Reporting and Dashboards
리포트는 저장된 검색에서 생성
-시각화 이벤트 및 통계 포함
대시보드는 일반적으로 리포트에서 생성
-검색 상자 및 시각화 포함
Splunk는 수많은 기본 제공 리포트 및 대시보드를 제공
Reports
reports는 단일 검색을 기반으로 하며 시각화, 통계 및 이벤트를 포함할 수 있고 보고서를 보려면 이름을 클릭하면된다.
Pivot 또는 Search에서 보고서를 열어 매개 변수를 세분화하거나 데이터를 추가로 탐색할 수 있다.
Top Access By Destination를 검색해보자
dest
dest는 "destination"의 약자로, 목적지 주소를 의미하고 이미지에서는 네트워크 트래픽이 향하는 목적지를 나타내는 필드로 사용되고 있다.
필드는 각 이벤트가 향하는 서버나 네트워크 장치의 주소를 나타낸다.
sparkline
sparkline은 작은 크기의 선 그래프로, 시간에 따른 데이터의 변화를 시각적으로 간략하게 보여주는 도구이며 이미지는 특정 목적지로의 접근량이 시간에 따라 어떻게 변했는지를 보여주고 있다. 스파크라인은 한눈에 데이터의 트렌드나 패턴을 파악할 수 있도록 도와준다.
예를 들어, 이미지의 sparkline 컬럼에서 각 목적지에 대한 접근량의 변화 추이를 다음과 같이 볼 수 있음.
CNT-DC1.Services.dom: 접근량이 일정하게 유지되다가 갑작스럽게 증가한 패턴
CNT-DB-SQL.Services.dom: 비슷한 패턴을 보이며, 접근량이 일정하게 유지되다가 증가
172.16.100.22: 안정적인 패턴
CNT-DMZ-DNS: 일정한 접근량
이처럼 스파크라인을 통해 각 목적지에 대한 트래픽 변화의 추세를 빠르게 파악할 수 있다.
요약하자면, dest는 네트워크 트래픽의 목적지를 나타내고, sparkline은 시간에 따른 접근량의 변화를 시각적으로 보여주는 작은 그래프이다. 이 두 가지를 함께 사용하면 네트워크 접근 패턴을 효율적으로 분석할 수 있다.
필터 영역
Action: 모든 액션(All)을 선택할 수 있는 드롭다운 메뉴로, 특정 액션(예: 성공, 실패)을 선택하여 필터링할 수 있음
App: 모든 앱(All)을 선택할 수 있는 드롭다운 메뉴로, 특정 앱을 선택하여 필터링할 수 있음
Business Unit: 특정 비즈니스 유닛을 입력하여 필터링할 수 있는 입력 필드임
Category: 모든 카테고리(All)를 선택할 수 있는 드롭다운 메뉴로, 특정 카테고리를 선택하여 필터링할 수 있음
Special Access: 특별 접근에 대해 모든(All) 또는 특정 조건을 선택할 수 있는 드롭다운 메뉴임.
Time Range: 시간 범위를 설정할 수 있는 드롭다운 메뉴로, 기본적으로 "Last 24 hours"가 선택되어 있음
쿼리설명
검색 조건: dest_ip 또는 src_ip가 "192.168.*"로 시작하는 이벤트를 필터링
통계 계산: stats 명령어를 사용하여 bytes_in, bytes_out, bytes 필드의 합계를 각각 "Bytes In", "Bytes Out", "Total Bytes"라는 이름으로 계산, 이 계산은 src_ip와 dest_ip별로 그룹화된다.
정렬: sort 명령어를 사용하여 "Total Bytes" 기준으로 내림차순으로 정렬
상위 5개 항목 추출: head 5 명령어를 사용하여 상위 5개의 결과만 표시한다.
Reports와 Dashboards 커스텀
Save As 메뉴에서 Report, Dashboard Panel, Alert 등의 옵션을 선택할 수 있음.
옵션 설명
Permissions: 보고서에 대한 접근 권한을 설정할 수 있음
특정 사용자나 그룹에게 보고서를 볼 수 있는 권한을 부여하거나 제한할 수 있음
Schedule:보고서를 정기적으로 실행할 수 있도록 스케줄을 설정할 수 있음
예를 들어, 보고서를 매일, 매주, 매달 특정 시간에 자동으로 실행하여 최신 데이터를 반영할 수 있음
Acceleration:보고서의 실행 속도를 높이기 위해 가속 기능을 설정할 수 있음
이를 통해 대량의 데이터를 빠르게 처리하고, 결과를 신속하게 확인할 수 있음
Embed:보고서를 외부 웹 페이지나 애플리케이션에 삽입할 수 있는 옵션입니다.
이를 통해 보고서를 쉽게 공유하고, 다양한 환경에서 사용할 수 있습니다.
Title 입력란에 보고서 제목을 입력
Description 입력란에 보고서에 대한 설명을 추가할 수 있음.
Content 옵션에서 Statistics Table이 선택되어 있음
Time Range Picker 옵션을 통해 시간 범위 선택기를 추가할지 여부를 설정할 수 있음.
대시보드 패널 설정
New 또는 Existing 대시보드를 선택할 수 있고
대시보드 제목(Dashboard Title), 대시보드 ID(Dashboard ID), 대시보드 설명(Dashboard Description) 등을 입력함.
Panel Title을 입력하여 패널의 제목을 설정할 수 있음.
Panel Powered By에서 Inline Search 또는 Report 중 선택할 수 있음
시각화 도구 선택
다양한 Splunk 시각화 도구를 선택할 수 있음
예를 들어, 차트, 테이블, 맵 등을 선택하여 데이터를 시각화할 수 있음
선택한 시각화 도구를 통해 데이터를 시각화하여 대시보드에 표시할 수 있음.
