[Splunk] Splunk 설치 및 환경설정!! - Splunk A to Z 설치 정복 2

1. 기본적인 Splunk 설치

 

ftp 로 Splunk.tar 파일을 /opt 경로에 옮깁니다.

tar xvzf splunk-xxxx.tar 파일을 압축 해제 합니다.

splunk 최초 실행 : /opt/splunk/bin/splunk start --accept-license

부팅시 자동 실행 : /opt/splunk/bin/splunk enable boot-start

본 command 실행은 root 계정에서 실행해야 하고 스플렁크 실행 계정이 root가 아닐 경우에는 다음과 같이 –user 옵션을 적어야 합니다.

: /opt/splunk/bin/splunk enable boot-start –user splunk

 

2. 서비스 등록

/opt/splunk/bin/splunk enable boot-start 이 명령어는 init.d에 등록되어 장비 재부팅 시 자동으로 스플렁크가 시작됨.

 

한 대의 장비에 2개 이상의 splunk 인스턴스를 실행할 경우 각 각의 인스턴스에서 splunk enable boot-start 명령어를 실행하면 마지막 실행한 인스턴스만 init.d에 등록됩니다.

 

따라서 한 대의 장비에 2개 이상의 splunk 인스턴스가 있을경우 별도의 쉘을 작성해서 init.d에 등록해야 장비 재부팅 시 각각의 인스턴스가 자동으로 시작됩니다.

 

 

3. 라이선스 적용

• 라이선스 파일 등록

라이선스 페이지

라이선스를 추가할 서버 웹에서 설정->라이선싱 페이지에서 라이선스 추가 버튼을 통해 라이선스를 등록, 추가할 수 있습니다.

라이선스 등록 페이지에서 파일선택을 클릭하여 라이선스 파일을 선택하여 등록합니다.

라이선스 파일은 .licence로 끝납니다.

파일선택 후 설치 버튼을 누른 후 Splunk를 재시작하면 라이선스 등록이 완료됩니다.

• XML 등록

라이선스는 파일 등록 외에도 XML코드를 직접 등록할 수 있습니다.

라이선스 등록 페이지로 들어가 “라이선스 XML을 직접 복사하여 붙여넣습니다.” 링크를 클릭하여 등록이 가능합니다.

링크를 클릭하면 XML을 등록할 수 있는 Text 창이 나타나며 XML을 복사하여 붙여 넣은 후 설치를 버튼을 클릭 후Splunk를 재시작하면 라이선스 등록이 완료됩니다.

 

• CLI 활용 등록

$SPLUNK_HOME/bin에서splunk add licenses “라이선스 경로” 를 실행하면 라이선스가 등록됩니다.  등록한 라이선스는 $SPLUNK_HOME/etc/license 밑에 저장됩니다.

 

• 분산환경에서 라이선스 적용(Master-Slave)

분산환경에서는 라이선스가 등록된 한 서버를 Master로 하고 나머지 서버를 Slave로 하는 라이선스 설정을 해야 합니다. 설정 -> 라이선싱 페이지에서 슬레이브로 변경 버튼을 클릭하면 마스터, 슬레이브로 설정할 수 있습니다.

Master 설정

Slave 설정

Slave로 설정 시 Master 라이선스 서버URL에 라이선스가 등록된 서버의 URL을 입력합니다.

 

• Master로 등록한 서버는 라이선스 추가, 사용량 보고서 등 라이선스에 대한 설정이 가능
• Slave로 지정된 서버는 Master 서버의 URL 정보와 라이선스 메시지를 확인
• 클러스터 환경에서는 CM서버를 마스터 서버로 설정

 

4. Splunk 포트 변경

기본포트

스플렁크 설치 시 사용되는 default port 정보는 아래와 같습니다.

• http port [8000]
• mgmt port [8089]
• appserver port [8065]
• kvstore port [8191]

Edit Splunk conf file

스플렁크 기본 포트를 변경 할 경우 아래와 같이 conf 파일에서 설정을 변경 합니다.

• $SPLUNK_HOME/etc/system/local/web.conf 

[settings]

httpport = 8001

mgmtHostPort = 127.0.0.1:8090

appServerPorts = 8066

 

• $SPLUNK_HOME/etc/system/local/server.conf 

[kvstore]

port = 8192

Use Splunk CLI

스플렁크 기본 포트를 아래와 같이 splunk command로 변경 가능 합니다.

• $SPLUNK_HOME/bin/splunk set web-port 8001
• $SPLUNK_HOME/bin /splunk set splunkd-port 8090

한 장비에 2개 이상의 splunk 인스턴스를 실행할 경우

• 먼저 설치 된 인스턴스를 실행한 상태에서 다음 인스턴스를 설치 후 실행 합니다.
• Splunk가 실행되면서 기본포트 충돌이 발생하면 “포트가 이미 사용되고 있다”는 메시지가 표시되면서 “포트를 변경하시겠습니까?” 라는 메시지가 표시됩니다.
• 포트변경 메시지 표시 후 “y” 선택한 후 변경할 포트번호를 입력하면 됩니다.

Use Splunk Web

설정 -> 서버설정 -> 일반설정 페이지에서 Web port or Management port 변경 후 저장

 

 

5. 분산 설정

검색 피어 추가

설정 -> 분산검색 -> 검색피어 페이지에서 새로 추가 버튼 클릭

Use Splunk CLI

./splunk add search-server -host 192.168.56.10:8089 -remoteUsername admin -remotePassword 1 -auth admin:1

 

Edit Splunk conf file

• Search Head 서버에서 $SPLUNK_HOME/etc/system/local/distsearch.conf 생성(수정)

[distributedSearch]

servers = 192.168.56.10:8089, 192.168.56.11:8089

> Search Head 서버 재시작

 

• 인증 키 파일 배포 (trusted.pem 파일 복사)

- Splunk Web 또는 Splunk CLI를 이용하여 검색 피어를 추가한 경우에는 Splunk가 인증 설정을 자동으로 구성하지만 distsearch.conf를 수정한 경우에는 반드시 수동으로 인증 키 파일을 배포해야 합니다.

- Search Head에 있는 $SPLUNK_HOME/etc/auth/distServerKeys/trusted.pem 파일을 각 검색 피어의 $SPLUNK_HOME/etc/auth/distServerKeys/<searchhead_name>/trusted.pem 에 복사합니다.

- <searchhead_name>은 server.conf에 있는 serverName임.

> 각각의 Search Peer 서버 재시작

Search Head 설정 확인

• splunk list search-server
• 현재 Search Head에 포함된 검색피어 리스트를 조회 할 수 있습니다.

Indexer 설정

Host Name, Serve Name 설정 및 데이터 수신 포트 설정

설정 -> 서버설정 -> 일반설정 페이지에서 서버이름, Host 이름 설정

설정 -> 포워딩 및 수신 -> 수신구성 페이지에서 수신 포트 추가

 

Forwarder 설정

설정 -> 전달 및 수신 -> 전달구성 페이지에서 Indexr 서버 및 포트 추가

output.conf 수정

 

여기까지 Splunk의 핵심 인스턴스인 Search, Index, Forwarder에 관한 설정 방법과 설치 방법에 대해 알아보았습니다.