Splunk 지식 관리_이벤트 타입/ 룩업

 

Splunk에서의 가장 많이 사용하는 지식

• 이벤트 타입
• 룩업
• 태그와 별칭
• 워크플로
• 검색 매크로

---

 

이벤트 타입)

• 특정 조건을 만족하는 이벤트의 집합을 정의하여 데이터를 분류
• ex) "로그인 실패 이벤트", "시스템 경고 이벤트", "status_404" 등
• 시간 지시자 위의 다른 이름으로 저장 > Event Type

• 이벤트 타입 사용시 검색 창에
  
  • eventtype=<이벤트 타입 객체명>
  • eventtype=status_404

---

 

룩업)

Splunk 원본 소스 로그에는 없는 내용을 다른 테이블과 함께 검색해서 결과에 더욱 풍부한 의미를 부여할 수 있다.

한 번 정의한 룩업은 필드명을 동일하게 설정한다면 다른 검색에서 재사용할 수 있다.

 

- 먼저 지식이란 무엇인가?

Splunk에서 "지식(Knowledge)"은 데이터를 더 유용하게 만들기 위해 정의된 구성 요소와 설정을 말한다. Splunk의 지식은 원시 데이터를 인간이 이해하기 쉽고 분석하기 용이하게 정리하고 시각화하는 데 중요한 역할을 한다. 이 "지식"은 Splunk 사용자가 데이터를 효율적으로 검색, 분석, 그리고 활용할 수 있도록 도와준다.

 

• 룩업 파일 업로드
  • 설정 > 룩업 > 룩업 테이블 파일 > + 새로 추가
• 룩업 권한 설정

 

• 룩업 정의

정의한 룩업을 사용해서 검색 결과 강화

 

• 룩업 테이블 적용 검색
  • index="book" sourcetype="access_combined_wcookie" productId!=""
    | lookup prices productId outputnew product_name, price, sale_price, Code
    | table productId, product_name, price, sale_price

 

• 자동 룩업 적용
  • 설정 > 룩업 > 자동 룩업 + 새로 추가

    

  • 룩업 출력 필드 : 키 값을 이용해서 룩업 테이블에서 추출하는 값
  • lookup 명령을 사용하지 않아도 자동 룩업이 해당 내용을 출력하는 것 확인