오늘은 Universal Forwarder가 연결된 구성에 Heavy Forwarder를 추가하여 구성해볼 것 이다.
매우 간단한 구성 작업이다. 그림으로 보면 다음과 같다.
Step1에서 이어지는 내용이기 때문에, 중복된 내용은 간략하게 적었다. 따라서 Step1을 먼저 보고오는 것이 좋다.
1. Heavy forwarder 설치하기
헤비 포워더를 설치하는 방법은 기존 인스턴스를 설치하는 방법과 동일하다. Splunk Enterprise를 설치하고 그것의 설정파일을 구성하여 Heavy Forward로 사용하는 것 이다.
- wget으로 Splunk 인스턴스를 내려받는다.
wget -O splunk-9.1.2-b6b9c8185839-Linux-x86_64.tgz "https://download.splunk.com/products/splunk/releases/9.1.2/linux/splunk-9.1.2-b6b9c8185839-Linux-x86_64.tgz"- 압축 해제
tar -xvf splunk-9.1.2-b6b9c8185839-Linux-x86_64.tgz - 인스턴스 시작
cd $SPLUNK_HOME/splunk/
./splunk start 
여기까지 잘 따라왔다면, 문제 없이 위와 같은 화면이 나올 것 이다. 이후에 직접 인스턴스를 접속한다.
- 접속하기 전에 방화벽 설정을 열어줘야 한다.
인스턴스 정보 > 보안 > 인바운드 규칙이 있다. 여기서 8000포트를 열어준다.
설정 이후 모습은 다음과 같다.
- 접속해보면, 설치 시 입력한 ID/PW를 입력한다. 아래와 같이 모습이 보이면 일단 Splunk 서버를 완성했다.
2. inputs.conf, outputs.conf 설정하기
먼저 데이터 송, 수신 설정은 cli 명령어로 하였다.
너무 쉬워서 큰 설명도 필요없다.
- /var/log 파일을 모니터링 하도록 설정
실제 설정 파일 경로에서 보면 다음과 같이 나와있다../splunk add monitor /var/log
-
포워더 서버 데이터 전달 설정
./splunk add forward-server 18.191.202.166:9997(인덱스 서버 주소:수신포트)실제 설정 파일 경로에서 보면 다음과 같이 나와있다.
- 로그 파일 확인
3. 인덱스 서버 검색
아래와 같이 uf, hf가 각각 host로 나와있는 것을 볼 수 있다. 정상 수집됨을 확인했다.
끝이다. AWS 인스턴스는 모두 삭제하자!
