Splunk 열 시트¶
Splunk는 웹 스타일 인터페이스를 통해 검색, 모니터링 및 분석 기계 생성 데이터를 위한 강력한 플랫폼입니다. 보안 정보 및 이벤트 관리 (SIEM), IT 운영 및 비즈니스 분석에 널리 사용됩니다.
설치 및 설치¶
Splunk Enterprise 다운로드 및 설치¶
카지노사이트
Splunk 보편적인 운송업자¶
카지노사이트
Docker 설치¶
카지노사이트
기본 검색 명령¶
검색 기본¶
카지노사이트
검색 연산자¶
카지노사이트
시간 정류기¶
카지노사이트
Data 처리 명령¶
필드 추출¶
카지노사이트
현장 작업¶
카지노사이트
데이터 변환¶
카지노사이트
통계 명령¶
Basic 통계¶
카지노사이트
고급 통계¶
ο 회원 관리
시간 기반 통계¶
카지노사이트
필터링 및 분류¶
명령이 있는 곳¶
카지노사이트
검색 및 위치¶
카지노사이트
분류하기¶
카지노사이트
고급 검색 기술¶
연구¶
카지노사이트
이름 *¶
카지노사이트
공지사항¶
카지노사이트
계정 관리¶
카지노사이트
시각화 및 보고¶
차트 명령¶
오프화이트
상위 및 희귀¶
카지노사이트
프로젝트¶
오프화이트
보안 및 SIEM 사용 사례¶
비밀번호¶
카지노사이트
Brute 힘 탐지¶
카지노사이트
Privilege 확장¶
카지노사이트
Network 트래픽 분석¶
카지노사이트
Malware 탐지¶
카지노사이트
성능 최적화¶
검색 최적화¶
카지노사이트
현장 추출 Optimization¶
```spl
Extract only needed fields¶
index=main|rex field=_raw "user=(?
Use field extraction in search¶
index=main user=admin|stats count
Limit field extraction scope¶
index=main|head 1000|rex field=_raw "pattern" ```의 경우
메모리 및 CPU 최적화¶
```spl
Use summary indexing for frequent searches¶
|collect index=summary_index source="daily_stats"
Use report acceleration¶
|sistats count by user
Limit search scope¶
index=main earliest=-1h latest=now|head 10000 ```에 대하여
구성 및 관리¶
인덱스 관리¶
```bash
Create new index¶
/opt/splunk/bin/splunk add index myindex -maxDataSize 1000 -maxHotBuckets 10
List indexes¶
/opt/splunk/bin/splunk list index
Clean index¶
/opt/splunk/bin/splunk clean eventdata -index myindex ```의 경우
사용자 관리¶
```bash
Add user¶
/opt/splunk/bin/splunk add user username -password password -role user
List users¶
/opt/splunk/bin/splunk list user
Change user password¶
/opt/splunk/bin/splunk edit user username -password newpassword ```에 대하여
Data 입력 구성¶
```bash
Monitor file¶
/opt/splunk/bin/splunk add monitor /var/log/messages -index main
Monitor directory¶
/opt/splunk/bin/splunk add monitor /var/log/ -index main
Network input¶
/opt/splunk/bin/splunk add tcp 9999 -sourcetype syslog ```의 경우
Forwarder 구성¶
카지노사이트
REST API를 제품 정보¶
인증현황¶
카지노사이트
검색 API¶
카지노사이트
데이터 입력 API¶
카지노사이트
문제 해결¶
일반적인 문제¶
카지노사이트
로그 분석¶
카지노사이트
성능 모니터링¶
```spl
Internal Splunk metrics¶
index=_internal source=*metrics.log group=per_index_thruput |stats sum(kb) as total_kb by series |sort -total_kb
Search performance¶
index=_audit action=search |stats avg(total_run_time) as avg_runtime by user |sort -avg_runtime
License usage¶
index=_internal source=*license_usage.log type=Usage |stats sum(b) as bytes by idx |eval GB=round(bytes/1024/1024/1024,2) |sort -GB ```의 경우
최고의 연습¶
최고의 연습¶
- ** 특정 시간대 사용 ** - "모든 시간"을 검색하지 마십시오
- ** 필터 초기 ** - 사용 색인, Sourcetype 및 호스트 필터 첫 번째
- ** 빠른 명령 사용 ** - 통계, 차트, timechart는 거래보다 더 빠릅니다.
- 명세 **Avoid wildcards ** - 특히 검색 조건의 시작
- 명세 **기본 색인 사용 ** - 자주 검색을 실행
데이터 온보딩 최고의 연습¶
- ** 플랜 인덱스 전략 ** - 데이터 유형 및 보존에 의한 별도 인덱스
- ** 소스 유형 구성 ** - Proper 필드 추출 및 패싱
- ** 적절한 시간 추출 설정 ** - 정확한 타임스탬프 보장 4.Use Universal Forwarders - 분산 데이터 수집
- 명세 **Monitor license use ** - 라이센스 제한 내에서 숙박
보안 모범 사례¶
- ** 역할 기반 액세스 사용 ** - 적절한 제한 사용자 권한
- ** SSL ** - 웹 인터페이스 및 운송 통신
- Regular Backup - 백업 구성 및 중요한 데이터
- 명세 Monitor 관리자 활동 - 트랙 구성 변경
- 명세 **Keep Splunk 업데이트 ** - 보안 패치를 정기적으로 적용