Main Components
스플렁크는 3가지의 메인 프로세싱 컴포넌트로 구성되어 있음.
Indexer
- 머신 데이터를 전처리하고, 해당 결과를 index에 event 형식으로 보관하는 컴포넌트.
- 인덱서가 데이터를 인덱싱할 때, 파일들을 생성하며 파일들은 age에 따른 디렉토리에 보관됨. (bucket)
Search Heads
- 유저가 SPL 을 활용하여 Indexed data를 검색할 수 있음.
- 사용자 검색 요청을 인덱서에게 분배
- 결과를 통합하고, 이벤트에서 필드-값 을 추출하여 제공
- Search Head에서 추가 필드를 추출하고 Knowledge Objects를 생성할 수 있음. 이는 기본 인덱스 데이터를 변경하지 않고 수행.
- report, dashboards, visualizations 으로 표현 가능
Forwarders
- 데이터를 소비하고 인덱스에 전송
- 최소한의 리소스를 필요로 하며, 성능에 영향을 미치지 않음
- 데이터가 생성되는 곳에 위치함.
Additional Components
Deployment Server
- centralized configuration manager
- 유저 인터페이스 for Forwarder management
Cluster Master
- 인덱서의 작동을 관리하고 규제하여 외부 데이터를 복제하고, 데이터를 여러 복사본으로 유지
- 고가용성 보장
License Master
- Splunk Enterprise 라이선스의 중앙 라이선스 저장소 역할
- 라이선스 풀(Pools)과 스택(Stacks)을 정의
Deployer
- search heads 클러스터 멤버에게 애플리케이션과 특정 기타 구성 업데이트를 배포하는 데 사용
