용합니다 .

설정설정 파일은파일은 텍스트텍스트 편집기로편집기로 편집하여편집하여 변경합니다변경합니다 . ASCII/UTF-8 형식으로형식으로 파일을파일을 쓸쓸 수수 있는있는 편집기를편집기를 사용할사용할수수 있습니다있습니다 .

포워더는포워더는 $SPLUNK_HOME/etc/system/local/에에 있는있는 outputs.conf의의 데이터데이터 전달에전달에 대한대한 설정에설정에 따라따라 작동합니다작동합니다 .outputs.conf로로 전달전달 설정설정을을 참조하십시오참조하십시오 .

유니버설유니버설 포워더에는포워더에는 SplunkUniversalForwarder 앱이앱이 있으며있으며 , 이이 앱에앱에 포함된포함된 사전사전 설정을설정을 통해통해 포워더를포워더를 간소화간소화모드에서모드에서 실행할실행할 수수 있습니다있습니다 . 특별한특별한 지침이지침이 없는없는 한한 이이 앱의앱의 설정설정 파일을파일을 편집하지편집하지 마십시오마십시오 .

설정 업데이트를 여러 유니버설 포워더에 배포하는 데 권장되는 방법

다음다음 방법을방법을 사용하여사용하여 설정설정 업데이트를업데이트를 여러여러 유니버설유니버설 포워더에포워더에 배포할배포할 수수 있습니다있습니다 .

각각 유니버설유니버설 포워더의포워더의 설정설정 파일을파일을 수동으로수동으로 편집편집 또는또는 복사하는복사하는 방법방법 (소규모소규모 배포에배포에 유용유용 )Splunk 배포배포 서버서버를를 사용하여사용하여 설정된설정된 앱을앱을 원하는원하는 유니버설유니버설 포워더포워더 집합으로집합으로 푸시하는푸시하는 방법방법원하는원하는 배포배포 도구도구 (*nix의의 puppet 또는또는 Chef나나 Windows의의 System Center Configuration Manager)를를 사용하사용하여여 설정설정 변경변경 사항을사항을 푸시하는푸시하는 방법방법

CLI를를 통해통해 유니버설유니버설 포워더포워더 설정설정

CLI에서는에서는 설정설정 파일을파일을 편집할편집할 필요필요 없이없이 대부분의대부분의 전달전달 매개변수를매개변수를 설정할설정할 수수 있습니다있습니다 . 모든모든 전달전달 매개변수에매개변수에대한대한 완전한완전한 액세스액세스 권한이권한이 부여되지는부여되지는 않으므로않으므로 이런이런 경우에는경우에는 설정설정 파일을파일을 편집해야편집해야 합니다합니다 .

CLI를를 사용하여사용하여 설정을설정을 변경하면변경하면 유니버설유니버설 포워더가포워더가 설정설정 파일을파일을 작성합니다작성합니다 . 따라서따라서 설정설정 파일을파일을 직접직접 편집할편집할때때 발생할발생할 수수 있는있는 오타나오타나 기타기타 실수가실수가 방지됩니다방지됩니다 .

포워더는포워더는 $SPLUNK_HOME/etc/system/local/의의 outputs.conf에에 데이터데이터 전달에전달에 대한대한 설정을설정을 작성합니다작성합니다 . outputs.conf에에대한대한 내용은내용은 outputs.conf로로 전달전달 설정설정을을 참조하십시오참조하십시오 .

CLI를를 사용하여사용하여 유니버설유니버설 포워더를포워더를 설정하는설정하는 예예

다음은다음은 수신수신 인덱서에인덱서에 연결하도록연결하도록 유니버설유니버설 포워더를포워더를 설정하는설정하는 방법을방법을 설명하는설명하는 절차의절차의 예입니다예입니다 .

수신 인덱서에 연결하도록 유니버설 포워더 설정

포워더의포워더의 셸셸 또는또는 명령명령 프롬프트에서프롬프트에서 다음다음 명령어를명령어를 실행합니다실행합니다 .

./splunk add forward-server <host name or ip address>:<listening port>

예를예를 들어들어 호스트호스트 이름이이름이 idx.mycompany.com인인 수신수신 인덱서에인덱서에 연결하려면연결하려면 해당해당 호스트의호스트의 9997 포트에서포트에서 포워더의포워더의데이터를데이터를 수신수신 대기하는대기하는 경우경우 다음을다음을 입력합니다입력합니다 .

43

./splunk add forward-server idx1.mycompany.com:9997

배포 서버에 연결하도록 유니버설 포워더 설정

포워더의포워더의 셸셸 또는또는 명령명령 프롬프트에서프롬프트에서 다음다음 명령어를명령어를 실행합니다실행합니다 .

./splunk add deploy-poll <host name or ip address>:<management port>

예를예를 들어들어 호스트호스트 이름이이름이 ds1.mycompany.com인인 배포배포 서버에서버에 기본기본 관리관리 포트인포트인 8089를를 통해통해 연결하려면연결하려면 다음을다음을 입입력하십시오력하십시오 .

./splunk add deploy-poll ds1.mycompany.com:8089

포워더에서 데이터 입력 설정

Splunk Enterprise 데이터 가져오기 매뉴얼에는매뉴얼에는 유니버설유니버설 포워더에서포워더에서 수집할수집할 수수 있는있는 데이터에데이터에 대한대한 내용이내용이 있습있습니다니다 .

1. 수집할수집할 데이터를데이터를 결정합니다결정합니다 .

2. 포워더의포워더의 셸셸 또는또는 명령명령 프롬프트에서프롬프트에서 해당해당 데이터데이터 입력을입력을 활성화하는활성화하는 명령어를명령어를 실행합니다실행합니다 . 예를예를 들어들어 유니유니버설버설 포워더가포워더가 설치된설치된 호스트의호스트의 /var/log 디렉터리를디렉터리를 모니터링하려면모니터링하려면 다음을다음을 입력하십시오입력하십시오 .

./splunk add monitor /var/log

포워더가포워더가 인증을인증을 요청하고요청하고 , 지정된지정된 디렉터리를디렉터리를 로그인로그인 직후부터직후부터 모니터링하기모니터링하기 시작합니다시작합니다 .

유니버설유니버설 포워더포워더 재시작재시작

일부일부 설정설정 변경변경 사항을사항을 적용하려면적용하려면 포워더를포워더를 재시작해야재시작해야 합니다합니다 .

유니버설유니버설 포워더를포워더를 재시작하려면재시작하려면 전체전체 Splunk Enterprise 인스턴스를인스턴스를 재시작하기재시작하기 위해위해 사용하는사용하는 것과것과 동일한동일한CLI restart 명령어를명령어를 사용하십시오사용하십시오 .

Windows: %SPLUNK_HOME%\bin으로으로 이동하여이동하여 다음다음 명령어를명령어를 실행합니다실행합니다 .

splunk restart

*nix 시스템시스템 : 호스트의호스트의 셸셸 프롬프트에서프롬프트에서 $SPLUNK_HOME/bin으로으로 이동하여이동하여 다음다음 명령어를명령어를 실행합니다실행합니다 .

./splunk restart

outputs.conf로로 전달전달 설정설정

outputs.conf 파일은파일은 포워더에서포워더에서 수신기로수신기로 데이터를데이터를 전송하는전송하는 방법을방법을 정의합니다정의합니다 . 일부일부 출력출력 설정을설정을 설치설치 시시(Windows 유니버설유니버설 포워더에만포워더에만 해당해당 )에에 또는또는 CLI에서에서 지정할지정할 수수 있지만있지만 , 대부분의대부분의 고급고급 구성을구성을 설정하려면설정하려면outputs.conf를를 직접직접 편집해야편집해야 합니다합니다 .

다양한다양한 전달전달 토폴로지에토폴로지에 대해대해 설명하는설명하는 부하부하 분산분산 및및 중간중간 전달전달 같은같은 항목에는항목에는 해당해당 토폴로지를토폴로지를 지원하도록지원하도록outputs.conf를를 설정하는설정하는 자세한자세한 예가예가 나와나와 있습니다있습니다 .

outputs.conf는는 포워더포워더 설정에설정에 중요한중요한 파일이지만파일이지만 , 포워더의포워더의 출력과출력과 포워더가포워더가 수집한수집한 데이터를데이터를 보낼보낼 대상을대상을 설정설정하는하는 데데 사용됩니다사용됩니다 . 수집할수집할 데이터를데이터를 지정하려면지정하려면 다른다른 Splunk Enterprise 인스턴스와인스턴스와 마찬가지로마찬가지로 입력을입력을 별도별도로로 설정해야설정해야 합니다합니다 . 데이터 가져오기의의 데이터데이터 추가추가 및및 입력입력 설정을설정을 참조하십시오참조하십시오 .

outputs.conf 파일파일 유형유형

포워더포워더 하나에하나에 여러여러 outputs.conf 파일이파일이 있을있을 수수 있습니다있습니다 . 예를예를 들어들어 앱앱 디렉터리에디렉터리에 하나가하나가 있고있고$SPLUNK_HOME/etc/system/local에에 하나가하나가 더더 있을있을 수수 있습니다있습니다 . 포워더에포워더에 있는있는 outputs.conf 파일의파일의 수와수와 위치에위치에 관계관계없이없이 , 포워더는포워더는 설정설정 파일파일 우선순위우선순위 규칙을규칙을 사용하여사용하여 모든모든 설정을설정을 결합합니다결합합니다 . 포워더에는포워더에는 기본기본 및및 사용자사용자 지정지정outputs.conf 파일이파일이 모두모두 있습니다있습니다 .

기본 outputs.conf 버전

유니버설유니버설 포워더는포워더는 다음과다음과 같은같은 기본기본 outputs.conf 버전과버전과 함께함께 제공됩니다제공됩니다 .

44

$SPLUNK_HOME/etc/system/default에에 저장된저장된 버전버전$SPLUNK_HOME/etc/apps/SplunkUniversalForwarder/default에에 저장된저장된 또또 다른다른 버전버전

SplunkUniversalForwarder 앱의앱의 기본기본 버전이버전이 /etc/system/default에에 있는있는 버전보다버전보다 우선합니다우선합니다 .

기본기본 설정설정 파일파일 버전을버전을 편집하지편집하지 마십시오마십시오 . 설정설정 파일을파일을 참조하십시오참조하십시오 .

사용자 지정 outputs.conf 버전

전달전달 동작을동작을 설정할설정할 때때 변경한변경한 내용은내용은 outputs.conf의의 사용자사용자 지정지정 버전에버전에 저장됩니다저장됩니다 . 전달전달 동작은동작은 다음과다음과 같은같은방법으로방법으로 지정할지정할 수수 있습니다있습니다 .

포워더포워더 설치설치 중중 (Windows 유니버설유니버설 포워더만포워더만 해당해당 )CLI 명령어명령어 실행실행outputs.conf 파일파일 직접직접 편집편집

처음처음 세세 가지가지 방법을방법을 사용하면사용하면 포워더에서포워더에서 outputs.conf의의 사용자사용자 지정지정 버전을버전을 자동으로자동으로 만들거나만들거나 편집합니다편집합니다 .사용자사용자 지정지정 버전의버전의 위치는위치는 포워더포워더 유형유형 및및 기타기타 요인에요인에 따라따라 다릅니다다릅니다 .

CLI를를 사용하여사용하여 유니버설유니버설 포워더의포워더의 출력출력 동작을동작을 변경하면변경하면 outputs.conf의의 복사본을복사본을$SPLUNK_HOME/etc/system/local에에 만들거나만들거나 편집합니다편집합니다 . 그러나그러나 Windows 설치설치 프로세스에서는프로세스에서는 설정설정 변경변경 사항이사항이MSICreated 앱에앱에 있는있는 outputs.conf 파일에파일에 작성됩니다작성됩니다 .

(예를예를 들어들어 CLI를를 통해통해 ) 간접적으로간접적으로 만들고만들고 편집하는편집하는 outputs.conf 파일파일 외에외에 , outputs.conf 파일을파일을 직접직접 만들거나만들거나편집할편집할 수도수도 있습니다있습니다 . $SPLUNK_HOME/etc/system/local/에에 저장하는저장하는 파일의파일의 단일단일 복사본을복사본을 사용하여사용하여 작업하십시오작업하십시오 .CLI를를 통해통해 적용한적용한 설정설정 변경으로변경으로 인해인해 해당해당 디렉터리에디렉터리에 파일의파일의 복사본이복사본이 이미이미 있으면있으면 해당해당 복사본을복사본을 편집하십편집하십시오시오 . 배포배포 및및 관리를관리를 단순화하기단순화하기 위해위해 모든모든 기본기본 버전이버전이 아닌아닌 다른다른 설정을설정을 사용자사용자 지정지정 outputs.conf 파일파일 하나로하나로합칠합칠 수수 있습니다있습니다 .

outputs.conf를를 변경한변경한 후후 포워더를포워더를 재시작하여재시작하여 변경변경 사항을사항을 적용하십시오적용하십시오 .

outputs.conf에에 대한대한 내용은내용은 outputs.conf spec 파일을파일을 참조하십시오참조하십시오 .

outputs.conf 설정설정 수준수준

데이터를데이터를 전달하는전달하는 출력출력 프로세서에는프로세서에는 tcpout 및및 syslog의의 두두 가지가지 유형이유형이 있습니다있습니다 . 유니버설유니버설 포워더에는포워더에는[tcpout] 헤더를헤더를 사용하는사용하는 tcpout 프로세서만프로세서만 있습니다있습니다 .

tcpout 프로세서를프로세서를 세세 가지가지 수준의수준의 스탠자에서스탠자에서 설정할설정할 수수 있습니다있습니다 .

전역전역 . (선택선택 사항사항 ) 전역전역 수준에서는수준에서는 전체적으로전체적으로 적용할적용할 모든모든 속성과속성과 출력출력 프로세서에프로세서에 대해대해 시스템시스템 전체전체 수수준에서만준에서만 설정할설정할 수수 있는있는 특정특정 속성을속성을 지정합니다지정합니다 .대상대상 그룹그룹 . 대상대상 그룹은그룹은 하나하나 이상의이상의 수신수신 인덱서에인덱서에 대한대한 설정을설정을 정의합니다정의합니다 . 출력출력 프로세서프로세서 하나에하나에 여러여러개의개의 대상대상 그룹이그룹이 있을있을 수수 있습니다있습니다 . 구성구성 설정은설정은 대부분대부분 대상대상 그룹그룹 수준에서수준에서 지정할지정할 수수 있습니다있습니다 .단일단일 서버서버 . (선택선택 사항사항 ) 대상대상 그룹의그룹의 단일단일 서버서버 (수신기수신기 )에에 대한대한 설정설정 값을값을 지정할지정할 수수 있습니다있습니다 .

더더 세부적인세부적인 수준의수준의 설정이설정이 우선합니다우선합니다 . 예를예를 들어들어 대상대상 그룹에그룹에 대해대해 compressed=true로로 지정하면지정하면 compressed 속성속성이이 전역전역 수준에서수준에서 "false"로로 설정된설정된 경우에도경우에도 포워더에서포워더에서 해당해당 대상대상 그룹의그룹의 호스트로호스트로 압축된압축된 데이터를데이터를 보냅니다보냅니다 .

outputs.conf 전역 스탠자

여기서는여기서는 전역에전역에 적용할적용할 모든모든 속성을속성을 설정합니다설정합니다 . 이이 스탠자는스탠자는 선택선택 사항이지만사항이지만 , defaultGroup처럼처럼 전역전역 수준에수준에서만서만 설정할설정할 수수 있는있는 몇몇 가지가지 속성이속성이 있습니다있습니다 .

[tcpout] 헤더를헤더를 사용하여사용하여 tcpout 프로세서에프로세서에 대한대한 전역전역 스탠자를스탠자를 지정하십시오지정하십시오 .

다음은다음은 전역전역 tcpout 스탠자의스탠자의 예입니다예입니다 .

[tcpout]

defaultGroup=indexer1

compressed=true

이이 전역전역 스탠자에는스탠자에는 2개의개의 속성속성 /값값 쌍이쌍이 포함되어포함되어 있습니다있습니다 .

defaultGroup=indexer1: 이이 경우경우 포워더에서포워더에서 모든모든 데이터를데이터를 "indexer1" 대상대상 그룹으로그룹으로 전송합니다전송합니다 . 자세한자세한

내용은내용은 "기본기본 대상대상 그룹그룹"을을 참조하십시오참조하십시오 .compressed=true: 대상대상 그룹의그룹의 수신수신 인덱서에인덱서에 데이터를데이터를 전달하기전달하기 전에전에 데이터를데이터를 압축하도록압축하도록 포워더를포워더를

설정합니다설정합니다 . "false"로로 설정하면설정하면 포워더에서포워더에서 원시원시 데이터를데이터를 보냅니다보냅니다 .

45

outputs.conf에서에서 기본기본 대상대상 그룹그룹 설정설정

자동자동 전달을전달을 위한위한 기본기본 그룹을그룹을 설정하려면설정하려면 defaultGroup 속성을속성을 전역전역 수준에서수준에서 [tcpout] 스탠자에스탠자에 포함시키십시포함시키십시오오 .

[tcpout]

defaultGroup= <target_group1>, <target_group2>, ...

defaultGroup을을 사용하면사용하면 나중에나중에 tcpout:<target_group> 스탠자에서스탠자에서 정의하는정의하는 대상대상 그룹이그룹이 하나하나 이상이상 지정됩니다지정됩니다 .포워더에서는포워더에서는 모든모든 이벤트를이벤트를 지정된지정된 그룹으로그룹으로 보냅니다보냅니다 .

데이터를데이터를 자동으로자동으로 전달하지전달하지 않으려면않으려면 defaultGroup 속성을속성을 설정하지설정하지 마십시오마십시오 .

outputs.conf 대상 그룹 스탠자

대상대상 그룹은그룹은 수신기수신기 집합을집합을 식별하고식별하고 , 포워더에서포워더에서 해당해당 수신기로수신기로 데이터를데이터를 전송하는전송하는 방법도방법도 지정합니다지정합니다 . 대상대상그룹을그룹을 여러여러 개개 정의할정의할 수수 있습니다있습니다 .

대상대상 그룹그룹 스탠자의스탠자의 기본기본 패턴은패턴은 다음과다음과 같습니다같습니다 .

[tcpout:<target_group>]

server=<receiving_server1>, <receiving_server2>, ...

<attribute1> = <val1>


...

대상대상 그룹의그룹의 수신수신 서버를서버를 지정하려면지정하려면 <ipaddress_or_hostname>:<port> 형식을형식을 사용하십시오사용하십시오 . 여기서여기서 <port>는는 수신수신호스트의호스트의 수신수신 포트포트입니다입니다 (예예 : myhost.splunk.com:9997). 수신기를수신기를 여러여러 개개 지정할지정할 수수 있으며있으며 , 포워더는포워더는 각각 수신기수신기

에에 부하를부하를 분산시킵니다분산시킵니다 .

대상대상 그룹그룹 스탠자를스탠자를 사용하여사용하여 여러여러 배포배포 토폴로지를토폴로지를 정의하는정의하는 방법에방법에 대한대한 내용은내용은 이이 항목의항목의 뒷부분에뒷부분에 있는있는 일일반적인반적인 배포배포 토폴로지토폴로지 정의정의를를 참조하십시오참조하십시오 .

outputs.conf 단일 호스트 스탠자

개별개별 수신수신 인덱서에인덱서에 대해대해 특정특정 설정을설정을 정의할정의할 수수 있습니다있습니다 . 그러나그러나 이이 경우경우 수신기가수신기가 대상대상 그룹에도그룹에도 속해속해 있어야있어야합니다합니다 .

단일단일 호스트호스트 수준에서수준에서 속성을속성을 정의하면정의하면 해당해당 속성이속성이 대상대상 그룹그룹 또는또는 전역전역 수준에서수준에서 정의한정의한 속성에속성에 우선합니다우선합니다 .

단일단일 호스트호스트 스탠자를스탠자를 정의하는정의하는 구문은구문은 다음과다음과 같습니다같습니다 .

[tcpout-server://<ipaddress_or_hostname>:<port>]



...

outputs.conf 예

outputs.conf의의 다음다음 예에는예에는 데이터를데이터를 Splunk Enterprise 수신기에수신기에 전송하는전송하는 스탠자스탠자 3개가개가 있습니다있습니다 .

전역전역 설정설정 . 이이 예에는예에는 defaultGroup을을 지정하는지정하는 설정이설정이 하나하나 있습니다있습니다 .수신기수신기 2개로개로 구성된구성된 단일단일 대상대상 그룹에그룹에 대한대한 설정설정 . 여기서는여기서는 수신기수신기 2개로개로 구성된구성된 부하부하 분산분산 대상대상 그룹을그룹을지정합니다지정합니다 .대상대상 그룹에그룹에 속한속한 수신기수신기 하나에하나에 대한대한 설정설정 . 이이 스탠자에서는스탠자에서는 mysplunk_indexer1 수신기에수신기에 해당되는해당되는 모든모든 설설정을정을 지정할지정할 수수 있습니다있습니다 .

[tcpout]

defaultGroup=my_indexers

[tcpout:my_indexers]

server=mysplunk_indexer1:9997, mysplunk_indexer2:9996

[tcpout-server://mysplunk_indexer1:9997]

일반적인일반적인 포워더포워더 배포배포 토폴로지토폴로지 정의정의

46

여러여러 일반적인일반적인 배포배포 토폴로지를토폴로지를 지원하도록지원하도록 포워더를포워더를 설정할설정할 수수 있습니다있습니다 . 다른다른 토폴로지를토폴로지를 위해위해 포워더를포워더를 설설정하는정하는 방법에방법에 대한대한 내용은내용은 이이 매뉴얼의매뉴얼의 "데이터데이터 전달전달" 절에절에 있는있는 기타기타 항목을항목을 참조하십시오참조하십시오 .

outputs.conf를 사용하여 유니버설 포워더에서 부하 분산 설정

부하부하 분산분산을을 수행하려면수행하려면 수신기가수신기가 여러여러 개인개인 대상대상 그룹을그룹을 하나하나 지정하십시오지정하십시오 . 이이 예에서는예에서는 대상대상 그룹이그룹이 수신기수신기

3개로개로 구성되어구성되어 있습니다있습니다 .

[tcpout:my_LB_indexers]

server=10.10.10.1:9997,10.10.10.2:9996,10.10.10.3:9995

지정한지정한 수신기수신기 3개에개에 부하가부하가 분산됩니다분산됩니다 . 수신기수신기 하나의하나의 작동이작동이 중단되면중단되면 포워더에서포워더에서 사용사용 가능한가능한 다음다음 수신기수신기로로 자동자동 전환합니다전환합니다 .

outputs.conf를 사용하여 유니버설 포워더에서 데이터 복제 설정

데이터데이터 복제복제를를 수행하려면수행하려면 여러여러 대상대상 그룹을그룹을 자체자체 스탠자에서스탠자에서 지정하십시오지정하십시오 . 데이터데이터 복제복제 시시 포워더에서포워더에서 모든모든이벤트의이벤트의 복사본을복사본을 2개개 이상의이상의 대상대상 그룹에그룹에 속한속한 수신기로수신기로 전송합니다전송합니다 . 데이터데이터 복제를복제를 수행하면수행하면 일반적으로일반적으로 여여러러 수신수신 인덱서에서인덱서에서 유사하지만유사하지만 완전히완전히 동일하지는동일하지는 않은않은 데이터의데이터의 복사본이복사본이 생성될생성될 수수 있습니다있습니다 . 다음은다음은 데이데이터터 복제를복제를 설정하는설정하는 방법의방법의 예입니다예입니다 .

[tcpout]

defaultGroup=indexer1,indexer2

[tcpout:indexer1]

server=10.1.1.197:9997

[tcpout:indexer2]

server=10.1.1.200:9997

포워더에서포워더에서 indexer1 및및 indexer2 대상대상 그룹에그룹에 모두모두 지정되어지정되어 있는있는 서버로서버로 중복중복 데이터데이터 스트림을스트림을 전송합니다전송합니다 .

유니버설 포워더에서 데이터 복제를 부하 분산과 함께 설정

부하부하 분산을분산을 데이터데이터 복제와복제와 결합할결합할 수수 있습니다있습니다 . 예는예는 다음과다음과 같습니다같습니다 .

[tcpout]

defaultGroup=cloned_group1,cloned_group2

[tcpout:cloned_group1]

server=10.10.10.1:9997, 10.10.10.2:9997, 10.10.10.3:9997

[tcpout:cloned_group2]

server=10.1.1.197:9997, 10.1.1.198:9997, 10.1.1.199:9997, 10.1.1.200:9997

포워더가포워더가 전체전체 데이터데이터 스트림을스트림을 cloned_group1 및및 cloned_group2 그룹으로그룹으로 모두모두 보냅니다보냅니다 . 포워더가포워더가 각각 그룹별로그룹별로 데데이터이터 부하를부하를 분산시키면서분산시키면서 수신기를수신기를 30초초 (기본기본 빈도빈도 )마다마다 전환합니다전환합니다 .

outputs.conf 공통공통 속성속성

outputs.conf 파일에는파일에는 전달전달 시시 효율성과효율성과 관리성을관리성을 개선하기개선하기 위한위한 여러여러 설정설정 옵션이옵션이 있습니다있습니다 . 사용사용 가능한가능한 속성속성중에중에 특히특히 중요한중요한 속성은속성은 다음과다음과 같습니다같습니다 .

속성속성기본기본

값값

설정설정 위위치치

값값

defaultGroup n/a전역전역 스스탠자탠자

대상대상 그룹이그룹이 여러여러 개인개인 경우경우 쉼표로쉼표로 구분한구분한 리스트리스트 . 포워더에서포워더에서 모든모든이벤트를이벤트를 지정된지정된 모든모든 대상대상 그룹에그룹에 전송합니다전송합니다 .

server n/a대상대상 그그룹룹 스탠스탠자자

필수필수 사항사항 . 포워더의포워더의 수신기수신기 기능을기능을 수행할수행할 호스트를호스트를 지정합니다지정합니다 . 이이값은값은 <ipaddress_or_servername>:<port> 형식을형식을 사용하여사용하여 설정해야설정해야 합니합니다다 . 여기서여기서 <port>는는 수신수신 서버의서버의 수신수신 포트입니다포트입니다 .

disabled false모든모든 스스탠자탠자 수수준준

스탠자의스탠자의 비활성화비활성화 여부를여부를 지정합니다지정합니다 . "true"로로 설정하면설정하면 스탠자가스탠자가 없없는는 것과것과 동일합니다동일합니다 .

47

sendCookedData true

전역전역 또또는는 대상대상그룹그룹 스스탠자탠자

데이터를데이터를 전달하기전달하기 전에전에 가공가공 (cook)하는지하는지 여부를여부를 지정합니다지정합니다 .

compressed false


포워더에서포워더에서 압축된압축된 데이터를데이터를 전송하는지전송하는지 여부를여부를 지정합니다지정합니다 .

ssl.... n/a모든모든 스스탠자탠자 수수준준

SSL 설정설정 속성속성 집합집합 . 해당해당 속성을속성을 사용하는사용하는 방법에방법에 대한대한 내용은내용은 SplunkEnterprise 보안 매뉴얼의매뉴얼의 "포워더에서포워더에서 전송하는전송하는 데이터데이터 보안보안"을을 참조참조하십시오하십시오 .

useACK false


포워더에서포워더에서 데이터가데이터가 파일파일 시스템에시스템에 기록되었음을기록되었음을 확인하는확인하는 인덱서인덱서수신확인을수신확인을 기다리는지기다리는지 여부를여부를 지정합니다지정합니다 .

dnsResolutionInterval 300


인덱서인덱서 DNS 이름을이름을 IP 주소로주소로 확인하는확인하는 기본기본 시간시간 간격을간격을 초초 단위로단위로지정합니다지정합니다 .

위의위의 설정설정 옵션과옵션과 기타기타 모든모든 설정설정 옵션에옵션에 대한대한 세부세부 정보는정보는 여기서여기서 찾을찾을 수수 있는있는 outputs.conf.spec 파일과파일과 몇몇 가지가지예를예를 통해통해 얻을얻을 수수 있습니다있습니다 . 또한또한 위위 설정설정 중중 대부분은대부분은 특정특정 전달전달 시나리오를시나리오를 다루는다루는 각각 항목에항목에 설명되어설명되어 있습있습니다니다 .

DNS 확인 간격

dnsResolutionInterval 속성은속성은 수신기수신기 DNS 이름을이름을 IP 주소로주소로 확인하는확인하는 기본기본 시간시간 간격을간격을 초초 단위로단위로 지정합니다지정합니다 .이이 값은값은 다음과다음과 같이같이 런타임런타임 간격을간격을 계산하는계산하는 데데 사용됩니다사용됩니다 .

run-time interval = dnsResolutionInterval + (number of receivers in server attribute - 1) * 30

런타임런타임 간격은간격은 server 속성에서속성에서 지정되는지정되는 수신기수신기 (포워더에서포워더에서 부하를부하를 분산시키는분산시키는 수신기수신기 )가가 하나씩하나씩 추가될추가될 때마때마다다 30초씩초씩 늘어납니다늘어납니다 . dnsResolutionInterval 속성의속성의 기본값은기본값은 300초입니다초입니다 .

예를예를 들어들어 속성을속성을 기본기본 설정인설정인 300초로초로 놔두고놔두고 포워더에서포워더에서 부하를부하를 20개의개의 인덱서로인덱서로 분산시키는분산시키는 경우경우 DNS 확인확인이이 14.5분마다분마다 수행됩니다수행됩니다 .

(300 + ((20 - 1) * 30)) = 870 seconds = 14.5 minutes

dnsResolutionInterval을을 600초로초로 변경하고변경하고 부하부하 분산분산 인덱서인덱서 수를수를 20개로개로 유지하면유지하면 DNS 확인이확인이 19.5분마다분마다 수행수행됩니다됩니다 .

(600 + ((20 - 1) * 30)) = 1170 seconds = 19.5 minutes

지원되는지원되는 CLI 명령어명령어

유니버설유니버설 포워더에서는포워더에서는 CLI 명령어에명령어에 사용할사용할 수수 있는있는 일부일부 개체를개체를 지원합니다지원합니다 . 전체전체 Splunk Enterprise에서에서 유효유효한한 index(예예 : add index) 같은같은 일부일부 개체를개체를 유니버설유니버설 포워더에서포워더에서 사용하면사용하면 의미가의미가 없습니다없습니다 .

명령어는명령어는 개체에서개체에서 작용하므로작용하므로 , 유효하지유효하지 않은않은 명령어명령어 /개체개체 조합을조합을 입력하면입력하면 유니버설유니버설 포워더에서포워더에서 오류오류 메시지메시지를를 반환합니다반환합니다 .

유효한유효한 CLI 개체개체

유니버설유니버설 포워더는포워더는 다음다음 개체에개체에 대한대한 모든모든 CLI 명령어를명령어를 지원합니다지원합니다 .

add

app

config

datastore-dir

default-hostname

deploy-client

48

deploy-poll

eventlog

exec

forward-server

monitor

oneshot

perfmon

registry

servername

splunkd-port

tcp

udp

user

wmi

참고참고 : start 및및 stop과과 같은같은 소수의소수의 명령어는명령어는 개체개체 없이없이 실행할실행할 수수 있습니다있습니다 . 개체가개체가 없는없는 명령어도명령어도 유니버설유니버설 포워포워더에서더에서 유효합니다유효합니다 .

CLI 구문구문 소개소개

일반적인일반적인 CLI 명령어명령어 구문은구문은 다음과다음과 같습니다같습니다 .

./splunk <command> [<object>] [[-<parameter>] <value>]...

위에서위에서 설명한설명한 바와바와 같이같이 , 유니버설유니버설 포워더에포워더에 명령어가명령어가 유효한지유효한지 결정하는결정하는 것은것은 개체입니다입니다 . 예를예를 들어들어 위위 리스리스트에는트에는 monitor 개체가개체가 포함되어포함되어 있습니다있습니다 . 따라서따라서 add monitor와와 edit monitor 명령어명령어 /개체개체 조합은조합은 모두모두 유효합니유효합니다다 . monitor 개체에개체에 대한대한 자세한자세한 내용은내용은 데이터 가져오기의의 "CLI를를 사용하여사용하여 파일파일 및및 디렉터리디렉터리 모니터링모니터링"을을 참조참조하십시오하십시오 .

전반적인전반적인 CLI 사용에사용에 대한대한 자세한자세한 내용은내용은 Splunk Enterprise 관리자 매뉴얼의의 CLI를를 사용하여사용하여 Splunk Enterprise관리를관리를 참조하십시오참조하십시오 . 특히특히 "CLI 관리관리 명령어명령어" 항목에서는항목에서는 전체전체 Splunk Enterprise에서에서 지원되는지원되는 모든모든 명령어와명령어와각각 명령어가명령어가 작용할작용할 수수 있는있는 개체의개체의 리스트를리스트를 포함한포함한 CLI 구문에구문에 대해대해 자세히자세히 설명합니다설명합니다 .

유니버설유니버설 포워더포워더 업그레이드업그레이드

Windows 유니버설유니버설 포워더포워더 업그레이드업그레이드

유니버설유니버설 포워더를포워더를 업그레이드할업그레이드할 때는때는 설정설정 변경변경 없이없이 새새 소프트웨어가소프트웨어가 설치됩니다설치됩니다 . 포워더의포워더의 구성구성 설정을설정을 변변경하려면경하려면 업그레이드업그레이드 후에후에 변경하십시오변경하십시오 . 배포배포 서버를서버를 통해통해 설정설정 업데이트업데이트 프로세스가프로세스가 수월해질수월해질 수수 있습니다있습니다 .

몇몇 가지가지 업그레이드업그레이드 시나리오가시나리오가 있습니다있습니다 .

GUI 설치설치 프로그램을프로그램을 사용한사용한 단일단일 포워더포워더 업그레이드업그레이드명령줄명령줄 설치설치 프로그램을프로그램을 사용한사용한 단일단일 포워더포워더 업그레이드업그레이드포워더포워더 그룹그룹 원격원격 업그레이드업그레이드 (모든모든 규모의규모의 배포에배포에 적합적합 )

유니버설유니버설 포워더포워더 업그레이드업그레이드 전제전제 조건조건

업그레이드하기업그레이드하기 전에전에 다음다음 내용을내용을 읽으십시오읽으십시오 . 또한또한 Splunk Enterprise 설치 매뉴얼의의 Splunk Enterprise 업그레업그레이드이드 방법에서방법에서 최신최신 정보와정보와 업그레이드업그레이드 중에중에 발생할발생할 수수 있는있는 잠재적인잠재적인 문제를문제를 확인하십시오확인하십시오 .

업그레이드가 필요한지 확인

업그레이드하기업그레이드하기 전에전에 업그레이드할업그레이드할 필요가필요가 있는지있는지 고려하십시오고려하십시오 . 대부분의대부분의 경우경우 포워더를포워더를 반드시반드시 업그레이드업그레이드할할 필요는필요는 없습니다없습니다 . 포워더는포워더는 이후이후 인덱서인덱서 버전과버전과 항상항상 호환되므로호환되므로 , 포워더에서포워더에서 전송하는전송하는 데이터를데이터를 수신하는수신하는인덱서를인덱서를 업그레이드했다는업그레이드했다는 이유만으로이유만으로 포워더를포워더를 업그레이드할업그레이드할 필요가필요가 없습니다없습니다 .

플랫폼 아키텍처 변경 작업은 수동으로 수행해야 함

64비트비트 유니버설유니버설 포워더포워더 설치설치 프로그램을프로그램을 사용하여사용하여 32비트비트 버전의버전의 유니버설유니버설 포워더를포워더를 업그레이드할업그레이드할 수수 없습니없습니다다 . 32비트에서비트에서 64비트로비트로 업그레이드하려면업그레이드하려면 다음다음 지침을지침을 따르십시오따르십시오 .

1. 모든모든 앱과앱과 추가추가 기능기능 (%SPLUNK_HOME%\etc\apps에에 있음있음 )을을 포함한포함한 설정을설정을 백업합니다백업합니다 .%SPLUNK_HOME%\var\lib\modinputs에에 있는있는 체크포인트체크포인트 파일도파일도 백업하십시오백업하십시오 .

2. 기존기존 32비트비트 포워더를포워더를 제거제거합니다합니다 .

49

3. 64비트비트 포워더를포워더를 설치설치합니다합니다 .

4. 앱앱 , 설정설정 및및 체크포인트를체크포인트를 적절한적절한 디렉터리에디렉터리에 복사하여복사하여 복원합니다복원합니다 .

%SPLUNK_HOME%\etc\system\local(설정설정 파일의파일의 경우경우 )%SPLUNK_HOME%\etc\apps(앱앱 및및 추가추가 기능의기능의 경우경우 )%SPLUNK_HOME%\var\lib\modinputs(체크포인트체크포인트 파일의파일의 경우경우 )

파일 백업

업그레이드하기업그레이드하기 전에전에 설정설정 파일을파일을 백업하십시오백업하십시오 . Splunk Enterprise 관리자 매뉴얼의매뉴얼의 "설정설정 정보정보 백업백업"을을 참조하참조하십시오십시오 .

이전이전 버전으로버전으로 다운그레이드하는다운그레이드하는 방법은방법은 없습니다없습니다 . 이전이전 포워더포워더 릴리스로릴리스로 복원해야복원해야 하는하는 경우경우 현재현재 버전을버전을 제제거하고거하고 이전이전 릴리스를릴리스를 다시다시 설치하십시오설치하십시오 .

GUI 설치설치 프로그램을프로그램을 사용한사용한 업그레이드업그레이드

GUI 설치설치 프로그램을프로그램을 사용하여사용하여 포워더포워더 하나를하나를 업그레이드할업그레이드할 수수 있습니다있습니다 .

1. 유니버설유니버설 포워더포워더 다운로드다운로드 페이지에서페이지에서 새새 MSI 파일을파일을 다운로드합니다다운로드합니다 .

2. MSI 파일을파일을 두두 번번 클릭합니다클릭합니다 . "라이선스라이선스 계약에계약에 동의동의" 패널이패널이 표시됩니다표시됩니다 .

3. 라이선스라이선스 계약에계약에 동의하고동의하고 "설치설치"를를 클릭합니다클릭합니다 . 그러면그러면 포워더가포워더가 업그레이드되고업그레이드되고 기존기존 설정이설정이 유지됩니다유지됩니다 .

참고참고 : 업그레이드업그레이드 프로세스프로세스 중중 포워더가포워더가 업그레이드업그레이드 전에전에 중지됩니다중지됩니다 .

4. 설치가설치가 완료되면완료되면 포워더가포워더가 자동으로자동으로 시작됩니다시작됩니다 .

업그레이드업그레이드 변경변경 사항사항 로그가로그가 %TEMP% 디렉터리에디렉터리에 저장됩니다저장됩니다 . 애플리케이션애플리케이션 이벤트이벤트 로그의로그의 오류도오류도 보고됩니다보고됩니다 .

명령줄을명령줄을 사용한사용한 업그레이드업그레이드

명령줄명령줄 설치설치 프로그램을프로그램을 실행하여실행하여 포워더포워더 하나를하나를 업그레이드할업그레이드할 수수 있습니다있습니다 . 포워더포워더 그룹을그룹을 업그레이드하려면업그레이드하려면"원격원격 업그레이드업그레이드 수행수행"의의 설명에설명에 따라따라 그룹그룹 정책정책 또는또는 System Center Configuration Manager 같은같은 배포배포 도구에도구에명령줄명령줄 설치설치 프로그램을프로그램을 로드하십시오로드하십시오 .

업그레이드업그레이드 도중에도중에 설정을설정을 변경할변경할 수수 없습니다없습니다 . 사용자가사용자가 지정하는지정하는 명령줄명령줄 플래그는플래그는 AGREETOLICENSE를를 제외하고제외하고모두모두 무시됩니다무시됩니다 .

명령줄명령줄 설치설치 프로그램을프로그램을 사용하여사용하여 포워더포워더 하나를하나를 업그레이드하는업그레이드하는 절차는절차는 다음과다음과 같습니다같습니다 .

1. Splunk 유니버설유니버설 포워더포워더 다운로드다운로드 페이지에서페이지에서 새새 MSI 파일을파일을 다운로드합니다다운로드합니다 .

2. 명령줄에서명령줄에서 msiexec.exe를를 호출하여호출하여 유니버설유니버설 포워더를포워더를 설치합니다설치합니다 .

32비트비트 플랫폼에서는플랫폼에서는 splunkuniversalforwarder-<...>-x86-release.msi를를 사용하십시오사용하십시오 .

msiexec.exe /i splunkuniversalforwarder-<...>-x86-release.msi [AGREETOLICENSE=Yes /quiet]

64비트비트 플랫폼에서는플랫폼에서는 splunkuniversalforwarder-<...>-x64-release.msi를를 사용하십시오사용하십시오 .

msiexec.exe /i splunkuniversalforwarder-<...>-x64-release.msi [AGREETOLICENSE=Yes /quiet]

<...> 값은값은 특정특정 릴리스에릴리스에 따라따라 다릅니다다릅니다 (예예 : splunkuniversalforwarder-6.3.0-aa7d4b1ccb80-x64-release.msi).

3. 업그레이드가업그레이드가 완료될완료될 때까지때까지 기다립니다기다립니다 . 설치가설치가 완료되면완료되면 포워더가포워더가 자동으로자동으로 시작됩니다시작됩니다 .

업그레이드업그레이드 변경변경 사항사항 로그가로그가 %TEMP% 디렉터리에디렉터리에 저장됩니다저장됩니다 . 애플리케이션애플리케이션 이벤트이벤트 로그의로그의 오류도오류도 보고됩니다보고됩니다 .

원격원격 업그레이드업그레이드 수행수행

환경을환경을 구성하는구성하는 여러여러 포워더를포워더를 업그레이드하려면업그레이드하려면 그룹그룹 정책정책 또는또는 System Center Configuration Manager 같은같은배포배포 도구를도구를 사용하여사용하여 포워더포워더 소프트웨어를소프트웨어를 배포하십시오배포하십시오 .

1. 유니버설유니버설 포워더포워더 MSI를를 배포배포 도구에도구에 로드합니다로드합니다 . 명령줄을명령줄을 다음과다음과 같이같이 지정하십시오지정하십시오 .

msiexec.exe /i splunkuniversalforwarder-<...>.msi AGREETOLICENSE=Yes /quiet

50

MSI 명령어에명령어에 대한대한 자세한자세한 내용은내용은 명령줄을명령줄을 사용한사용한 업그레이드업그레이드를를 참조하십시오참조하십시오 .

2. 배포배포 도구를도구를 사용하여사용하여 배포를배포를 실행합니다실행합니다 .

3. 배포배포 모니터를모니터를 사용하여사용하여 유니버설유니버설 포워더가포워더가 올바로올바로 작동하는지작동하는지 확인합니다확인합니다 .

모든모든 포워더에포워더에 대해대해 원격원격 업그레이드를업그레이드를 실행하기실행하기 전에전에 컴퓨터컴퓨터 한한 대에서대에서 로컬로컬 업그레이드를업그레이드를 테스트해테스트해 보는보는 것것이이 좋습니다좋습니다 .

*nix 유니버설유니버설 포워더포워더 업그레이드업그레이드

몇몇 가지가지 *nix 유니버설유니버설 포워더포워더 업그레이드업그레이드 시나리오가시나리오가 있습니다있습니다 .

단일단일 포워더포워더 수동수동 업그레이드업그레이드여러여러 포워더포워더 원격원격 업그레이드업그레이드 (모든모든 규모의규모의 배포에배포에 사용사용 가능한가능한 옵션옵션 )

*nix 유니버설유니버설 포워더포워더 업그레이드업그레이드 전제전제 조건조건

업그레이드하기업그레이드하기 전에전에 다음다음 내용을내용을 읽으십시오읽으십시오 . 또한또한 Splunk Enterprise 설치 매뉴얼의의 Splunk Enterprise 업그레업그레이드이드 방법에서방법에서 최신최신 정보와정보와 업그레이드업그레이드 중에중에 발생할발생할 수수 있는있는 잠재적인잠재적인 문제를문제를 확인하십시오확인하십시오 .

업그레이드가 필요한지 확인

업그레이드업그레이드 전에전에 업그레이드가업그레이드가 필요한지필요한지 고려하십시오고려하십시오 . 대부분의대부분의 경우경우 포워더를포워더를 반드시반드시 업그레이드할업그레이드할 필요는필요는없습니다없습니다 . 포워더는포워더는 이후이후 인덱서인덱서 버전과버전과 항상항상 호환되므로호환되므로 , 포워더에서포워더에서 전송하는전송하는 데이터를데이터를 수신하는수신하는 인덱서를인덱서를업그레이드했다는업그레이드했다는 이유만으로이유만으로 포워더를포워더를 업그레이드할업그레이드할 필요가필요가 없습니다없습니다 .

파일 백업

업그레이드하기업그레이드하기 전에전에 설정설정 파일을파일을 백업하십시오백업하십시오 . Splunk Enterprise 관리자 매뉴얼의의 설정설정 정보정보 백업을백업을 참조하십참조하십시오시오 .

이전이전 버전으로버전으로 다운그레이드할다운그레이드할 수수 있는있는 방법은방법은 없습니다없습니다 . 이전이전 포워더포워더 릴리스로릴리스로 되돌리려면되돌리려면 업그레이드를업그레이드를 제거제거한한 후후 이전이전 릴리스를릴리스를 다시다시 설치하십시오설치하십시오 .

포워더를 자동으로 시작할 수 있는 다른 프로세스가 없는지 확인

포워더를포워더를 자동으로자동으로 시작하는시작하는 스크립트가스크립트가 없는지없는지 확인하고확인하고 , 있을있을 경우경우 일단일단 비활성화하십시오비활성화하십시오 . 업그레이드업그레이드 후후나중에나중에 다시다시 활성화할활성화할 수수 있습니다있습니다 .

업그레이드업그레이드 적용적용 방법방법

새새 포워더를포워더를 설치한설치한 후에후에 재시작해야만재시작해야만 변경변경 사항이사항이 적용됩니다적용됩니다 . 이때이때 마이그레이션마이그레이션 미리보기미리보기 유틸리티를유틸리티를 실행실행하여하여 파일을파일을 업데이트하기업데이트하기 전에전에 변경변경 사항을사항을 미리미리 볼볼 수수 있습니다있습니다 . 계속하기계속하기 전에전에 변경변경 사항을사항을 확인하기로확인하기로 하면하면제안된제안된 변경변경 사항이사항이 $SPLUNK_HOME/var/log/splunk/migration.log.<timestamp>에에 기록됩니다기록됩니다 .

단일단일 포워더포워더 업그레이드업그레이드

1. 포워더를포워더를 중지합니다중지합니다 .

$SPLUNK_HOME/bin/splunk stop

2. 유니버설유니버설 포워더포워더 패키지를패키지를 기존기존 배포배포 환경에환경에 바로바로 설치합니다설치합니다 .

.tar 파일을파일을 사용하는사용하는 경우경우 기존기존 유니버설유니버설 포워더포워더 인스턴스와인스턴스와 동일한동일한 소유권을소유권을 사용하여사용하여 동일한동일한 디렉터리디렉터리에에 압축압축 파일을파일을 풉니다풉니다 . 이이 경우경우 일치하는일치하는 파일을파일을 덮어쓰고덮어쓰고 대체하지만대체하지만 고유고유 파일은파일은 제거되지제거되지 않습니다않습니다 .RPM 같은같은 패키지패키지 관리자를관리자를 사용하는사용하는 경우경우 셸셸 프롬프트에서프롬프트에서 rpm -U <splunk_package_name>.rpm을을 입력합니다입력합니다 .Mac OS에서에서 .dmg 파일을파일을 사용하는사용하는 경우경우 해당해당 파일을파일을 두두 번번 클릭하고클릭하고 지시를지시를 따릅니다따릅니다 . 기존기존 설치와설치와 동일동일한한 설치설치 디렉터리를디렉터리를 지정하십시오지정하십시오 .init 스크립트를스크립트를 사용하는사용하는 경우경우 EULA(최종최종 사용자사용자 라이선스라이선스 계약계약 )에에 동의하도록동의하도록 다음을다음을 포함시키십시오포함시키십시오 .

./splunk start --accept-license

3. 포워더를포워더를 재시작합니다재시작합니다 .

51

$SPLUNK_HOME/bin/splunk start

포워더가포워더가 다음을다음을 표시합니다표시합니다 .

This appears to be an upgrade of Splunk.

--------------------------------------------------------------------------------

Splunk has detected an older version of Splunk installed on this machine. To

finish upgrading to the new version, Splunk's installer will automatically

update and alter your current configuration files. Deprecated configuration

files will be renamed with a .deprecated extension.

You can choose to preview the changes that will be made to your configuration

files before proceeding with the migration and upgrade:

If you want to migrate and upgrade without previewing the changes that will be

made to your existing configuration files, choose 'y'.

If you want to see what changes will be made before you proceed with the

upgrade, choose 'n'.

Perform migration and upgrade without previewing configuration changes? [y/n]

4. 마이그레이션마이그레이션 미리보기미리보기 스크립트를스크립트를 실행하여실행하여 기존기존 설정설정 파일에파일에 적용될적용될 변경변경 사항을사항을 확인할확인할 것인지것인지 아니면아니면 마마이그레이션과이그레이션과 업그레이드를업그레이드를 계속할지계속할지 선택합니다선택합니다 . 예상되는예상되는 변경변경 사항을사항을 미리미리 보기로보기로 하면하면 스크립트에스크립트에 해당해당 변변경경 사항사항 리스트가리스트가 제공됩니다제공됩니다 .

5. 변경변경 사항을사항을 검토한검토한 후후 마이그레이션마이그레이션 및및 업그레이드를업그레이드를 진행할진행할 준비가준비가 되면되면 $SPLUNK_HOME/bin/splunk start를를 다다시시 실행합니다실행합니다 .

마지막마지막 세세 단계를단계를 한한 줄로줄로 완료할완료할 수수 있습니다있습니다 .

업그레이드를업그레이드를 계속하기계속하기 전에전에 라이선스라이선스 조항에조항에 동의하고동의하고 예상되는예상되는 변경변경 사항을사항을 보려면보려면 ('n'으로으로 답변답변 ) 다음다음명령어를명령어를 사용하십시오사용하십시오 .

$SPLUNK_HOME/bin/splunk start --accept-license --answer-no

라이선스라이선스 조항에조항에 동의하고동의하고 변경변경 사항을사항을 보지보지 않은않은 상태로상태로 업그레이드를업그레이드를 시작하려면시작하려면 ('y'로로 답변답변 ) 다음다음 명령명령어를어를 사용하십시오사용하십시오 .

$SPLUNK_HOME/bin/splunk start --accept-license --answer-yes

원격원격 업그레이드업그레이드 수행수행

원격으로원격으로 업그레이드하려면업그레이드하려면 테스트테스트 컴퓨터에서컴퓨터에서 먼저먼저 업그레이드해야업그레이드해야 합니다합니다 . 그런그런 다음다음 원격원격 컴퓨터의컴퓨터의 업그레업그레이드를이드를 자동화하는자동화하는 스크립트를스크립트를 작성하십시오작성하십시오 . 정적정적 설정을설정을 통해통해 nix 유니버설유니버설 포워더포워더 원격원격 설치설치 항목에항목에 있는있는 샘샘플플 스크립트를스크립트를 사용할사용할 수수 있지만있지만 , 스크립트를스크립트를 업그레이드업그레이드 요구요구 사항에사항에 맞게맞게 수정해야수정해야 할할 수수 있습니다있습니다 .

1. 테스트테스트 컴퓨터에컴퓨터에 설치된설치된 유니버설유니버설 포워더를포워더를 단일단일 포워더포워더 업그레이드업그레이드의의 설명에설명에 따라따라 업그레이드합니다업그레이드합니다 .

2. 정적정적 설정을설정을 통해통해 nix 유니버설유니버설 포워더포워더 원격원격 설치설치의의 설명에설명에 따라따라 업그레이드업그레이드 명령어에명령어에 대한대한 스크립트스크립트 래퍼를래퍼를

만듭니다만듭니다 .

3. 대상대상 컴퓨터에서컴퓨터에서 스크립트를스크립트를 실행하여실행하여 스크립트가스크립트가 필요한필요한 모든모든 셸과셸과 함께함께 작동하는지작동하는지 확인합니다확인합니다 .

4. 스크립트를스크립트를 원하는원하는 호스트호스트 집합에집합에 대해대해 실행합니다실행합니다 .

고급고급 설정설정 수행수행

부하부하 분산분산 설정설정

부하부하 분산분산을을 사용하면사용하면 포워더에서포워더에서 데이터를데이터를 여러여러 수신수신 Splunk Enterprise 인스턴스에인스턴스에 배포합니다배포합니다 . 각각 수신기는수신기는

전체전체 데이터의데이터의 일부를일부를 수신하고수신하고 모든모든 데이터가데이터가 전체전체 수신기에수신기에 걸쳐걸쳐 저장됩니다저장됩니다 . 전달된전달된 데이터에데이터에 모두모두 액세스액세스하려면하려면 모든모든 수신기에수신기에 걸쳐걸쳐 분산분산 검색을검색을 설정해야설정해야 합니다합니다 . 분산 검색의의 "분산분산 검색검색"을을 참조하십시오참조하십시오 .

부하부하 분산을분산을 사용하면사용하면 수평수평 확장을확장을 통해통해 성능을성능을 개선할개선할 수수 있습니다있습니다 . 또한또한 부하부하 분산의분산의 자동자동 전환전환 기능은기능은 컴퓨터컴퓨터작동작동 중단중단 시시 복원력을복원력을 보장합니다보장합니다 . 호스트의호스트의 작동이작동이 중단되면중단되면 포워더에서포워더에서 데이터를데이터를 사용사용 가능한가능한 다음다음 수신기수신기로로 보내기보내기 시작합니다시작합니다 .

부하부하 분산은분산은 라우터와라우터와 같은같은 네트워크네트워크 장치에서장치에서 데이터를데이터를 가져올가져올 때도때도 유용할유용할 수수 있습니다있습니다 . syslog와와 포트포트 514에에서서 생성된생성된 기타기타 데이터를데이터를 처리하기처리하기 위해위해 단일단일 유니버설유니버설 포워더에서포워더에서 포트포트 514를를 모니터링하고모니터링하고 수신수신 데이터를데이터를 여여

52

러러 인덱서에인덱서에 배포할배포할 수수 있습니다있습니다 .

참고참고 : 외장외장 부하부하 분산분산 장치를장치를 사용하여사용하여 포워더와포워더와 수신기수신기 사이에사이에 부하부하 분산을분산을 구현하지구현하지 마십시오마십시오 . 올바로올바로 작동하작동하

지지 않습니다않습니다 . 포워더와포워더와 함께함께 제공되는제공되는 부하부하 분산분산 기능을기능을 사용하십시오사용하십시오 .

부하부하 분산분산 작동작동 방식방식

포워더는포워더는 자동자동 부하부하 분산을분산을 수행합니다수행합니다 . 포워더는포워더는 지정된지정된 시간시간 간격으로간격으로 데이터를데이터를 여러여러 인덱서로인덱서로 라우팅합니라우팅합니다다 . 예를예를 들어들어 인덱서인덱서 A, B, C로로 구성된구성된 부하부하 분산분산 그룹이그룹이 있는있는 경우경우 포워더는포워더는 지정된지정된 간격마다간격마다 데이터데이터 스트리밍스트리밍대상을대상을 임의로임의로 그룹의그룹의 다른다른 인덱서로인덱서로 전환합니다전환합니다 . 즉즉 포워더는포워더는 인덱서인덱서 B에서에서 인덱서인덱서 A 또는또는 인덱서인덱서 C로로 전환될전환될수수 있습니다있습니다 . 한한 인덱서인덱서 작동이작동이 중단되면중단되면 포워더는포워더는 즉시즉시 다른다른 인덱서로인덱서로 전환합니다전환합니다 .

포워더가포워더가 모니터링하는모니터링하는 각각 입력에입력에 스트리밍되는스트리밍되는 데이터가데이터가 있습니다있습니다 . 포워더는포워더는 데이터데이터 스트림을스트림을 다른다른 인덱서로인덱서로전환하는전환하는 것이것이 안전한지안전한지 파악한파악한 다음다음 지정된지정된 간격마다간격마다 데이터데이터 스트림을스트림을 새로새로 선택된선택된 인덱서로인덱서로 전환합니다전환합니다 . 데데이터이터 스트림을스트림을 새로운새로운 인덱서로인덱서로 안전하게안전하게 전환할전환할 수수 없는없는 경우경우 이전이전 인덱서와의인덱서와의 연결을연결을 열어두고열어두고 데이터가데이터가 안안전하게전하게 전송될전송될 때까지때까지 계속해서계속해서 데이터데이터 스트림을스트림을 보냅니다보냅니다 .

유니버설유니버설 포워더는포워더는 TCP 네트워크네트워크 데이터데이터 스트림을스트림을 모니터링할모니터링할 때때 EOF(end-of-file)가가 발생하거나발생하거나 인덱서의인덱서의 작작동이동이 중단되는중단되는 경우에만경우에만 인덱서를인덱서를 전환할전환할 수수 있습니다있습니다 . 이때이때 유니버설유니버설 포워더는포워더는 리스트의리스트의 다음다음 인덱서로인덱서로 전환전환합니다합니다 . 유니버설유니버설 포워더는포워더는 (헤비헤비 포워더와포워더와 달리달리 ) 데이터를데이터를 인덱서에인덱서에 전달하기전달하기 전에전에 데이터를데이터를 파싱하고파싱하고 이벤트이벤트경계를경계를 확인하지확인하지 않기않기 때문에때문에 EOF를를 수신하지수신하지 않는않는 한한 다음다음 인덱서로인덱서로 안전하게안전하게 전환할전환할 수수 있는있는 시기를시기를 알알 수수 없없습니다습니다 .

다음은다음은 포워더포워더 3개에서개에서 부하부하 분산분산 데이터를데이터를 두두 개의개의 수신수신 인덱서인덱서 집합으로집합으로 보내는보내는 일반적인일반적인 부하부하 분산분산 시나리오시나리오의의 그림입니다그림입니다 .

부하부하 분산분산 대상대상

대상대상 수신기수신기 집합을집합을 설정할설정할 경우경우 DNS 또는또는 고정고정 리스트를리스트를 사용할사용할 수수 있습니다있습니다 .

DNS 리스트를리스트를 사용하면사용하면 특히특히 배포배포 규모가규모가 클클 때때 보다보다 유연하고유연하고 수직수직 확장이확장이 간단합니다간단합니다 . DNS를를 통해통해 각각 포워포워더의더의 outputs.conf 파일을파일을 다시다시 편집하지편집하지 않고도않고도 수신기수신기 집합을집합을 변경할변경할 수수 있습니다있습니다 .

고정고정 리스트의리스트의 중요한중요한 장점은장점은 각각 수신기에수신기에 서로서로 다른다른 포트를포트를 지정할지정할 수수 있다는있다는 데데 있습니다있습니다 . 이이 기능은기능은 단일단일 호호스트에서스트에서 실행하는실행하는 여러여러 수신기에수신기에 걸쳐걸쳐 부하부하 분산을분산을 수행해야수행해야 할할 경우에경우에 유용합니다유용합니다 . 각각 수신기는수신기는 서로서로 다른다른 포포트에서트에서 수신을수신을 대기할대기할 수수 있습니다있습니다 .

고정 리스트 대상

대상에대상에 대한대한 고정고정 리스트를리스트를 사용하려면사용하려면 outputs.conf의의 대상대상 그룹그룹 [tcpout] 스탠자에서스탠자에서 각각 수신기를수신기를 지정하십시지정하십시

53

오오 . 이이 예에서예에서 대상대상 그룹은그룹은 IP 주소와주소와 수신기수신기 포트에서포트에서 지정된지정된 수신기수신기 3개로개로 구성됩니다구성됩니다 .

[tcpout: my_LB_indexers]

server=10.10.10.1:9997,10.10.10.2:9996,10.10.10.3:9995

유니버설유니버설 포워더는포워더는 리스트에리스트에 있는있는 수신기수신기 3개에개에 부하를부하를 분산시킵니다분산시킵니다 . 수신기수신기 하나의하나의 작동이작동이 중단되면중단되면 리스트리스트에에 있는있는 다른다른 수신기로수신기로 전환됩니다전환됩니다 .

DNS 리스트 대상

DNS 리스트를리스트를 사용하려면사용하려면 outputs.conf 파일을파일을 편집하여편집하여 대상대상 그룹의그룹의 [tcpout] 스탠자에서스탠자에서 호스트호스트 1개를개를 지정하지정하십시오십시오 . 예는예는 다음과다음과 같습니다같습니다 .


server=splunkreceiver.mycompany.com:9997

DNS 서버에서서버에서 각각 호스트호스트 IP 주소에주소에 대해대해 outputs.conf에서에서 지정한지정한 서버서버 이름을이름을 참조하여참조하여 DNS A 레코드를레코드를 만듭만듭니다니다 . 예는예는 다음과다음과 같습니다같습니다 .

splunkreceiver.mycompany.com A 10.10.10.1



포워더는포워더는 DNS 리스트를리스트를 사용하여사용하여 지정된지정된 수신기를수신기를 번갈아번갈아 전환하면서전환하면서 데이터를데이터를 정해진정해진 간격으로간격으로 전송하는전송하는 방방법으로법으로 부하를부하를 분산시킵니다분산시킵니다 . 사용할사용할 수수 없는없는 수신기가수신기가 있으면있으면 포워더에서포워더에서 해당해당 수신기를수신기를 건너뛰고건너뛰고 리스트에리스트에있는있는 다른다른 수신기로수신기로 데이터를데이터를 보냅니다보냅니다 .

토폴로지에토폴로지에 포워더가포워더가 여러여러 개인개인 경우경우 DNS 리스트리스트 방식을방식을 사용하면사용하면 outputs.conf를를 수정하지수정하지 않고않고 한한 위치의위치의 변변경경 사항만사항만 적용하여적용하여 여러여러 수신기를수신기를 업데이트할업데이트할 수수 있습니다있습니다 .

수평수평 확장을확장을 위한위한 유니버설유니버설 포워더포워더 부하부하 분산분산 설정설정

수평수평 확장을확장을 위해위해 부하부하 분산을분산을 설정하는설정하는 경우경우 특히특히 수평수평 확장확장 및및 페일오버페일오버 요구요구 사항을사항을 비롯한비롯한 여러여러 요구요구 사항을사항을먼저먼저 확인하십시오확인하십시오 . 그런그런 다음다음 해당해당 요구요구 사항을사항을 기준으로기준으로 여러여러 포워더와포워더와 수신기수신기 및및 여러여러 수신기에수신기에 걸쳐걸쳐 검색을검색을실행할실행할 검색검색 헤드로헤드로 구성될구성될 수수 있는있는 토폴로지를토폴로지를 개발합니다개발합니다 .

DNS 기반 부하 분산 설정

아래아래 절차에서는절차에서는 토폴로지에토폴로지에 유니버설유니버설 포워더포워더 3개와개와 수신기수신기 3개가개가 있다고있다고 가정합니다가정합니다 .

1. Splunk Enterprise 인스턴스인스턴스 3개를개를 설치하고설치하고 수신기로수신기로 설정합니다설정합니다 . 이이 예에서는예에서는 DNS 리스트를리스트를 사용하여사용하여 수신수신기를기를 지정하므로지정하므로 모든모든 수신기의수신기의 수신수신 대기대기 포트가포트가 동일해야동일해야 합니다합니다 . 예를예를 들어들어 포트가포트가 9997번이면번이면 각각 수신기의수신기의$SPLUNK_HOME/bin/ 위치로위치로 이동하고이동하고 다음다음 CLI 명령어를명령어를 사용하여사용하여 각각 수신기를수신기를 활성화하십시오활성화하십시오 .

./splunk enable listen 9997 -auth <username>:<password>

2. 유니버설유니버설 포워더포워더 소프트웨어소프트웨어 설치설치의의 설명에설명에 따라따라 유니버설유니버설 포워더포워더 집합을집합을 설치합니다설치합니다 .

3. 각각 수신기의수신기의 IP 주소에주소에 대해대해 A 레코드가레코드가 있는있는 DNS 리스트를리스트를 설정합니다설정합니다 .




4. 모든모든 포워더에서포워더에서 사용할사용할 outputs.conf 파일을파일을 1개개 만듭니다만듭니다 . 다음다음 파일은파일은 DNS 리스트에서리스트에서 사용되는사용되는 DNS 서버서버이름과이름과 수신기의수신기의 수신수신 대기대기 포트를포트를 지정합니다지정합니다 .

[tcpout]

defaultGroup=my_LB_indexers


disabled=false

autoLBFrequency=40

server=splunkreceiver.mycompany.com:9997

54

이이 outputs.conf 파일에서는파일에서는 autoLBFrequency 속성을속성을 사용하여사용하여 부하부하 분산분산 간격을간격을 40초로초로 설정합니다설정합니다 . 각각 포워더에포워더에서는서는 40초마다초마다 수신기를수신기를 다른다른 수신기로수신기로 전환합니다전환합니다 . 기본기본 간격은간격은 30초로초로 , 변경할변경할 필요가필요가 거의거의 없습니다없습니다 .

5. outputs.conf 파일을파일을 모든모든 포워더에포워더에 배포합니다배포합니다 . 배포배포 서버서버를를 사용하여사용하여 배포배포 작업을작업을 처리할처리할 수수 있습니다있습니다 .

CLI를를 통해통해 부하부하 분산분산 지정지정

CLI를를 사용하여사용하여 부하부하 분산을분산을 지정할지정할 수도수도 있습니다있습니다 . 여러여러 수신기에수신기에 전달전달 작업을작업을 시작할시작할 때때 이이 작업을작업을 수행하십수행하십시오시오 .

./splunk add forward-server <host>:<port> -method autobalance

여기서여기서 <host>:<port>는는 수신기의수신기의 호스트호스트 및및 수신기수신기 포트입니다포트입니다 .

다음은다음은 수신기수신기 4개로개로 구성된구성된 부하부하 분산분산 그룹을그룹을 만드는만드는 예입니다예입니다 .

./splunk add forward-server indexer1:9997 -method autobalance




SOCKS 프록시를프록시를 사용하도록사용하도록 포워더포워더 설정설정

데이터를데이터를 프록시프록시 서버서버 뒤에뒤에 있는있는 인덱서로인덱서로 전달하기전달하기 위해위해 SOCKS5(Socket Secure version 5) 프록시프록시 서버를서버를 대대상으로상으로 하는하는 포워더를포워더를 설정할설정할 수수 있습니다있습니다 .

기본적으로기본적으로 Splunk Enterprise 포워더는포워더는 수신수신 인덱서에인덱서에 네트워크를네트워크를 통해통해 직접직접 연결해야연결해야 할할 것을것을 요구합니다요구합니다 . 방방화벽이화벽이 포워더와포워더와 인덱서의인덱서의 연결을연결을 차단하면차단하면 포워더에서포워더에서 인덱서로인덱서로 데이터를데이터를 전송할전송할 수수 없습니다없습니다 .

포워더의포워더의 outputs.conf 설정설정 파일에파일에 있는있는 스탠자에스탠자에 속성을속성을 지정하여지정하여 SOCKS5 프록시프록시 호스트를호스트를 사용해사용해 데이터를데이터를인덱서로인덱서로 보내도록보내도록 포워더를포워더를 설정할설정할 수수 있습니다있습니다 . 포워더를포워더를 설정한설정한 후후 재시작하면재시작하면 포워더가포워더가 SOCKS5 프록시프록시호스트에호스트에 연결하며연결하며 , 자격자격 증명을증명을 제공할제공할 경우경우 서버를서버를 즉시즉시 인증합니다인증합니다 (선택선택 사항사항 ). 프록시프록시 호스트에서호스트에서 인덱서인덱서연결을연결을 설정하고설정하고 , 포워더에서포워더에서 프록시프록시 연결을연결을 통해통해 데이터를데이터를 보내기보내기 시작합니다시작합니다 .

모든모든 유형의유형의 Splunk Enterprise 포워더에서포워더에서 SOCKS5 프록시프록시 호스트를호스트를 통해통해 데이터를데이터를 보낼보낼 수수 있습니다있습니다 .

이이 SOCKS5 클라이언트클라이언트 구현은구현은 IETF(인터넷인터넷 엔지니어링엔지니어링 태스크태스크 포스포스 ) RFC(의견의견 요청요청 ) 메모메모 1928번을번을 준수합니준수합니다다 . IETF 웹웹 사이트에서사이트에서 "Network Working Group(네트워크네트워크 작업작업 그룹그룹 ): Request for Comments(의견의견 요청요청 ):1928"(http://www.ietf.org/rfc/rfc1928.txt)를를 참조하십시오참조하십시오 .

보안보안 고려고려 사항사항

유니버설유니버설 포워더에포워더에 SOCKS5 프록시프록시 기능을기능을 사용하는사용하는 경우경우 다음다음 보안보안 관련관련 사항을사항을 고려하십시오고려하십시오 .

SOCKS5 프록시는프록시는 포워더와포워더와 인덱서인덱서 사이에서만사이에서만 지원됩니다지원됩니다 . 다른다른 Splunk Enterprise 기능기능 , 앱앱 또는또는 추가추가 기기능과능과 함께함께 SOCKS를를 사용할사용할 수수 없습니다없습니다 .SOCKS5 프로토콜에서는프로토콜에서는 인증인증 자격자격 증명을증명을 일반일반 텍스트텍스트 형식으로형식으로 보냅니다보냅니다 . 이러한이러한 구현구현 방식으로방식으로 인해인해해당해당 자격자격 증명은증명은 중간자중간자 (man-in-the-middle) 공격에공격에 취약합니다취약합니다 . 따라서따라서 공격자는공격자는 SOCKS 클라이언트와클라이언트와SOCKS 프록시프록시 호스트호스트 간간 통신을통신을 몰래몰래 릴레이하고릴레이하고 변경할변경할 수수 있습니다있습니다 . 이이 문제는문제는 이이 Splunk Enterprise 기기능의능의 구현구현 방식이방식이 아닌아닌 SOCKS 프로토콜의프로토콜의 단점입니다단점입니다 .가장가장 안전한안전한 결과를결과를 얻으려면얻으려면 SOCKS 프록시프록시 호스트가호스트가 보호하는보호하는 네트워크네트워크 안에안에 있는있는 포워더에만포워더에만 SOCKS속성을속성을 사용하십시오사용하십시오 . 포워더를포워더를 비보호비보호 환경에환경에 배포하면배포하면 포워더에서포워더에서 SOCKS 프록시프록시 지원을지원을 활성화해도활성화해도제제3자가자가 SOCKS 자격자격 증명을증명을 가로챌가로챌 수수 있습니다있습니다 .

설정설정 파일을파일을 사용하여사용하여 SOCKS5 프록시프록시 연결연결 설정설정

SOCKS5 프록시프록시 연결을연결을 설정하려면설정하려면 outputs.conf의의 스탠자를스탠자를 편집하고편집하고 특정특정 속성을속성을 지정하여지정하여 프록시를프록시를 활성화활성화하십시오하십시오 . 유효한유효한 프록시프록시 속성의속성의 리스트는리스트는 프록시프록시 설정설정 값값을을 참조하십시오참조하십시오 . Splunk Web에서는에서는 프록시프록시 서버를서버를설정할설정할 수수 없습니다없습니다 .

1. $SPLUNK_HOME/etc/system/local/outputs.conf를를 열어서열어서 편집합니다편집합니다 .

2. outputs.conf에에 [tcpout] 또는또는 [tcpout-server] 스탠자를스탠자를 만들어서만들어서 전달전달 서버서버 또는또는 출력출력 그룹을그룹을 정의합니다정의합니다 .

3. SOCKS5 프록시를프록시를 지원해야지원해야 하는하는 연결의연결의 스탠자에서스탠자에서 프록시프록시 설정에설정에 맞는맞는 SOCKS 속성을속성을 추가합니다추가합니다 . 프록프록시시 지원을지원을 활성화하려면활성화하려면 최소한최소한 socksServer 속성을속성을 지정하십시오지정하십시오 .

4. 파일을파일을 저장하고저장하고 닫습니다닫습니다 .

55


6. 수신수신 인덱서에서인덱서에서 검색검색 및및 보고보고 앱을앱을 사용해사용해 인덱서에서인덱서에서 데이터를데이터를 수신했는지수신했는지 확인합니다확인합니다 .

프록시프록시 설정설정 값값

포워더에서포워더에서 SOCKS5를를 설정하려면설정하려면 다음다음 속성을속성을 사용하십시오사용하십시오 .

속성속성 설명설명 기본기본

값값

socksServer 데이터를데이터를 전달하기전달하기 위해위해 연결할연결할 SOCKS5 프록시의프록시의 호스트호스트 이름이름 또는또는 IP 주소와주소와 포트를포트를지정합니다지정합니다 .

host:port 또는또는 IP address:port 중중 하나를하나를 지정합니다지정합니다 . 호스트호스트 이름이름 또는또는 IP 주소와주소와 포트를포트를모두모두 지정할지정할 수도수도 있습니다있습니다 . SOCKS5 지원을지원을 활성화하려면활성화하려면 이이 속성을속성을 지정해야지정해야 합니합니다다 .

해당해당없음없음

socksUsername (선택선택 사항사항 ) 연결연결 단계단계 중에중에 인증이인증이 요구되는요구되는 경우경우 SOCKS5 프록시프록시 호스트호스트 인증을인증을 위한위한사용자사용자 이름을이름을 지정합니다지정합니다 .


socksPassword (선택선택 사항사항 ) 연결연결 단계단계 중에중에 인증을인증을 요구하는요구하는 SOCKS5 프록시프록시 호스트의호스트의 인증을인증을 받을받을 때때암호를암호를 지정합니다지정합니다 .

포워더는포워더는 스탠자와스탠자와 연결된연결된 설정을설정을 로드할로드할 때때 이이 암호를암호를 난독난독 처리합니다처리합니다 .


socksResolveDNS (선택선택 사항사항 ) 포워더에서포워더에서 출력출력 그룹에그룹에 속한속한 인덱서의인덱서의 호스트호스트 이름을이름을 SOCKS5 프록시프록시 호호스트에스트에 전달하기전달하기 전에전에 DNS를를 사용하여사용하여 확인해야확인해야 하는지하는지 지정합니다지정합니다 .

이이 속성을속성을 true로로 설정하면설정하면 포워더에서포워더에서 인덱서의인덱서의 이름을이름을 그대로그대로 SOCKS5 프록시프록시 호스호스트로트로 전송하고전송하고 , 그러면그러면 SOCKS5 프록시프록시 호스트에서호스트에서 인덱서인덱서 호스트호스트 이름을이름을 DNS를를 통해통해확인해야확인해야 합니다합니다 . 예를예를 들어들어 포워더와포워더와 프록시프록시 서버가서버가 서로서로 다른다른 DNS 서버를서버를 사용하는사용하는서로서로 다른다른 네트워크에네트워크에 있는있는 경우경우 true로로 설정하십시오설정하십시오 .

false로로 설정하면설정하면 포워더에서포워더에서 DNS 자체를자체를 통해통해 인덱서인덱서 호스트호스트 이름을이름을 확인하려고확인하려고 하하며며 , 성공적으로성공적으로 이름을이름을 확인할확인할 경우경우 인덱서의인덱서의 확인된확인된 IP 주소를주소를 SOCKS5 프록시프록시 호스트호스트로로 전송합니다전송합니다 .

이이 속성은속성은 [tcpout] 또는또는 [tcpout-server] 스탠자에서스탠자에서 인덱서의인덱서의 호스트호스트 이름을이름을 지정하는지정하는경우에만경우에만 적용됩니다적용됩니다 . IP 주소를주소를 지정하면지정하면 DNS 확인이확인이 수행되지수행되지 않습니다않습니다 .

false

SOCKS5 지원지원 예제예제

다음은다음은 SOCKS5 프록시프록시 지원이지원이 활성화된활성화된 outputs.conf 스탠자의스탠자의 몇몇 가지가지 예입니다예입니다 .

이이 예에서는예에서는 호스트호스트 뒤에뒤에 있는있는 인덱서로인덱서로 데이터를데이터를 전달하는전달하는 SOCKS5 프록시프록시 호스트와호스트와 연결을연결을 설정합니다설정합니다 .

[tcpout]

defaultGroup = proxy_indexers

[tcpout:proxy_indexers]

server = indexer1.slapstick.com:9997, indexer2.slapstick.com:9997

socksServer = prx.slapstick.com:1080

이이 예에서는예에서는 데이터데이터 전송을전송을 시도하기시도하기 전에전에 자격자격 증명을증명을 사용하여사용하여 프록시프록시 호스트의호스트의 인증을인증을 받고받고 , 프록시프록시 호스트호스트에에 DNS를를 확인하여확인하여 데이터를데이터를 전송하기전송하기 위해위해 연결할연결할 인덱서를인덱서를 지정하는지정하는 방법을방법을 설명합니다설명합니다 .

[tcpout]

defaultGroup = socksCredentials

[tcpout:socksCredentials]

server = indexer3.slapstick.com:9997

socksServer = prx.slapstick.com:1081

socksUsername = proxysrv

socksPassword = letmein

socksResolveDNS = true

56

중간중간 포워더포워더 설정설정

중간중간 전달이란전달이란 포워더가포워더가 하나하나 이상의이상의 포워더에서포워더에서 전송된전송된 데이터를데이터를 수신한수신한 후후 해당해당 데이터를데이터를 다른다른 인덱서로인덱서로 보보내는내는 경우를경우를 말합니다말합니다 . 이런이런 유형의유형의 설정은설정은 예를예를 들어들어 여러여러 호스트가호스트가 서로서로 다른다른 지역에지역에 있고있고 이들이들 포워더에서포워더에서 해해당당 지역의지역의 중앙중앙 호스트로호스트로 데이터를데이터를 전송한전송한 후후 데이터를데이터를 인덱서로인덱서로 전달하려는전달하려는 경우에경우에 유용합니다유용합니다 . 모든모든 유형의유형의포워더를포워더를 중간중간 포워더로포워더로 사용할사용할 수수 있습니다있습니다 .

중간중간 전달전달 설정설정

중간 전달 층 설정

1. 유니버설유니버설 포워더를포워더를 설치합니다설치합니다 . 유니버설유니버설 포워더를포워더를 Windows에에 설치하는설치하는 경우경우 , 설치설치 프로세스프로세스 도중에도중에 포워더포워더

에서에서 보낸보낸 데이터를데이터를 수신할수신할 인덱서를인덱서를 지정할지정할 수수 있습니다있습니다 .

2. 수신수신 인덱서로인덱서로 데이터를데이터를 전송하도록전송하도록 포워더를포워더를 설정합니다설정합니다 .

3. inputs.conf를를 편집하여편집하여 포워더가포워더가 데이터를데이터를 수신하도록수신하도록 설정합니다설정합니다 .

4. (선택선택 사항사항 ) inputs.conf를를 편집하여편집하여 포워더의포워더의 로컬로컬 데이터데이터 입력을입력을 설정합니다설정합니다 .


위위 단계를단계를 반복하여반복하여 더더 많은많은 포워더를포워더를 중간중간 전달전달 층에층에 추가할추가할 수수 있습니다있습니다 .

중간 전달 층을 사용하도록 포워더 설정

1. 유니버설유니버설 포워더를포워더를 설치합니다설치합니다 .

2. 중간중간 포워더로포워더로 데이터를데이터를 보내도록보내도록 포워더를포워더를 설정설정합니다합니다 . 이이 경우경우 중간중간 포워더가포워더가 수신기입니다수신기입니다 .

3. 포워더에서포워더에서 로컬로컬 데이터데이터 입력을입력을 설정설정합니다합니다 .


설정 테스트

1. 수신수신 인덱서에서인덱서에서 Splunk Enterprise에에 로그인합니다로그인합니다 .

2. 검색검색 및및 보고보고 앱을앱을 엽니다엽니다 .

3. 중간중간 포워더로포워더로 데이터를데이터를 전송하도록전송하도록 설정한설정한 호스트호스트 중중 하나에하나에 대한대한 참조를참조를 포함하는포함하는 검색을검색을 실행합니다실행합니다 .

host=<name or ip address of forwarder> index=_internal

이벤트가이벤트가 보이지보이지 않으면않으면 호스트가호스트가 올바로올바로 설정되지설정되지 않았음을않았음을 의미합니다의미합니다 . 가능한가능한 해결해결 방법은방법은 유니버설유니버설 포워더포워더문제문제 해결해결을을 참조하십시오참조하십시오 .

여러여러 파이프라인파이프라인 집합을집합을 처리하도록처리하도록 포워더포워더 설정설정

여러여러 처리처리 파이프라인을파이프라인을 사용하도록사용하도록 포워더를포워더를 설정하여설정하여 전달전달 처리량을처리량을 늘릴늘릴 수수 있습니다있습니다 .

전달전달 파이프라인파이프라인

여러여러 파이프라인파이프라인 집합을집합을 처리하도록처리하도록 유니버설유니버설 포워더를포워더를 설정할설정할 수수 있습니다있습니다 . 파이프라인파이프라인 집합이란집합이란 데이터데이터 파이파이프라인의프라인의 이벤트이벤트 처리처리 부분에부분에 해당하는해당하는 인스턴스입니다인스턴스입니다 . 파이프라인파이프라인 집합이집합이 여러여러 개인개인 유니버설유니버설 포워더는포워더는 여러여러이벤트를이벤트를 한꺼번에한꺼번에 처리할처리할 수수 있으므로있으므로 포워더포워더 처리량이처리량이 증가하고증가하고 이벤트가이벤트가 인덱서에인덱서에 더더 빨리빨리 전달됩니다전달됩니다 . 인인덱서와덱서와 포워더가포워더가 모두모두 여러여러 스트림을스트림을 처리하기처리하기 위해위해 사용하는사용하는 기능을기능을 인덱스인덱스 병렬병렬 처리처리라고라고 합니다합니다 .

포워더가포워더가 데이터데이터 스트림을스트림을 한한 번에번에 2개개 이상이상 보낼보낼 수수 있다는있다는 사실을사실을 제외하고제외하고 , 인덱서는인덱서는 병렬병렬 처리가처리가 활성화된활성화된포워더를포워더를 다른다른 포워더와포워더와 똑같이똑같이 인식합니다인식합니다 . 또한또한 인덱서는인덱서는 병렬병렬 처리가처리가 활성화된활성화된 포워더의포워더의 데이터데이터 스트림을스트림을데이터데이터 스트림이스트림이 하나인하나인 포워더와포워더와 동일한동일한 방법으로방법으로 처리합니다처리합니다 .

파이프라인파이프라인 수를수를 마음대로마음대로 늘릴늘릴 수수 있지만있지만 , Splunk 프로페셔널프로페셔널 서비스의서비스의 지침을지침을 받는받는 경우를경우를 제외하고제외하고 3개개 이상이상으로으로 늘리지늘리지 않아야않아야 합니다합니다 .

포워더에서포워더에서 여러여러 파이프라인파이프라인 집합을집합을 활성화하면활성화하면 처리량처리량 관련관련 설정이설정이 포워더포워더 자체에자체에 적용되지적용되지 않고않고 포워더의포워더의 각각파이프라인파이프라인 집합에집합에 적용됩니다적용됩니다 . 예를예를 들어들어 포워더에포워더에 활성화된활성화된 파이프라인파이프라인 집합이집합이 두두 개개 있을있을 경우경우 , 각각 파이프라파이프라인의인의 최대최대 네트워크네트워크 처리량처리량 기본값이기본값이 256Kbps이므로이므로 포워더에포워더에 대해서는대해서는 총총 512Kbps가가 됩니다됩니다 .

57

포워더에서포워더에서 병렬병렬 처리를처리를 사용하여사용하여 더더 많은많은 데이터를데이터를 처리하는처리하는 방법에방법에 대한대한 자세한자세한 내용은내용은 Splunk Enterprise 인덱서 및 인덱서 클러스터 관리 매뉴얼의매뉴얼의 포워더와포워더와 여러여러 파이프라인파이프라인 집합을집합을 참조하십시오참조하십시오 .

여러여러 파이프라인파이프라인 집합을집합을 사용하도록사용하도록 유니버설유니버설 포워더포워더 설정설정

1. 유니버설유니버설 포워더의포워더의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 로컬로컬 설정설정 디렉터리로디렉터리로 전환합니다전환합니다 .

Unix Windows


2. 이이 디렉터리에디렉터리에 server.conf 파일을파일을 만듭니다만듭니다 .

3. server.conf 파일을파일을 열어서열어서 편집합니다편집합니다 .

4. 다음다음 스탠자를스탠자를 추가하여추가하여 병렬병렬 처리를처리를 활성화합니다활성화합니다 .

[general]

parallelIngestionPipelines = 2



인덱서인덱서 클러스터에클러스터에 전달전달 설정설정

유니버설유니버설 포워더에서포워더에서 인덱서인덱서 클러스터를클러스터를 구성하는구성하는 인덱서로인덱서로 데이터를데이터를 보낼보낼 수수 있습니다있습니다 .

포워더를포워더를 인덱서인덱서 클러스터와클러스터와 함께함께 사용하는사용하는 이유는이유는 다음과다음과 같습니다같습니다 .

모든모든 수신수신 데이터가데이터가 인덱싱되는지인덱싱되는지 확인확인 . 포워더의포워더의 선택적선택적 인덱서인덱서 수신확인수신확인 기능을기능을 활성화하여활성화하여 모든모든 수신수신데이터가데이터가 인덱싱되고인덱싱되고 클러스터에클러스터에 저장되는지저장되는지 확인할확인할 수수 있습니다있습니다 . 인덱서 및 인덱서 클러스터 관리에서에서 인인덱서덱서 수신확인수신확인 기능기능 작동작동 방식을방식을 참조하십시오참조하십시오 .

잠재적인잠재적인 노드노드 장애장애 처리처리 . 부하부하 분산분산 포워더포워더 사용사용 시에시에 그룹을그룹을 구성하는구성하는 피어피어 중중 하나가하나가 작동이작동이 중단될중단될 경경우우 포워더는포워더는 그룹의그룹의 나머지나머지 피어로피어로 데이터를데이터를 계속계속 보냅니다보냅니다 . 인덱서 및 인덱서 클러스터 관리에서에서 부하부하 분분산산 작동작동 방식을방식을 참조하십시오참조하십시오 .

데이터데이터 원본을원본을 피어피어 노드에노드에 연결하는연결하는 프로세스를프로세스를 단순화단순화 . 포워더에서는포워더에서는 인덱서인덱서 검색을검색을 활성화하여활성화하여 나중나중에에 클러스터에클러스터에 추가되는추가되는 피어피어 노드를노드를 포함한포함한 모든모든 사용사용 가능한가능한 피어피어 노드로노드로 부하를부하를 자동자동 분산시킵니다분산시킵니다 . 인덱서 및 인덱서 클러스터 관리에서에서 인덱서인덱서 검색검색 방법의방법의 장점을장점을 참조하십시오참조하십시오 .

인덱서인덱서 클러스터와클러스터와 상호상호 작용하도록작용하도록 포워더포워더 설정설정

포워더를포워더를 사용하여사용하여 클러스터로클러스터로 데이터를데이터를 가져오려면가져오려면 다음과다음과 같은같은 두두 가지가지 유형의유형의 설정을설정을 수행해야수행해야 합니다합니다 .

포워더를포워더를 피어피어 노드에노드에 연결합니다연결합니다 .포워더의포워더의 데이터데이터 입력을입력을 설정합니다설정합니다 .

계속하기계속하기 전에전에 포워더와포워더와 포워더를포워더를 사용하여사용하여 Splunk Enterprise로로 데이터를데이터를 가져오는가져오는 방법을방법을 숙지해야숙지해야 합니다합니다 .포워더에포워더에 대한대한 소개는소개는 전달전달 및및 수신수신을을 참조하십시오참조하십시오 .

포워더를포워더를 피어피어 노드에노드에 연결연결

다음다음 두두 가지가지 방법으로방법으로 포워더를포워더를 피어피어 노드에노드에 연결할연결할 수수 있습니다있습니다 .

인덱서인덱서 검색검색 기능기능 사용사용 . 인덱서인덱서 검색검색을을 사용할사용할 경우경우 각각 포워더는포워더는 클러스터의클러스터의 모든모든 피어피어 노드노드 리스트를리스트를 마마스터스터 노드에노드에 쿼리합니다쿼리합니다 . 그런그런 다음다음 부하부하 분산을분산을 사용하여사용하여 데이터를데이터를 여러여러 피어피어 노드에노드에 전달합니다전달합니다 . 멀티멀티사이트사이트 클러스터의클러스터의 경우경우 포워더는포워더는 선택적으로선택적으로 싱글싱글 사이트의사이트의 모든모든 피어피어 리스트를리스트를 마스터에마스터에 쿼리할쿼리할 수수 있있습니다습니다 . 인덱스인덱스 검색검색 사용사용 절차에절차에 대해서는대해서는 인덱서인덱서 검색을검색을 사용하여사용하여 포워더와포워더와 피어피어 노드노드 연결을연결을 참조하십참조하십시오시오 .

포워더를포워더를 피어피어 노드에노드에 직접직접 연결연결 . 이이 방법은방법은 이전부터이전부터 포워더포워더 /인덱서인덱서 연결연결 설정설정 시시 사용한사용한 방법입니다방법입니다 . 이이방법에서는방법에서는 포워더에서포워더에서 직접직접 피어피어 노드를노드를 수신기수신기로로 지정합니다지정합니다 . 인덱서 및 인덱서 클러스터 관리에서에서 포워포워더를더를 피어피어 노드에노드에 직접직접 연결을연결을 참조하십시오참조하십시오 .

인덱서인덱서 검색검색 방법의방법의 장점장점

58

인덱서인덱서 검색은검색은 기존기존 방법에방법에 비해비해 다음과다음과 같은같은 장점이장점이 있습니다있습니다 .

새새 피어피어 노드가노드가 클러스터에클러스터에 추가될추가될 때때 새새 피어를피어를 연결하기연결하기 위해위해 포워더를포워더를 재설정하고재설정하고 재시작하지재시작하지 않아도않아도됩니다됩니다 . 포워더는포워더는 업데이트된업데이트된 피어피어 리스트를리스트를 마스터에서마스터에서 자동으로자동으로 가져옵니다가져옵니다 . 그리고그리고 부하부하 분산을분산을 사용사용하여하여 리스트에리스트에 있는있는 모든모든 피어에피어에 업데이트를업데이트를 전달합니다전달합니다 .

최신최신 클러스터클러스터 피어피어 집합을집합을 확인하지확인하지 않고않고 새새 포워더를포워더를 추가할추가할 수수 있습니다있습니다 . 새새 포워더에서포워더에서 인덱서인덱서 검색을검색을설정하기만설정하기만 하면하면 됩니다됩니다 .

데이터를데이터를 피어피어 집합에집합에 전달하는전달하는 경우경우 가중가중 부하부하 분산분산을을 사용할사용할 수수 있습니다있습니다 . 인덱서인덱서 검색을검색을 사용할사용할 경우경우마스터가마스터가 각각 피어의피어의 총총 디스크디스크 공간을공간을 추적하고추적하고 이이 정보를정보를 포워더에포워더에 알릴알릴 수수 있습니다있습니다 . 그러면그러면 포워더가포워더가디스크디스크 용량에용량에 따라따라 각각 피어로피어로 보내는보내는 데이터의데이터의 양을양을 조정합니다조정합니다 .

각각 포워더포워더 데이터데이터 입력입력 설정설정

포워더와포워더와 수신수신 피어의피어의 연결을연결을 원하는원하는 방법으로방법으로 지정한지정한 후에는후에는 각각 포워더의포워더의 데이터데이터 입력을입력을 지정해야지정해야 합니다합니다 . 이이렇게렇게 하면하면 포워더가포워더가 클러스터에클러스터에 보낼보낼 데이터를데이터를 가질가질 수수 있습니다있습니다 . 이이 작업은작업은 일반적으로일반적으로 각각 포워더에서포워더에서inputs.conf를를 편집하여편집하여 수행합니다수행합니다 .

데이터데이터 입력입력 설정에설정에 대한대한 자세한자세한 내용은내용은 데이터 가져오기 매뉴얼의매뉴얼의 Splunk에서에서 인덱싱할인덱싱할 수수 있는있는 대상을대상을 참조하참조하십시오십시오 . 해당해당 매뉴얼의매뉴얼의 포워더포워더 사용사용 항목에서는항목에서는 포워더의포워더의 데이터데이터 입력입력 정보정보 지정에지정에 대해대해 소개합니다소개합니다 .

인덱서인덱서 수신확인수신확인 기능기능 작동작동 방식방식

전체적인전체적인 데이터데이터 충실도를충실도를 보장하려면보장하려면 클러스터로클러스터로 데이터를데이터를 보내는보내는 각각 포워더에포워더에 인덱서인덱서 수신확인수신확인 기능이기능이 명시명시적으로적으로 활성화되어활성화되어 있어야있어야 합니다합니다 .

인덱서인덱서 수신확인수신확인 기능이기능이 작동하는작동하는 방식은방식은 다음과다음과 같습니다같습니다 . 포워더는포워더는 약약 64kB의의 블록블록 단위로단위로 수신수신 피어에피어에 연속연속적으로적으로 데이터를데이터를 보냅니다보냅니다 . 그리고그리고 피어로부터피어로부터 수신확인을수신확인을 받을받을 때까지때까지 메모리의메모리의 각각 블록에블록에 대한대한 복사본을복사본을 유유지지 관리합니다관리합니다 . 포워더는포워더는 대기하는대기하는 동안동안 더더 많은많은 데이터데이터 블록을블록을 계속계속 보냅니다보냅니다 .

정상적인정상적인 경우경우 수신수신 피어는피어는 다음과다음과 같이같이 작업을작업을 수행합니다수행합니다 .

데이터데이터 블록을블록을 수신하고수신하고 파싱파싱 및및 인덱싱하여인덱싱하여 데이터데이터 (원시원시 데이터와데이터와 인덱스인덱스 데이터데이터 )를를 파일파일 시스템에시스템에 기록기록합니다합니다 .원시원시 데이터의데이터의 복사본을복사본을 각각 대상대상 피어로피어로 스트리밍합니다스트리밍합니다 .수신확인을수신확인을 포워더에포워더에 회신합니다회신합니다 .

수신확인을수신확인을 통해통해 포워더는포워더는 데이터가데이터가 클러스터에클러스터에 성공적으로성공적으로 작성되었는지작성되었는지 알알 수수 있습니다있습니다 . 수신확인을수신확인을 받으면받으면즉시즉시 포워더는포워더는 메모리에서메모리에서 해당해당 블록을블록을 해제합니다해제합니다 .

포워더가포워더가 수신확인을수신확인을 수신하지수신하지 않으면않으면 오류가오류가 발생한발생한 것입니다것입니다 . 수신수신 피어의피어의 작동이작동이 중단되었거나중단되었거나 피어가피어가 대상대상피어피어 집합에집합에 접속할접속할 수수 없습니다없습니다 . 이이 경우경우 포워더가포워더가 데이터데이터 블록을블록을 자동으로자동으로 재전송합니다재전송합니다 . 포워더에서포워더에서 부하부하 분분산을산을 사용하는사용하는 경우경우 부하부하 분산된분산된 그룹의그룹의 다른다른 수신수신 노드로노드로 데이터데이터 블록을블록을 보내지만보내지만 , 포워더에포워더에 부하부하 분산이분산이 설정설정되어되어 있지있지 않으면않으면 동일한동일한 노드로노드로 데이터데이터 재전송을재전송을 시도합니다시도합니다 .

인덱서인덱서 수신확인수신확인 기능의기능의 작동작동 방식에방식에 대한대한 자세한자세한 내용은내용은 이이 매뉴얼의매뉴얼의 실행실행 중인중인 데이터의데이터의 손실손실 방지를방지를 참조하참조하십시오십시오 .

부하부하 분산분산 작동작동 방식방식

부하부하 분산이분산이 설정되어설정되어 있으면있으면 포워더는포워더는 여러여러 수신수신 피어피어 노드에노드에 수신수신 데이터를데이터를 배포합니다배포합니다 . 각각 노드는노드는 총총 데이터데이터의의 일부를일부를 가져오고가져오고 , 수신수신 노드는노드는 모든모든 데이터를데이터를 가져옵니다가져옵니다 .

Splunk 포워더는포워더는 자동자동 부하부하 분산을분산을 수행합니다수행합니다 . 포워더는포워더는 지정된지정된 시간시간 간격을간격을 기준으로기준으로 다른다른 노드에노드에 데이터를데이터를라우팅합니다라우팅합니다 . 예를예를 들어들어 A, B, C라는라는 세세 개의개의 피어피어 노드로노드로 구성된구성된 부하부하 분산분산 그룹이그룹이 있다고있다고 가정해가정해 보십시오보십시오 .autoLBFrequency의의 outputs.conf 속성에속성에 의해의해 지정된지정된 간격간격 (기본값기본값 30초초 )마다마다 포워더는포워더는 데이터데이터 스트림을스트림을 임의로임의로 선선택된택된 그룹그룹 내내 또또 다른다른 노드로노드로 전환합니다전환합니다 . 따라서따라서 30초마다초마다 포워더는포워더는 노드노드 B에서에서 노드노드 A로로 전환하고전환하고 다시다시 노드노드C로로 전환하는전환하는 등등 계속계속 다른다른 노드로노드로 전환할전환할 수수 있습니다있습니다 . 한한 노드에노드에 문제가문제가 생기면생기면 포워더는포워더는 즉시즉시 다른다른 노드로노드로 전전환합니다환합니다 .

더더 자세히자세히 설명하면설명하면 , 포워더의포워더의 각각 입력입력 정보에는정보에는 자체적인자체적인 데이터데이터 스트림이스트림이 있습니다있습니다 . 포워더는포워더는 지정된지정된 간격으간격으로로 데이터데이터 스트림을스트림을 새로새로 선택된선택된 노드로노드로 전환할전환할 수수 있습니다있습니다 (안전한안전한 경우경우 ). 데이터데이터 스트림을스트림을 새로운새로운 노드로노드로 안안전하게전하게 전환할전환할 수수 없는없는 경우경우 이전이전 노드와의노드와의 연결을연결을 열어두고열어두고 데이터가데이터가 안전하게안전하게 전송될전송될 때까지때까지 계속해서계속해서 해당해당노드로노드로 데이터데이터 스트림을스트림을 보냅니다보냅니다 .

부하부하 분산은분산은 인덱서인덱서 수신확인수신확인 기능과기능과 함께함께 노드노드 장애장애 시시 데이터가데이터가 손실되지손실되지 않도록않도록 하는하는 데데 도움이도움이 되므로되므로 클러클러스터된스터된 배포배포 환경에서환경에서 매우매우 중요합니다중요합니다 . 포워더는포워더는 데이터를데이터를 보낸보낸 대상대상 노드로부터노드로부터 인덱서인덱서 수신확인을수신확인을 받지받지 못못하는하는 경우경우 부하부하 분산된분산된 그룹에서그룹에서 사용사용 가능한가능한 다음다음 노드로노드로 데이터를데이터를 다시다시 보냅니다보냅니다 .

인덱서인덱서 검색검색 기능을기능을 사용하는사용하는 포워더에서는포워더에서는 항상항상 부하부하 분산을분산을 사용하여사용하여 데이터를데이터를 여러여러 피어피어 노드로노드로 보냅니다보냅니다 .

59

포워더가포워더가 각각 피어의피어의 디스크디스크 용량을용량을 기준으로기준으로 데이터를데이터를 배포함을배포함을 의미하는의미하는 가중가중 부하부하 분산을분산을 활성화할활성화할 수수 있습있습니다니다 . 예를예를 들어들어 디스크디스크 용량이용량이 400GB인인 피어는피어는 디스크디스크 용량이용량이 200GB인인 피어보다피어보다 데이터를데이터를 2배배 더더 많이많이 수신수신합니다합니다 . 인덱서 및 인덱서 클러스터 관리에서에서 가중가중 부하부하 분산분산 사용을사용을 참조하십시오참조하십시오 .

자세한자세한 내용내용 :

인덱서인덱서 검색을검색을 사용한사용한 부하부하 분산에분산에 대해서는대해서는 인덱서 및 인덱서 클러스터 관리에서에서 인덱서인덱서 검색을검색을 사용하여사용하여포워더와포워더와 피어피어 노드노드 연결을연결을 참조하십시오참조하십시오 .인덱서인덱서 검색을검색을 사용하지사용하지 않는않는 부하부하 분산에분산에 대해서는대해서는 부하부하 분산분산 설정설정을을 참조하십시오참조하십시오 .부하부하 분산을분산을 인덱서인덱서 수신확인수신확인 기능과기능과 함께함께 사용하는사용하는 방법은방법은 실행실행 중인중인 데이터의데이터의 손실손실 방지방지를를 참조하십시참조하십시오오 .

포워더포워더 액세스액세스 제어제어

토큰을토큰을 사용하여사용하여 포워더가포워더가 수신수신 인덱서에인덱서에 연결하는연결하는 방법을방법을 제어할제어할 수수 있습니다있습니다 . 토큰을토큰을 수신수신 인덱서에인덱서에 할당하할당하면면 해당해당 인덱서에인덱서에 연결하는연결하는 포워더에서포워더에서 인덱서에인덱서에 데이터를데이터를 전달하기전달하기 위해위해 토큰을토큰을 먼저먼저 제공해야제공해야 합니다합니다 . 포워포워더더 액세스액세스 제어는제어는 Secure Sockets Layer 설정과설정과 다르며다르며 , Splunk 인스턴스인스턴스 사이에사이에 SSL이이 활성화되지활성화되지 않은않은 환경에환경에서서 사용할사용할 수수 있습니다있습니다 .

포워더포워더 액세스액세스 제어제어 설정설정 전제전제 조건조건

REST API를를 사용하여사용하여 토큰을토큰을 만들고만들고 설정하고설정하고 삭제해야삭제해야 합니다합니다 . 이이 항목의항목의 명령어에는명령어에는 curl 명령줄명령줄 도구가도구가 사사용됩니다용됩니다 .

이이 도구는도구는 대부분의대부분의 *nix 시스템에서시스템에서 사용사용 가능하지만가능하지만 , Windows 시스템에는시스템에는 고유고유 기본값이기본값이 없으므로없으므로 별도의별도의 실실행행 파일을파일을 다운로드해야다운로드해야 합니다합니다 . 실행실행 파일은파일은 cURL 웹웹 사이트에서사이트에서 다운로드할다운로드할 수수 있습니다있습니다 .

설정설정 파일을파일을 사용하여사용하여 토큰을토큰을 참조해야참조해야 합니다합니다 .

포워더포워더 -인덱서인덱서 통신통신

유니버설유니버설 포워더와포워더와 인덱서에서인덱서에서 토큰을토큰을 설정하면설정하면 포워더가포워더가 데이터를데이터를 보내기보내기 위해위해 연결할연결할 때때 다음과다음과 같이같이 통신합통신합니다니다 .

포워더가포워더가 인덱서에인덱서에 연결합니다연결합니다 .인덱서가인덱서가 인증을인증을 요청합니다요청합니다 .포워더가포워더가 인덱서에인덱서에 토큰을토큰을 제공합니다제공합니다 .인덱서가인덱서가 수신한수신한 토큰을토큰을 보유보유 토큰과토큰과 비교합니다비교합니다 .토큰이토큰이 일치하면일치하면 인덱서가인덱서가 연결을연결을 수락하고수락하고 데이터데이터 스트림을스트림을 설정합니다설정합니다 .토큰이토큰이 일치하지일치하지 않으면않으면 인덱서가인덱서가 연결을연결을 거부하고거부하고 splunkd.log에에 항목을항목을 기록합니다기록합니다 .

토큰토큰 생성생성

토큰토큰 기반기반 전달을전달을 설정하려면설정하려면 먼저먼저 사용할사용할 토큰을토큰을 하나하나 이상이상 생성해야생성해야 합니다합니다 .

1. 토큰을토큰을 생성할생성할 인덱서의인덱서의 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 REST API를를 사용해사용해 Splunk Enterprise 인덱서에인덱서에 연결하연결하

여여 토큰을토큰을 만듭니다만듭니다 .

curl -v -k -u <user>:<password> https://<host>:<management_port>/services/data/inputs/tcp/splunktcptoken -d

"name=<name>"

이이 명령어에서명령어에서

user 및및 password는는 Splunk Enterprise 인덱서에인덱서에 로그인하기로그인하기 위해위해 사용하는사용하는 자격자격 증명입니다증명입니다 .host는는 인덱서의인덱서의 호스트호스트 이름이나이름이나 IP 주소입니다주소입니다 .management_port는는 인덱서의인덱서의 TCP 관리관리 포트입니다포트입니다 .name은은 토큰에토큰에 할당할할당할 , 알기알기 쉬운쉬운 이름입니다이름입니다 .

예를예를 들어들어 my_token이라는이라는 토큰을토큰을 idx1.mycompany.com 인스턴스에인스턴스에 admin 사용자의사용자의 표준표준 사용자사용자 이름이름 및및 암호를암호를 사용사용하여하여 만들려면만들려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

curl -v -k -u admin:changeme https://idx1.mycompany.com:8089/services/data/inputs/tcp/splunktcptoken -d

"name=my_token"

호스트에서호스트에서 다음과다음과 같이같이 회신합니다회신합니다 .

token=808F7BD7-1444-4910-B8F5-87B83D694E18

60

이것은이것은 GUID(전역전역 고유고유 식별자식별자 )입니다입니다 .

토큰토큰 활성화활성화

1. 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 다음을다음을 실행합니다실행합니다 .

curl -v -k -X "POST" -u <user>:<password>

https://idx1.mycompany.com:8089/services/data/inputs/tcp/splunktcptoken/tok1/enable

토큰토큰 비활성화비활성화

1. 명령명령 또는또는 셸셸 프롬프트에서프롬프트에서 다음을다음을 실행합니다실행합니다 .

curl -v -k -X "POST" -u <username>:<password>

https://idx1.mycompany.com/services/data/inputs/tcp/splunktcptoken/my_token/disable

토큰토큰 삭제삭제

토큰을토큰을 변경하려면변경하려면 다음다음 명령어를명령어를 실행합니다실행합니다 .

curl -v -k -X "DELETE" -u <username>:<password>

https://idx1.mycompany.com:8089/services/data/inputs/tcp/splunktcptoken/my_token

토큰을토큰을 사용하여사용하여 인덱서인덱서 설정설정

토큰으로토큰으로 포워더를포워더를 제어하려면제어하려면 생성한생성한 토큰으로토큰으로 인덱서를인덱서를 먼저먼저 설정하십시오설정하십시오 . 포워더의포워더의 inputs.conf를를 편집하편집하여여 특별특별 스탠자를스탠자를 생성한생성한 토큰과토큰과 함께함께 지정하십시오지정하십시오 .

1. 포워더를포워더를 수신수신 인덱서로인덱서로 설정합니다설정합니다 .

2. 인덱서의인덱서의 셸셸 또는또는 명령명령 프롬프트에서프롬프트에서 inputs.conf를를 편집합니다편집합니다 .

vi $SPLUNK_HOME/etc/system/local/inputs.conf

3. 이이 파일에파일에 다음다음 스탠자를스탠자를 추가합니다추가합니다 .

[splunktcptoken://my_token]

disabled = 0

token = 808F7BD7-1444-4910-B8F5-87B83D694E18

4. inputs.conf를를 저장하고저장하고 닫습니다닫습니다 .

5. 인덱서를인덱서를 재시작합니다재시작합니다 .

토큰을토큰을 사용하여사용하여 포워더포워더 설정설정

새새 토큰을토큰을 사용하여사용하여 포워더를포워더를 설정할설정할 수수 있습니다있습니다 . tcpout과과 부하부하 분산분산 그룹에서그룹에서 토큰을토큰을 지정할지정할 수수 있습니다있습니다 .outputs.conf로로 전달전달 설정설정을을 참조하십시오참조하십시오 .

1. 포워더의포워더의 셸셸 또는또는 명령명령 프롬프트에서프롬프트에서 outputs.conf를를 편집합니다편집합니다 .

vi $SPLUNK_HOME/etc/system/local/outputs.conf

2. 다음다음 스탠자를스탠자를 추가합니다추가합니다 .

[tcpout]

server=idx1.mycompany.com:9997

token = 08F7BD7-1444-4910-B8F5-87B83D694E18

...



61

포워더와포워더와 인덱서가인덱서가 토큰을토큰을 사용하여사용하여 통신할통신할 수수 있는지있는지 확인확인

인덱서에서인덱서에서 splunkd.log를를 살펴보고살펴보고 포워더가포워더가 토큰이토큰이 활성화된활성화된 인덱서와인덱서와 통신하려고통신하려고 시도하는시도하는 정보에정보에 대해대해 확확인합니다인합니다 .

올바른올바른 토큰이토큰이 없는없는 포워더는포워더는 다음다음 출력을출력을 생성합니다생성합니다 .

ERROR TcpInputProc - Exception: Token sent by forwarder does not match configured tokens src=127.0.0.1:58798! for

data received from src=127.0.0.1:58798

활성화된활성화된 토큰이토큰이 있는있는 인덱서에인덱서에 토큰을토큰을 제출하지제출하지 않는않는 포워더는포워더는 다음다음 출력을출력을 생성합니다생성합니다 .

ERROR TcpInputProc - Exception: Token not sent by forwarder src=127.0.0.1:58796! for data received from

src=127.0.0.1:58796

어떤어떤 경우든경우든 인덱서는인덱서는 포워더포워더 연결을연결을 종료합니다종료합니다 .

토큰을토큰을 요청하는요청하는 인덱서에인덱서에 올바른올바른 토큰을토큰을 제출하지제출하지 않는않는 포워더는포워더는 오류를오류를 생성하지생성하지 않고않고 해당해당 인덱서에인덱서에 데이터데이터를를 전달하지전달하지 않습니다않습니다 .

실행실행 중인중인 데이터의데이터의 손실손실 방지방지

인덱서인덱서로로 전달전달할할 때때 데이터데이터 손실을손실을 방지하기방지하기 위해위해 인덱서인덱서 수신확인수신확인 기능을기능을 사용할사용할 수수 있습니다있습니다 . 인덱서인덱서 수신확수신확

인인 기능을기능을 사용하면사용하면 포워더포워더에서에서 인덱서에인덱서에 의해의해 "수신수신"된된 것으로것으로 확인되지확인되지 않은않은 모든모든 데이터를데이터를 다시다시 전송합니다전송합니다 .

포워더의포워더의 인덱서인덱서 수신확인수신확인 기능은기능은 outputs.conf에서에서 활성화합니다활성화합니다 . 이이 기능은기능은 기본적으로기본적으로 활성화되어활성화되어 있지있지 않습않습니다니다 .

인덱서인덱서 수신확인수신확인 기능과기능과 인덱서인덱서 클러스터클러스터

포워더를포워더를 사용하여사용하여 인덱서인덱서 클러스터의클러스터의 피어피어 노드로노드로 데이터를데이터를 보낼보낼 때는때는 인덱서인덱서 수신확인수신확인 기능을기능을 활성화해야활성화해야 합합니다니다 . 포워더와포워더와 클러스터에클러스터에 대한대한 자세한자세한 내용은내용은 Splunk Enterprise 인덱서 및 인덱서 클러스터 관리 매뉴얼에서매뉴얼에서 포포워더를워더를 사용하여사용하여 데이터데이터 가져오기를가져오기를 참조하십시오참조하십시오 .

정상정상 작동작동 시시 인덱서인덱서 수신확인수신확인 기능기능 작동작동 방법방법

포워더는포워더는 데이터를데이터를 약약 64kB 크기의크기의 블록으로블록으로 인덱서에인덱서에 계속계속 보냅니다보냅니다 . 그리고그리고 인덱서로부터인덱서로부터 수신확인을수신확인을 받을받을때까지때까지 메모리의메모리의 각각 블록에블록에 대한대한 복사본을복사본을 대기열에서대기열에서 유지유지 관리합니다관리합니다 . 포워더는포워더는 대기하는대기하는 동안동안 더더 많은많은 데이데이터터 블록을블록을 계속계속 보냅니다보냅니다 .

정상정상 작동작동 시에시에 인덱서는인덱서는

데이터데이터 블록을블록을 수신합니다수신합니다 .데이터를데이터를 파싱합니다파싱합니다 .데이터데이터 (원시원시 데이터데이터 및및 인덱스인덱스 데이터데이터 )를를 파일파일 시스템에시스템에 이벤트로이벤트로 기록합니다기록합니다 .수신확인을수신확인을 포워더에포워더에 보냅니다보냅니다 .

수신확인은수신확인은 인덱서에서인덱서에서 데이터가데이터가 수신되고수신되고 파일파일 시스템에시스템에 성공적으로성공적으로 기록되었음을기록되었음을 포워더에포워더에 알리는알리는 기능입기능입니다니다 . 수신확인을수신확인을 받으면받으면 즉시즉시 포워더는포워더는 메모리에서메모리에서 해당해당 블록을블록을 해제합니다해제합니다 .

크기가크기가 충분한충분한 대기열은대기열은 수신확인이수신확인이 도착할도착할 때까지때까지 기다리는기다리는 동안동안 가득가득 차지차지 않습니다않습니다 . 그러나그러나 네트워크네트워크 또는또는하드웨어하드웨어 상태로상태로 인해인해 수신확인이수신확인이 포워더에포워더에 회신되지회신되지 않으면않으면 대기열이대기열이 빠른빠른 속도로속도로 가득가득 찰찰 수수 있습니다있습니다 . 관련관련문제와문제와 문제문제 해결해결 방법은방법은 인덱서인덱서 수신확인수신확인 기능과기능과 전달전달 데이터데이터 처리량처리량을을 참조하십시오참조하십시오 .

장애장애 발생발생 시시 인덱서인덱서 수신확인수신확인 기능기능 작동작동 방법방법

송수신송수신 프로세스에프로세스에 장애가장애가 있으면있으면 포워더에서포워더에서 수신확인을수신확인을 받지받지 못합니다못합니다 . 이때이때 포워더는포워더는 데이터데이터 블록을블록을 다시다시보내려고보내려고 합니다합니다 .

인덱서 수신확인을 받지 못하는 이유

포워더에서포워더에서 수신확인을수신확인을 받지받지 못하는못하는 이유는이유는 다음과다음과 같습니다같습니다 .

데이터데이터 수신수신 후에후에 하드웨어하드웨어 장애장애 등으로등으로 인해인해 인덱서의인덱서의 작동이작동이 중단됨중단됨가득가득 찬찬 디스크디스크 등으로등으로 인해인해 인덱서가인덱서가 파일파일 시스템에시스템에 기록할기록할 수수 없음없음수신확인이수신확인이 포워더로포워더로 라우팅되는라우팅되는 중에중에 네트워크네트워크 작동이작동이 중단됨중단됨

62

포워더가 인덱서의 수신확인을 받지 못하는 경우에 처리하는 방법

포워더는포워더는 데이터데이터 블록을블록을 보낸보낸 후후 수신확인을수신확인을 받을받을 때까지때까지 데이터의데이터의 복사본을복사본을 대기열에대기열에 보관하고보관하고 그그 동안동안 블록블록을을 추가로추가로 계속계속 보냅니다보냅니다 . 포워더에서는포워더에서는 300초초 (기본값기본값 ) 이내에이내에 데이터데이터 블록에블록에 대한대한 수신확인을수신확인을 받지받지 못하면못하면 연연결을결을 닫습니다닫습니다 .

자동자동 부하부하 분산분산을을 사용하도록사용하도록 설정된설정된 포워더는포워더는 그룹의그룹의 다음다음 인덱서인덱서 (있을있을 경우경우 )에에 연결하고연결하고 해당해당 인덱서로인덱서로 데이데이터를터를 보냅니다보냅니다 . 자동자동 부하부하 분산을분산을 사용하도록사용하도록 설정되지설정되지 않은않은 포워더는포워더는 전과전과 동일한동일한 인덱서에인덱서에 연결하고연결하고 데이터데이터를를 다시다시 보내려고보내려고 합니다합니다 .

포워더는포워더는 수신확인을수신확인을 받을받을 때까지때까지 데이터데이터 블록을블록을 대기열에대기열에 보관합니다보관합니다 . 대기열이대기열이 가득가득 차면차면 포워더는포워더는 블록블록 중중하나에하나에 대해대해 수신확인을수신확인을 받고받고 대기열대기열 공간을공간을 비울비울 수수 있을있을 때까지때까지 블록을블록을 추가로추가로 보내지보내지 않습니다않습니다 .

대기대기 시간은시간은 readTimeout의의 outputs.conf 속성을속성을 설정하여설정하여 변경할변경할 수수 있습니다있습니다 .

포워더가 인덱서와 연결을 종료할 수 있는 다른 이유

포워더가포워더가 네트워크네트워크 연결을연결을 종료할종료할 수수 있는있는 세세 가지가지 조건은조건은 다음과다음과 같습니다같습니다 .

읽기 시간 초과. 포워더에서포워더에서 300초초 (기본값기본값 ) 이내에이내에 수신확인을수신확인을 받지받지 못한못한 경우입니다경우입니다 . 이이 조건에조건에 대해서는대해서는위에서위에서 설명했습니다설명했습니다 .쓰기 시간 초과. 포워더에서포워더에서 네트워크네트워크 쓰기를쓰기를 300초초 (기본값기본값 ) 이내에이내에 완료할완료할 수수 없는없는 경우입니다경우입니다 . 이이 값은값은outputs.conf에서에서 writeTimeout을을 설정하여설정하여 구성할구성할 수수 있습니다있습니다 .읽기/쓰기 실패. 이이 조건은조건은 일반적으로일반적으로 인덱서인덱서 작동작동 중단이나중단이나 네트워크네트워크 장애로장애로 인해인해 발생합니다발생합니다 .

위의위의 모든모든 경우에경우에 포워더는포워더는 부하부하 분산분산 그룹의그룹의 다음다음 인덱서에인덱서에 연결하거나연결하거나 , 부하부하 분산이분산이 활성화되지활성화되지 않은않은 경우경우 동동일한일한 인덱서에인덱서에 다시다시 연결하려고연결하려고 합니다합니다 .

인덱서 수신확인을 받지 못해 인덱스 데이터가 중복되는 경우

인덱서가인덱서가 동일한동일한 데이터데이터 블록을블록을 두두 번번 인덱싱할인덱싱할 수수 있습니다있습니다 . 네트워크네트워크 문제로문제로 인해인해 수신확인이수신확인이 포워더에포워더에 도착도착하지하지 못할못할 경우경우 이렇게이렇게 될될 수수 있습니다있습니다 . 예를예를 들어들어 인덱서에서는인덱서에서는 데이터데이터 블록을블록을 수신수신 및및 파싱하고파싱하고 파일파일 시스템에시스템에기록한기록한 후후 수신확인을수신확인을 생성할생성할 수수 있습니다있습니다 . 그러나그러나 포워더에포워더에 수신확인을수신확인을 회신하는회신하는 도중에도중에 네트워크네트워크 작동이작동이 중중단되어단되어 포워더에서포워더에서 수신확인을수신확인을 받지받지 못할못할 수수 있습니다있습니다 . 네트워크가네트워크가 다시다시 작동하면작동하면 포워더에서포워더에서 데이터데이터 블록을블록을다시다시 전송하고전송하고 인덱서에서인덱서에서 해당해당 데이터데이터 블록을블록을 새새 데이터처럼데이터처럼 파싱하고파싱하고 기록합니다기록합니다 .

이런이런 가능성에가능성에 대처하기대처하기 위해위해 , 포워더에서는포워더에서는 데이터데이터 블록을블록을 다시다시 전송할전송할 때마다때마다 해당해당 데이터데이터 블록이블록이 중복중복 전송전송되었을되었을 수수 있음을있음을 나타내는나타내는 이벤트를이벤트를 splunkd.log에에 기록합니다기록합니다 . 관리자는관리자는 로그로그 정보를정보를 사용하여사용하여 인덱서에서인덱서에서 중중복되는복되는 데이터를데이터를 추적해야추적해야 합니다합니다 .

중복중복 경고의경고의 예는예는 다음과다음과 같습니다같습니다 .

10-18-2010 17:32:36.941 WARN TcpOutputProc - Possible duplication of events with

channel=source::/home/jkerai/splunk/current-install/etc/apps/sample_app

/logs/maillog.1|host::MrT|sendmail|, streamId=5941229245963076846, offset=131072

subOffset=219 on host=10.1.42.2:9992

인덱서인덱서 수신확인수신확인 기능기능 활성화활성화

인덱서인덱서 수신확인수신확인 기능을기능을 포워더에서포워더에서 설정하십시오설정하십시오 .

1. outputs.conf에서에서 useACK 속성을속성을 true로로 설정합니다설정합니다 .

useACK를를 [tcpout] 또는또는 [tcpout:<target_group>] 스탠자스탠자 수준에서수준에서 전역으로전역으로 설정하거나설정하거나 대상대상 그룹별로그룹별로 설정할설정할 수수 있있습니다습니다 . [tcpout-server: ...] 스탠자스탠자 수준에서수준에서 개별개별 수신수신 인덱서에인덱서에 대해대해 설정할설정할 수는수는 없습니다없습니다 .

자세한자세한 내용은내용은 outputs.conf spec 파일을파일을 참조하십시오참조하십시오 .

[tcpout:<target_group>]

server=<server1>, <server2>, ...

useACK=true

인덱서인덱서 수신확인수신확인 기능과기능과 전달전달 데이터데이터 처리량처리량

포워더에서는포워더에서는 대기열을대기열을 사용하여사용하여 인덱서인덱서 수신확인수신확인 프로세스를프로세스를 관리합니다관리합니다 . 이이 대기열의대기열의 기본기본 최대최대 크기는크기는 충분충분한한 크기인크기인 21MB입니다입니다 . 드물기는드물기는 하지만하지만 대기열대기열 크기를크기를 수동으로수동으로 조정해야조정해야 할할 수수 있습니다있습니다 .

대기열에대기열에 대한대한 자세한자세한 내용은내용은 이이 절에서절에서 확인하십시오확인하십시오 . 이이 절에서는절에서는 대기열의대기열의 작동작동 방식과방식과 대기열대기열 설정설정 방법에방법에

63

대해대해 설명합니다설명합니다 .

대기열 크기 설정 방법

대기열대기열 크기는크기는 사용자가사용자가 직접직접 설정하지설정하지 않습니다않습니다 . 대신대신 메모리메모리 출력출력 대기열의대기열의 크기를크기를 설정하면설정하면 대기열대기열 크기가크기가출력출력 대기열대기열 크기의크기의 3배로배로 설정됩니다설정됩니다 . 출력출력 대기열대기열 크기를크기를 설정하려면설정하려면 maxQueueSize의의 outputs.conf 속성을속성을 사용사용하십시오하십시오 .

maxQueueSize 속성의속성의 기본값은기본값은 auto이며이며 , 이이 설정이설정이 권장됩니다권장됩니다 . 이렇게이렇게 설정하면설정하면 인덱서인덱서 수신확인수신확인 기능의기능의 활성화활성화여부에여부에 따라따라 대기열대기열 크기가크기가 최적화됩니다최적화됩니다 .

useACK=true면면 출력출력 대기열대기열 크기가크기가 7MB로로 , 대기열대기열 크기가크기가 21MB로로 설정됩니다설정됩니다 .useACK=false면면 출력출력 대기열대기열 크기가크기가 500KB로로 설정됩니다설정됩니다 .

필요할필요할 경우경우 maxQueueSize를를 특정특정 값으로값으로 설정할설정할 수수 있습니다있습니다 . maxQueueSize에에 대한대한 자세한자세한 내용은내용은 outputs.confspec 파일을파일을 참조하십시오참조하십시오 .

참고참고 : 인덱서인덱서 수신확인수신확인 기능을기능을 활성화하면활성화하면 포워더를포워더를 재시작한재시작한 후에만후에만 대기열대기열 크기크기 확장이확장이 적용됩니다적용됩니다 .

대기열이 중요한 이유

인덱서인덱서 수신확인수신확인 기능을기능을 활성화하면활성화하면 포워더에서포워더에서 대기열을대기열을 사용하여사용하여 수신확인수신확인 프로세스를프로세스를 관리합니다관리합니다 . 포워더포워더에서에서 데이터데이터 블록을블록을 연속적으로연속적으로 전송하고전송하고 다음다음 블록을블록을 전송하기전송하기 전에전에 수신확인을수신확인을 기다리지기다리지 않기않기 때문에때문에 대기열대기열에에 수신확인을수신확인을 기다리는기다리는 여러여러 블록이블록이 보관됩니다보관됩니다 . 포워더는포워더는 대기열이대기열이 가득가득 찰찰 때까지때까지 블록을블록을 계속계속 보내고보내고 대기대기열이열이 가득가득 차면차면 전달을전달을 중지합니다중지합니다 . 그그 후후 포워더는포워더는 수신확인을수신확인을 받을받을 때까지때까지 기다립니다기다립니다 . 수신확인을수신확인을 받으면받으면 해해당당 블록을블록을 대기열에서대기열에서 내보낼내보낼 수수 있으며있으며 , 따라서따라서 전달을전달을 재개할재개할 수수 있습니다있습니다 .

네트워크나네트워크나 인덱서에인덱서에 문제가문제가 있으면있으면 대기열이대기열이 가득가득 찰찰 수수 있습니다있습니다 . 인덱서가인덱서가 정상적으로정상적으로 작동하는작동하는 경우에도경우에도대기열이대기열이 가득가득 찰찰 수수 있습니다있습니다 . 인덱서에서인덱서에서 데이터를데이터를 파일파일 시스템에시스템에 기록한기록한 후에만후에만 수신확인을수신확인을 전송하기전송하기 때문때문입니다입니다 . 파일파일 시스템에시스템에 기록하는기록하는 작업이작업이 지연되면지연되면 수신확인수신확인 속도가속도가 느려져서느려져서 대기열이대기열이 가득가득 찰찰 수수 있습니다있습니다 .

정상정상 작동하는작동하는 인덱서에서인덱서에서 데이터를데이터를 파일파일 시스템에시스템에 기록하는기록하는 작업이작업이 지연될지연될 수수 있는있는 (따라서따라서 수신확인수신확인 전송이전송이지연될지연될 수수 있는있는 ) 몇몇 가지가지 원인이원인이 있습니다있습니다 .

인덱서의인덱서의 작업량이작업량이 매우매우 많은많은 경우경우 . 예를예를 들어들어 인덱서에서인덱서에서 여러여러 검색검색 요청이나요청이나 수많은수많은 포워더에서포워더에서 수신되수신되는는 데이터를데이터를 처리하는처리하는 중에중에 데이터가데이터가 도착할도착할 수수 있습니다있습니다 .인덱서에인덱서에 너무너무 적은적은 데이터가데이터가 수신되는수신되는 경우경우

효율성을효율성을 위해위해 인덱서에서는인덱서에서는 쓰기쓰기 대기열이대기열이 가득가득 찰찰 때나때나 몇몇 초의초의 제한제한 시간이시간이 초과된초과된 후후 주기적으로만주기적으로만 데이터데이터를를 파일파일 시스템에시스템에 기록합니다기록합니다 . 쓰기쓰기 대기열이대기열이 채워지는채워지는 속도가속도가 느리면느리면 인덱서가인덱서가 제한제한 시간까지시간까지 기다린기다린 후에후에 데데이터를이터를 기록합니다기록합니다 . 몇몇몇몇 포워더의포워더의 데이터만데이터만 수신되는수신되는 경우경우 각각 포워더에서포워더에서 정상적인정상적인 양의양의 데이터를데이터를 보내도보내도 인인덱서에서덱서에서 시간시간 초과초과 조건에조건에 도달할도달할 수수 있습니다있습니다 . 쓰기쓰기 대기열은대기열은 hot 버킷마다버킷마다 하나씩하나씩 존재하므로존재하므로 , 특정특정 버킷에서버킷에서소량의소량의 데이터만데이터만 수신하는수신하는 경우경우 시간시간 초과초과 조건이조건이 발생합니다발생합니다 . 이이 경우경우 일반적으로일반적으로 특정특정 인덱스에서인덱스에서 소량의소량의 데데이터를이터를 수신하고수신하고 있음을있음을 의미합니다의미합니다 .

포워더포워더 시간시간 지연으로지연으로 인해인해 처리량이처리량이 저하되지저하되지 않도록않도록 하려면하려면 기본기본 설정인설정인 maxQueueSize=auto를를 유지하십시오유지하십시오 . 드드물기는물기는 하지만하지만 포워더가포워더가 수신확인이수신확인이 도착할도착할 때까지때까지 기다리는기다리는 동안동안 모든모든 블록을블록을 메모리에메모리에 보관하기보관하기 위해위해 필요한필요한공간을공간을 충분히충분히 확보할확보할 수수 있도록있도록 대기열대기열 크기를크기를 늘려야늘려야 할할 수수 있습니다있습니다 . 반면에반면에 인덱서인덱서 하나에하나에 데이터를데이터를 공급하공급하는는 여러여러 포워더가포워더가 있고있고 포워더당포워더당 데이터데이터 원본원본 수가수가 중간중간 수준이면수준이면 더더 작은작은 크기를크기를 사용하여사용하여 메모리를메모리를 수수 메가바메가바이트이트 절약할절약할 수수 있습니다있습니다 .

수신기가수신기가 포워더인포워더인 경우경우

데이터가데이터가 중간중간 포워더를포워더를 통해통해 전송될전송될 때때 , 즉즉 발신발신 포워더에서포워더에서 중간중간 포워더에포워더에 데이터를데이터를 전송하면전송하면 중간중간 포워더에포워더에서서 다시다시 인덱서에인덱서에 데이터를데이터를 전달하는전달하는 경우에도경우에도 인덱서인덱서 수신확인수신확인 기능을기능을 사용할사용할 수수 있습니다있습니다 . 이이 시나리오에서시나리오에서인덱서인덱서 수신확인수신확인 기능을기능을 사용하려면사용하려면 모든모든 데이터데이터 전송전송 구간에서구간에서 수신확인을수신확인을 활성화하는활성화하는 것이것이 좋습니다좋습니다 . 그러면그러면발신발신 포워더에서포워더에서 인덱서까지인덱서까지 연결되는연결되는 전체전체 경로를경로를 따라따라 데이터가데이터가 전달됩니다전달됩니다 .

데이터를데이터를 중간중간 포워더로포워더로 전송하는전송하는 발신발신 포워더가포워더가 있고있고 중간중간 포워더가포워더가 다시다시 데이터를데이터를 인덱서에인덱서에 전송한다고전송한다고 가정가정할할 수수 있습니다있습니다 . 전송의전송의 전체전체 줄에서줄에서 인덱서인덱서 수신확인수신확인 기능을기능을 활성화하려면활성화하려면 두두 번번 활성화해야활성화해야 합니다합니다 . 먼저먼저 발신발신포워더와포워더와 중간중간 포워더포워더 간의간의 세그먼트에세그먼트에 대해대해 한한 번번 활성화하고활성화하고 , 중간중간 포워더와포워더와 인덱서인덱서 간의간의 세그먼트에세그먼트에 대해대해 또또활성화해야활성화해야 합니다합니다 .

두두 전송전송 구간에서구간에서 수신확인을수신확인을 모두모두 활성화하면활성화하면 중간중간 포워더에서는포워더에서는 인덱서로부터인덱서로부터 수신확인을수신확인을 받을받을 때까지때까지 기다기다린린 후후 수신확인을수신확인을 발신발신 포워더로포워더로 다시다시 전송합니다전송합니다 .

그러나그러나 한한 구간에서만구간에서만 활성화하면활성화하면 해당해당 전송전송 부분에서만부분에서만 인덱서인덱서 수신확인을수신확인을 받게받게 됩니다됩니다 . 예를예를 들어들어 인덱서인덱서 수수신확인신확인 기능을기능을 발신발신 포워더에서포워더에서 중간중간 포워더까지의포워더까지의 세그먼트에세그먼트에 대해서만대해서만 활성화하고활성화하고 중간중간 포워더에서포워더에서 인덱서인덱서까지의까지의 세그먼트에세그먼트에 대해서는대해서는 활성화하지활성화하지 않은않은 경우를경우를 가정해가정해 볼볼 수수 있습니다있습니다 . 이이 경우에는경우에는 중간중간 포워더에서포워더에서 데데이터를이터를 인덱서로인덱서로 전송하는전송하는 즉시즉시 수신확인을수신확인을 발신발신 포워더에포워더에 다시다시 전송합니다전송합니다 . 그런그런 다음다음 TCP를를 통해통해 데이터를데이터를

64

인덱서로인덱서로 안전하게안전하게 전달합니다전달합니다 . 이이 두두 번째번째 세그먼트에세그먼트에 대해서는대해서는 인덱서인덱서 수신확인수신확인 기능을기능을 활성화하지활성화하지 않았기않았기때문에때문에 중간중간 포워더에서포워더에서 데이터데이터 전달을전달을 인덱서에인덱서에 확인할확인할 수수 없습니다없습니다 . 이이 두두 번째번째 경우는경우는 용도가용도가 제한적이므로제한적이므로권장되지권장되지 않습니다않습니다 .



유니버설유니버설 포워더는포워더는 라이트라이트 포워더포워더의의 기능을기능을 제공하지만제공하지만 , 리소스리소스 사용량이사용량이 더더 적고적고 성능이성능이 더더 우수합니다우수합니다 . 기존기존에에 설치한설치한 라이트라이트 포워더를포워더를 유니버설유니버설 포워더로포워더로 마이그레이션할마이그레이션할 수수 있습니다있습니다 . Splunk에서는에서는 마이그레이션마이그레이션 프로프로세스를세스를 쉽게쉽게 수행할수행할 수수 있게있게 해주고해주고 이전이전 라이트라이트 포워더에서포워더에서 이미이미 전송한전송한 데이터를데이터를 새새 유니버설유니버설 포워더에서포워더에서 다다시시 인덱서로인덱서로 보내지보내지 않도록않도록 하기하기 위한위한 도구를도구를 제공합니다제공합니다 .

Splunk Enterprise 4.0 이상이상 버전의버전의 라이트라이트 포워더에서만포워더에서만 마이그레이션할마이그레이션할 수수 있습니다있습니다 .

포워더포워더 마이그레이션마이그레이션 방법방법

마이그레이션은마이그레이션은 유니버설유니버설 포워더포워더 설치설치 프로세스프로세스 중에중에 선택할선택할 수수 있는있는 옵션입니다옵션입니다 . 마이그레이션에마이그레이션에 대한대한 설명은설명은Windows 라이트라이트 포워더포워더 마이그레이션마이그레이션 또는또는 nix 라이트라이트 포워더포워더 마이그레이션마이그레이션을을 참조하십시오참조하십시오 . 마이그레이션을마이그레이션을완료하고완료하고 유니버설유니버설 포워더가포워더가 활성활성 상태임을상태임을 확인한확인한 후후 이전이전 라이트라이트 포워더를포워더를 제거하십시오제거하십시오 .

마이그레이션 시 수행되는 작업

마이그레이션하면마이그레이션하면 fishbucket 디렉터리를디렉터리를 포함한포함한 체크포인트체크포인트 데이터가데이터가 이전이전 포워더에서포워더에서 새새 유니버설유니버설 포워더로포워더로복사됩니다복사됩니다 . 그러면그러면 이전이전 포워더에서포워더에서 이미이미 인덱서에인덱서에 보냈던보냈던 데이터를데이터를 유니버설유니버설 포워더에서포워더에서 다시다시 전달하지전달하지 않습않습니다니다 . 따라서따라서 불필요한불필요한 재인덱싱이재인덱싱이 방지되어방지되어 통계가통계가 유지되고유지되고 라이선스라이선스 사용량이사용량이 지나치게지나치게 증가하지증가하지 않게않게 됩니됩니다다 .

마이그레이션 시 수행되지 않는 작업

마이그레이션마이그레이션 시시 inputs.conf 또는또는 outputs.conf 등의등의 설정설정 파일은파일은 복사되지복사되지 않습니다않습니다 . 그그 이유는이유는 기존기존 설정설정 파일의파일의모든모든 버전이버전이 이전이전 포워더에서포워더에서 상주했던상주했던 위치를위치를 확실하게확실하게 알알 수수 없기없기 때문입니다때문입니다 . 따라서따라서 데이터데이터 입력과입력과 출력을출력을설치설치 중중 또는또는 설치설치 후에후에 설정해야설정해야 합니다합니다 . 나중에나중에 입력과입력과 출력을출력을 설정하는설정하는 방법을방법을 선택하면선택하면 필요한필요한 설정설정 파일을파일을수동으로수동으로 복사하거나복사하거나 배포배포 서버를서버를 사용하여사용하여 설정설정 파일을파일을 모든모든 유니버설유니버설 포워더로포워더로 푸시할푸시할 수수 있습니다있습니다 . 설정설정 파파일에일에 대한대한 내용은내용은 유니버설유니버설 포워더포워더 설정설정을을 참조하십시오참조하십시오 .

유니버설유니버설 포워더에서포워더에서 사용하는사용하는 데이터데이터 입력이입력이 이전이전 포워더와포워더와 달라도달라도 마이그레이션할마이그레이션할 수수 있습니다있습니다 . 유니버설유니버설 포포워더는워더는 마이그레이션된마이그레이션된 체크포인트체크포인트 데이터데이터 중중 설정되지설정되지 않은않은 입력과입력과 관련된관련된 데이터를데이터를 무시합니다무시합니다 . 해당해당 입력을입력을나중에나중에 추가하기로추가하기로 결정할결정할 경우경우 , 유니버설유니버설 포워더는포워더는 마이그레이션된마이그레이션된 체크포인트를체크포인트를 사용하여사용하여 데이터데이터 스트림에스트림에서서 전달을전달을 시작할시작할 지점을지점을 결정합니다결정합니다 .

마이그레이션할마이그레이션할 때는때는 앱이앱이 라이트라이트 포워더에서포워더에서 복사되지복사되지 않습니다않습니다 . 유니버설유니버설 포워더로포워더로 마이그레이션할마이그레이션할 앱이앱이 있있으면으면 수동으로수동으로 마이그레이션해야마이그레이션해야 합니다합니다 .

Windows 라이트라이트 포워더포워더 마이그레이션마이그레이션

기존기존 라이트라이트 포워더를포워더를 유니버설유니버설 포워더로포워더로 바꾸려면바꾸려면 먼저먼저 라이트라이트 포워더의포워더의 체크포인트체크포인트 데이터를데이터를 새새 포워더로포워더로 마마이그레이션해야이그레이션해야 합니다합니다 . 체크포인트체크포인트 데이터는데이터는 포워더에서포워더에서 이미이미 인덱서에인덱서에 전달한전달한 데이터를데이터를 추적하기추적하기 위해위해 수집수집하는하는 내부내부 데이터입니다데이터입니다 . 체크포인트를체크포인트를 마이그레이션하면마이그레이션하면 새로운새로운 유니버설유니버설 포워더가포워더가 이전이전 라이트라이트 포워더에포워더에 의의해해 이미이미 전송된전송된 데이터를데이터를 전달하지전달하지 않습니다않습니다 . 따라서따라서 동일한동일한 데이터가데이터가 두두 번번 인덱싱되지인덱싱되지 않습니다않습니다 .

기존기존 Windows 라이트라이트 포워더포워더 (4.0 버전버전 이상이상 )에서에서 유니버설유니버설 포워더로포워더로 체크포인트체크포인트 데이터를데이터를 마이그레이션할마이그레이션할 수수있습니다있습니다 . 마이그레이션에마이그레이션에 대한대한 개요는개요는 라이트라이트 포워더에서포워더에서 마이그레이션마이그레이션을을 참조하십시오참조하십시오 .

마이그레이션하려면마이그레이션하려면 설치설치 프로세스프로세스 도중에도중에 마이그레이션하십시오마이그레이션하십시오 . 설치설치 후에는후에는 마이그레이션할마이그레이션할 수수 없습니다없습니다 .

유니버설유니버설 포워더를포워더를 기존기존 라이트라이트 포워더와포워더와 다른다른 디렉터리에디렉터리에 설치해야설치해야 합니다합니다 . 유니버설유니버설 포워더의포워더의 기본기본 설치설치 디디렉터리는렉터리는 C:\Program Files\SplunkUniversalForwarder고고 전체전체 Splunk Enterprise(라이트라이트 포워더포워더 포함포함 )의의 기본기본 설치설치 디디렉터리는렉터리는 C:\Program Files\Splunk이므로이므로 기본기본 설정을설정을 사용하는사용하는 것이것이 안전합니다안전합니다 .

Windows 설치설치 작업은작업은 설치설치 프로그램프로그램 GUI 또는또는 명령줄을명령줄을 사용하여사용하여 수행합니다수행합니다 .

설치설치 프로그램프로그램 GUI를를 사용하면사용하면 마이그레이션하라는마이그레이션하라는 메시지가메시지가 화면화면 중중 하나에하나에 표시됩니다표시됩니다 . GUI 설치설치 절차절차에에 대한대한 자세한자세한 설명은설명은 설치설치 프로그램으로프로그램으로 Windows 유니버설유니버설 포워더포워더 설치설치를를 참조하십시오참조하십시오 .

명령줄을명령줄을 사용하여사용하여 설치하는설치하는 경우경우 MIGRATESPLUNK=1 플래그가플래그가 마이그레이션을마이그레이션을 지정합니다지정합니다 . 지원되는지원되는 플래그플래그의의 리스트와리스트와 플래그를플래그를 사용하여사용하여 설치를설치를 설정하는설정하는 방법에방법에 대한대한 내용은내용은 명령줄을명령줄을 통해통해 Windows 유니버설유니버설

65

포워더포워더 배포배포를를 참조하십시오참조하십시오 .

라이트 포워더를 마이그레이션할 때 설치 프로그램에서 수행하는 작업

사용하는사용하는 설치설치 방법에방법에 관계없이관계없이 Windows 설치설치 프로그램에서는프로그램에서는 다음다음 작업을작업을 수행합니다수행합니다 .

컴퓨터에서컴퓨터에서 기존기존 헤비헤비 포워더포워더 또는또는 라이트라이트 포워더를포워더를 검색합니다검색합니다 .포워더가포워더가 마이그레이션에마이그레이션에 적합한지적합한지 확인합니다확인합니다 (4.0 버전버전 이상이어야이상이어야 함함 ).적합한적합한 포워더가포워더가 있으면있으면 GUI를를 통해통해 마이그레이션마이그레이션 옵션이옵션이 제안됩니다제안됩니다 (명령줄명령줄 설치설치 프로그램에서프로그램에서MIGRATESPLUNK=1 플래그가플래그가 존재하는지존재하는지 확인확인 )마이그레이션을마이그레이션을 지정하거나지정하거나 MIGRATESPLUNK=1 플래그가플래그가 존재하면존재하면 기존기존 포워더에포워더에 대해대해 실행실행 중인중인 서비스가서비스가모두모두 종료됩니다종료됩니다 . 또한또한 서비스가서비스가 재부팅재부팅 시시 재시작되지재시작되지 않도록않도록 서비스서비스 시작시작 유형을유형을 수동으로수동으로 설정합니다설정합니다 .체크포인트체크포인트 파일을파일을 유니버설유니버설 포워더로포워더로 마이그레이션합니다마이그레이션합니다 .유니버설유니버설 포워더의포워더의 설치설치 및및 설정을설정을 완료합니다완료합니다 .

마이그레이션 완료 후 추가 설정 수행

이이 프로세스가프로세스가 끝나면끝나면 유니버설유니버설 포워더에포워더에 대해대해 추가추가 설정설정 작업을작업을 수행하는수행하는 것이것이 좋습니다좋습니다 . 마이그레이션마이그레이션 프로프로세스세스 중에는중에는 체크포인트체크포인트 파일만파일만 복사되므로복사되므로 , 이전이전 포워더의포워더의 inputs.conf 설정설정 파일을파일을 확인하거나확인하거나 수동으로수동으로 덮어덮어써야써야 합니다합니다 .

유니버설유니버설 포워더의포워더의 작동이작동이 시작되고시작되고 마이그레이션이마이그레이션이 올바로올바로 수행되었음을수행되었음을 확인한확인한 후후 이전이전 포워더를포워더를 제거할제거할 수수있습니다있습니다 .

*nix 라이트라이트 포워더포워더 마이그레이션마이그레이션

기존기존 라이트라이트 포워더를포워더를 유니버설유니버설 포워더로포워더로 바꾸려면바꾸려면 먼저먼저 라이트라이트 포워더의포워더의 체크포인트체크포인트 데이터를데이터를 새새 포워더로포워더로 마마이그레이션해야이그레이션해야 합니다합니다 . 체크포인트체크포인트 데이터는데이터는 포워더에서포워더에서 이미이미 인덱서에인덱서에 전달한전달한 데이터를데이터를 추적하기추적하기 위해위해 수집수집하는하는 내부내부 데이터입니다데이터입니다 . 체크포인트를체크포인트를 마이그레이션하면마이그레이션하면 새로운새로운 유니버설유니버설 포워더가포워더가 이전이전 라이트라이트 포워더에포워더에 의의해해 이미이미 전송된전송된 데이터를데이터를 전달하지전달하지 않습니다않습니다 . 따라서따라서 동일한동일한 데이터가데이터가 두두 번번 인덱싱되지인덱싱되지 않습니다않습니다 .

기존기존 *nix 라이트라이트 포워더포워더 (4.0 버전버전 이상이상 )에서에서 유니버설유니버설 포워더로포워더로 체크포인트체크포인트 데이터를데이터를 마이그레이션할마이그레이션할 수수 있습있습니다니다 . 마이그레이션에마이그레이션에 대한대한 개요는개요는 라이트라이트 포워더에서포워더에서 마이그레이션마이그레이션을을 참조하십시오참조하십시오 .

유니버설유니버설 포워더를포워더를 기존기존 라이트라이트 포워더와포워더와 다른다른 디렉터리에디렉터리에 설치하십시오설치하십시오 .

유니버설유니버설 포워더를포워더를 처음처음 시작할시작할 때때 라이트라이트 포워더를포워더를 마이그레이션해야마이그레이션해야 합니다합니다 . 나중에는나중에는 마이그레이션할마이그레이션할 수수 없없습니다습니다 .

1. 기존기존 포워더를포워더를 중지합니다중지합니다 .

$SPLUNK_HOME/bin/splunk stop

2. 유니버설유니버설 포워더포워더 기본기본 설치를설치를 완료합니다완료합니다 . 아직아직 유니버설유니버설 포워더를포워더를 시작하지시작하지 마십시오마십시오 .

3. 유니버설유니버설 포워더포워더 설치설치 디렉터리에디렉터리에 이름이이름이 old_splunk.seed인인 파일을파일을 만듭니다만듭니다 . 예를예를 들어들어 UF를를/opt/splunkforwarder에에 설치한설치한 경우경우 /opt/splunkforwarder/old_splunk.seed를를 만드십시오만드십시오 .

4. 이전이전 포워더포워더 설치설치 디렉터리의디렉터리의 경로를경로를 참조하는참조하는 줄이줄이 1개개 포함되도록포함되도록 이이 파일을파일을 편집합니다편집합니다 . 예를예를 들어들어 이전이전포워더가포워더가 /opt/splunk에에 있었으면있었으면 다음다음 줄을줄을 추가합니다추가합니다 .

/opt/splunk


6. 유니버설유니버설 포워더를포워더를 시작합니다시작합니다 .

$SPLUNK_HOME/bin/splunk start

유니버설유니버설 포워더가포워더가 $SPLUNK_HOME/old_splunk.seed 파일에파일에 지정된지정된 포워더에서포워더에서 체크포인트체크포인트 파일을파일을 마이그레이션합마이그레이션합니다니다 . 마이그레이션은마이그레이션은 start 명령어를명령어를 처음처음 실행할실행할 때만때만 수행됩니다수행됩니다 . old_splunk.seed를를 제자리에제자리에 놔둬도놔둬도 됩니다됩니다 .포워더는포워더는 설치설치 후후 처음처음 시작할시작할 때만때만 해당해당 파일을파일을 살펴보기살펴보기 때문입니다때문입니다 .

7. nix 유니버설유니버설 포워더포워더 설치설치의의 설명에설명에 따라따라 유니버설유니버설 포워더포워더 추가추가 설정설정 작업을작업을 수행합니다수행합니다 . 마이그레이션마이그레이션 프로프로세스세스 중에는중에는 체크포인트체크포인트 파일만파일만 복사되므로복사되므로 , 이전이전 포워더의포워더의 inputs.conf 설정설정 파일을파일을 확인하거나확인하거나 덮어쓰십시오덮어쓰십시오 .

8. 유니버설유니버설 포워더의포워더의 작동이작동이 시작되고시작되고 마이그레이션이마이그레이션이 올바로올바로 수행되었음을수행되었음을 확인한확인한 후후 이전이전 포워더를포워더를 제거합제거합

66

니다니다 .

전달전달 문제문제 해결해결

유니버설유니버설 포워더포워더 문제문제 해결해결

수신기가수신기가 수신수신 포트에서포트에서 새로운새로운 연결을연결을 수락하지수락하지 않음않음

수신수신 인덱서의인덱서의 내부내부 대기열이대기열이 차단되면차단되면 데이터를데이터를 대기열에대기열에 삽입할삽입할 수수 없는없는 지정된지정된 간격이간격이 지난지난 후후 인덱서가인덱서가 수수신신 /수신수신 대기대기 (splunktcp) 포트를포트를 종료합니다종료합니다 . 대기열이대기열이 다시다시 데이터데이터 수락을수락을 시작할시작할 수수 있게있게 되면되면 인덱서가인덱서가 포트를포트를다시다시 엽니다엽니다 .

그러나그러나 때로때로 (Windows 컴퓨터의컴퓨터의 경우에만경우에만 ) 대기열이대기열이 차단차단 해제된해제된 경우경우 인덱서가인덱서가 포트를포트를 다시다시 열지열지 못할못할 수도수도 있있습니다습니다 . 수정하려면수정하려면 인덱서를인덱서를 재시작해야재시작해야 합니다합니다 .

이이 문제가문제가 확인되면확인되면 수신기가수신기가 포트를포트를 빨리빨리 닫지닫지 않도록않도록 inputs.conf의의 stopAcceptorAfterQBlock 속성을속성을 더더 높은높은 값으값으로로 설정할설정할 수수 있습니다있습니다 . 이이 속성은속성은 포트를포트를 닫기닫기 전에전에 인덱서가인덱서가 대기하는대기하는 시간을시간을 지정합니다지정합니다 . 기본값은기본값은 300초초 (5분분 )입니다입니다 .

부하부하 분산된분산된 포워더를포워더를 사용하는사용하는 경우경우 outputs.conf의의 writeTimeout 속성을속성을 사용하여사용하여 설정된설정된 제한제한 시간시간 간격에간격에 따라따라데이터데이터 스트리밍스트리밍 대상을대상을 부하부하 분산된분산된 그룹의그룹의 다른다른 인덱서로인덱서로 전환합니다전환합니다 . 그러면그러면 수신수신 인덱서가인덱서가 대기열을대기열을 차단차단한한 경우경우 자동자동 페일오버가페일오버가 발생합니다발생합니다 .

수신수신 및및 관리관리 포트포트 혼동혼동

포워더포워더 설정설정 중에중에 수신기의수신기의 hostname/IP_address와와 수신수신 port를를 지정합니다지정합니다 . 포워더에서포워더에서 이이 설정을설정을 사용하여사용하여 데이데이터를터를 수신기로수신기로 전송합니다전송합니다 . 수신기를수신기를 설정할설정할 때때 수신수신 포트로포트로 설정한설정한 포트를포트를 지정해야지정해야 합니다합니다 . 관리관리 포트를포트를 잘못잘못지정하면지정하면 수신기에서수신기에서 다음과다음과 유사한유사한 오류가오류가 발생합니다발생합니다 .

splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error = error:140760FC:SSL

routines:SSL23_GET_CLIENT_HELLO:unknown protocol

splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - ACCEPT_RESULT=-1 VERIFY_RESULT=0

splunkd.log:03-01-2010 13:35:28.653 ERROR TcpInputFd - SSL Error for fd from HOST:localhost.localdomain,

IP:127.0.0.1, PORT:53075





IP:127.0.0.1, PORT:53076





IP:127.0.0.1, PORT:53077




수신 인덱서가 수신 소켓을 닫음

수신수신 인덱서의인덱서의 대기열이대기열이 가득가득 차면차면 다른다른 포워더에서포워더에서 인덱서에인덱서에 연결하지연결하지 못하도록못하도록 수신기수신기 소켓이소켓이 닫힙니다닫힙니다 . 부부하하 분산이분산이 활성화된활성화된 포워더는포워더는 해당해당 수신기로수신기로 데이터를데이터를 더더 이상이상 전달할전달할 수수 없을없을 경우경우 리스트에리스트에 있는있는 다른다른 인덱서인덱서로로 데이터를데이터를 보냅니다보냅니다 . 포워더에서포워더에서 부하부하 분산을분산을 사용하지사용하지 않는않는 경우경우 문제가문제가 해결될해결될 때까지때까지 데이터데이터 전송을전송을 보류보류합니다합니다 .

대기열이대기열이 비면비면 수신기수신기 소켓이소켓이 자동으로자동으로 다시다시 열립니다열립니다 .

일반적으로일반적으로 수신기에서수신기에서 데이터데이터 흐름의흐름의 처리가처리가 지연되는지연되는 이유는이유는 디스크가디스크가 가득가득 찼거나찼거나 수신기수신기 자체에서자체에서 데이터데이터를를 수신하지수신하지 않는않는 다른다른 Splunk Enterprise 인스턴스에인스턴스에 데이터를데이터를 전달하여전달하여 데이터를데이터를 더더 이상이상 작성할작성할 수수 없기없기 때문때문입니다입니다 .

소켓이소켓이 차단되면차단되면 splunkd.log에에 다음과다음과 같은같은 경고경고 메시지가메시지가 표시됩니다표시됩니다 .

Stopping all listening ports. Queues blocked for more than N seconds.

소켓이소켓이 다시다시 열리면열리면 다음다음 메시지가메시지가 표시됩니다표시됩니다 .

67

Started listening on tcp ports. Queues unblocked.

68

포워더 매뉴얼 splunk 유니버설 포워더...

Documents