본문 바로가기

BigData/Splunk

[Splunk] Splunk 설치 및 환경설정!! - Splunk A to Z 설치 정복 3

반응형

Index Clustering 설정하기

Cluster Master 서버 설정

  • 클러스터 마스터 서버가 중지 되도 운영에 문제가 없음
  • 클러스터 마스터와 인덱서가 동시에 중지 되었을 경우 운영에 문제가 발생 함.
  • 보통 복제팩터 : 3 , 검색팩터 : 2 로 설정한다.
  • Master 서버는 고사양의 H/W가 필요없음으로 Searcher 서버에 같이 위치시키기도 함.

Splunk web 에서 설정하기

  1. 설정 -> 분산환경 -> indexer clustering 메뉴 선택
  2. Enable indexer clustering 버튼 클릭
  3. 마스터 노드를 선택하고 다음 버튼 클릭
  4. 복제팩터, 검색팩터, 보안키를 지정 후 마스터노드 활성화 버튼 클릭
  5. Clustering 설정 후에는 splunk를 재시작 해야 한다.

 

splunk CLI 에서 설정하기

splunk edit cluster-config command 이용

  • splunk edit cluster-config -mode master -replication_factor 3 -search_factor 2
  • splunk restart

 

Splunk conf file 에서 설정하기

server.conf 파일 수정

[clustering]

mode = master

replication_factor = 3

search_factor = 2

pass4SymmKey = whatever

 

Search Head 서버 설정

Splunk web 에서 설정하기

  1. 검색헤드 노드를 선택하고 다음 버튼 클릭
  2. 클러스터 마스터 주소, 마스터 포트, 보안키를 입력하고 검색헤드 노드 활성화 버튼 클릭
  3. Clustering 설정 후에는 splunk 재시작 해야 한다.

 

splunk CLI 에서 설정하기

splunk edit cluster-config command 이용

  • splunk edit cluster-config -mode searchhead -master_uri https://10.160.31.200:8089
  • splunk restart

splunk edit cluster-master command 이용하여 보안키 변경

  • splunk edit cluster-master https://10.160.31.200:8089  -secret newsecret123

 

Splunk conf file 에서 설정하기

server.conf 파일 수정

[clustering]

master_uri = https://10.152.31.202:8089

mode = searchhead

pass4SymmKey = whatever

 

Peer 서버(indexer 서버) 설정

Splunk web 에서 설정하기

  1. 피어 노드를 선택하고 다음 클릭
  2. 클러스터 마스터 주소, 마스터 포트, 피어 복제 포트, 보안키를 입력하고 피어노드 활성화 버튼 클릭
  3. Clustering 설정 후에는 Splunk 재시작 필요

 

 

splunk CLI 에서 설정하기

splunk edit cluster-config command 이용

  • splunk edit cluster-config -mode slave -master_uri https://10.160.31.200:8089 -replication_port 9887
  • splunk restart

 

Splunk conf file 에서 설정하기

server.conf 파일 수정

[replication_port://9887]

[clustering]

master_uri = https://10.152.31.202:8089

mode = slave

pass4SymmKey = whatever

(여기서 잠깐,)

indexes.conf 파일도 수정해주야 하는데,

repFactor = auto 로 설정해주어야만 복제됨

 

7. Deployment 설정

Deployment ServerSplunk 설치 시 특별한 설정 없이 $SPLUNK_HOME/etc/deployment-apps 디렉토리에 배포할 App을 위치시킨다.

Deployment ServerUniversal Forwarder와 주기적으로 통신하여 수정된 배포 사항이 있는지 체크한다. (수집장비 1000대 기준으로 하여 Deployment Server 2대 산정 - SK기준 CPU : 8Core, Memory : 8G 이상)

 

  • $SplunkForwarder/etc/system/local 밑에 있는 conf 파일은 배포할 수 없다.
  • App형태로만 배포 가능함. (conf파일만 배포할 경우 깡통 App을 만들어 배포해야 함.)
  • 만약 TA-Window 앱의 conf만 변경할 경우 배포서버의 $SPLUNK_HOME/etc/deployment-apps 디렉토리에 있는 conf파일을 변경하면 자동으로 변경내용이 배포된다.

8. Search Cluster 설정

Search Cluster 배포서버 설정

  • $SPLUNK_HOME/bin에서 splunk edit shcluster-config –adhoc_searchhead true 실행
  • server.conf[shclustering] 스탠자에 pass4SymmKey = 클러스터링에 사용할 비번을 입력.

패스워드 입력 시 일반 스트링(nb1234)으로 입력 한 후 splunk를 재시작 한 후에 보면 위 화면과 같이 자동으로 암호화 된다.

  • splunk 재시작

> Splunk CLI 명령어 입력 시 sever.conf에서 비밀번호 변경 작업 필요

> server.conf 파일만 수정하여 적용해도 됨.

Search Cluster 멤버 설정

  • $SPLUNK_HOME/bin에서 splunk init shcluster-config –auth admin:비번 –mgmt_uri https://멤버서버IP(자신):관리Port -replication_port 복제Port –replication_facotr 복제팩터 수(Searcher ) –conf_deploy_fetch_url https://배포서버IP:관리Port -secret 클러스터링에 사용할 비번 (Search Cluster 배포서버 설정 시 사용한 암호)
  • splunk 재시작.

> 기본 관리 Port : 8089, 복제 Port : 8080

> 각각의 Searcher 서버 모두에서 위 명령어를 실행해야 함

 

Search Cluster 캡틴 설정

  • 서처 클러스터 멤버 중 캡틴 서버로 설정할 $SPLUNK_HOME/bin에서
    splunk bootstrap shcluster-captain –servers_list “https://
    멤버1IP:관리Port, https://멤버2IP:관리Port, https://.......” -auth admin:비번 실행

위의 사항을 적용하면 서처 클러스터 멤버들의 server.conf에 동일한 id값이 설정된다.

> 캡틴서버는 Searcher서버 중 한대를 골라서 설정

> 멤버리스트 설정 시에는 자기자신을 포함하여 설정

서처 클러스터 설정을 완료하면 클러스터 멤버 웹에 접속 후 설정 창을 열어보면 공유 가능한 설정들이 나타난다.

위 화면에 보이는 메뉴에서 설정된 내용은 Searcher Cluster 멤버들 간에 공유가 된다.

(멤버 서버중 한 대에서 saved search를 등록하면 나머지 멤버서버들간에 내용이 동기화 됨)

 

서처 클러스터 배포서버는 서처 클러스터 멤버가 아니고 단순 배포 역할만 한다.

반응형