728x90
SPLUNK 기능 및 구성
- SPLUNK는 검색, 저장, 배포, 수집 4가지 기능을 수행
- SPLUNK는 SearchHeader, Indexer, Deployment, Forwarder로 구성
SearchHeader
- 검색 결과를 화면으로 사용자에게 제공하는 역할
- Splunk Daemon에 접근하여 검색을 수행하며, 분산검색시 하나 이상의 SearchHeader가 필요
- 다른 인스턴스에 비해 메모리 리소스를 많이 잡아먹음
Indexer
- 인덱스를 생성하여 데이터 인덱싱 및 관리를 수행함
- Forwarder에서 전달한 데이터를 파싱하여 정규화된 패턴(정의된 sourcetype)으로 필드로 분류하는 작업으로 이루어짐
- 이벤트를 자동으로 Key / Value 형태로 필드를 나누며, 저장소 역할을 함
Deployment
- 인스턴스 분산 관리 및 배포를 수행함
Forwarder
- 데이터를 수집하는 역할을 함
- 포워더는 Universal Forwarder, Heavy Forwarder 등이 있음
- Universal Forwarder는 필요데이터를 설정된 sourcetype에 매칭된 데이터를 수집함 (인덱싱 없이 데이터 전달)
- Universal Forwarder 리소스 사용률이 적음, 수집시 필터링 기능은 제공하지 않음
- Heavy Forwarder 원시 데이터에 대해서 인덱싱 작업을 수행한 후 데이터를 전달 및 수집
'SPLUNK' 카테고리의 다른 글
| [SPLUNK] BUCKET (버킷) (0) | 2021.06.24 |
|---|---|
| [SPLUNK] SPL 이해 (SQL비교) (0) | 2021.05.19 |