본문 바로가기

BigData/Splunk

[Splunk] Splunk Data Model, Accelerate 만들기!! - 데이터 모델 개념과 가속화

반응형

Data Model 이란?

데이터 모델은 현업 데이터의 분석을 도와주는 기능으로 Splunk에 내장되어 있습니다.

  • 데이터의 Semantic 지식 구조를 정의하고 상/하위 구조의 포함하는 데이터 모형
  • 설정이 저장되어 있다가 검색 시 Dynamic 하게 반영
  • 특화된 검색과 분석을 가능하게 하고 Pivot 기능의 바탕

데이터 모델의 요소?

> 데이터 모델 Object 유형

  • Root Object : 최상위 Object 이며 여러 Child Object 를 생성/관리 합니다.
  • Event Object : 데이터를 분류하여 제약 조건에 의해 추가한 것을 말한다.
  • Search Object : 데이터 모델 안에 Object를 통계 명령을 사용하여 검색할 기능을 갖고 있는 Object.
  • Transaction Object : 데이터 모델 안에 존재하는 하나 이상의 Event, Transaction, search Object 내의 데이터 구성 집합을 기반으로 Object 구조를 만든다.
  • Child Object : 상위 Object 의 자식 개념의 Object 로 상위 Object 가 제한한 부분외 조건을 상속 받는다.

> 데이터 모델의 성격

  • 상/하위 구조로 구성되며 ConstraintsAttribute 를 상위 Object에서 상속 받으며 또한 개별 순위의 Object만의 Constraint와 Attribute 들을 포함

 

데이터 모델의 생성 방법

  • 신규 데이터 모델을 생성하기 위하여 Splunk 설정 > 새 데이터 모델을 선택합니다.

  • Root Object 정의를 위해 최상위 Root Object 개체를 생성하고 제역 조건 추가

  • 데이터 모델의 Attribute 선택 및 추가 

  • Object 매칭 확인을 위해 Constraint와 Data Attribute로 구성

  • 하위 Child Object 정의

> Child Object 는 Root Object 하단에 생성되고 해당 Child Object에 추가적 Constraint와 Data Attribute가 추가 됩니다.

> 예를 들어 판매에 연관된 데이터가 Root Object에 있다고 가정하면 Child Object 에서는 제품 유형의 Constraint로 나누어질 수 있습니다.

  • 데이터 모델 생성 확인

 

가속화 (Accelerate)

데이터 모델 가속화란? 만들어진 데이터 모델을 가속화 하여 데이터를 저장 및 검색할 때 고성능의 퍼포먼스로 가속화 해주는 기능 입니다.

 

가속화 절차

  • 비정형 데이터를 Splunk Indexer로 부터 호출 데이터 모델을 정의
  • 데이터 모델 정의 후 가속화 탭으로 들어가 해당 모델 가속화 활성화

편집 및 가속화

  • 데이터 모델 설정에서 가속화를 활성화

반응형