[SPLUNK] 기능 및 개념 정리

SPLUNK 기능 및 구성 

• SPLUNK는 검색, 저장, 배포, 수집 4가지 기능을 수행
• SPLUNK는 SearchHeader, Indexer, Deployment, Forwarder로 구성

---

SearchHeader

• 검색 결과를 화면으로 사용자에게 제공하는 역할
• Splunk Daemon에 접근하여 검색을 수행하며, 분산검색시 하나 이상의 SearchHeader가 필요
• 다른 인스턴스에 비해 메모리 리소스를 많이 잡아먹음

---

Indexer

• 인덱스를 생성하여 데이터 인덱싱 및 관리를 수행함 
• Forwarder에서 전달한 데이터를 파싱하여 정규화된 패턴(정의된 sourcetype)으로 필드로 분류하는 작업으로 이루어짐
• 이벤트를 자동으로 Key / Value 형태로 필드를 나누며, 저장소 역할을 함

---

Deployment

• 인스턴스 분산 관리 및 배포를 수행함

---

Forwarder

• 데이터를 수집하는 역할을 함
• 포워더는 Universal Forwarder, Heavy Forwarder 등이 있음
• Universal Forwarder는 필요데이터를 설정된 sourcetype에 매칭된 데이터를 수집함 (인덱싱 없이 데이터 전달)
• Universal Forwarder 리소스 사용률이 적음, 수집시 필터링 기능은 제공하지 않음
• Heavy Forwarder 원시 데이터에 대해서 인덱싱 작업을 수행한 후 데이터를 전달 및 수집