splunk/ forwarder-indexer-header 환경 설정

Algo rhythm·2022년 9월 12일
0

splunk

목록 보기
21/24

분산환경 설정

indexer to header

서버 구성

상세

header 1대
indexer 2대 + cluster master 1대
forwarder 2대

forwarder to indexer (or standalone)은 과거에 했기 때문에 넘어가자

universal forwarder는 전용 프로그램이 있기에 스플렁크 홈페이지에서 받아왔으나 indexer나 header는 splunk enterprise를 사용하기 때문에 과거에 받았던 걸 그대로 사용하자

하던대로 splunk enterprise tar 파일을 다운받아 /opt에 압축을 풀어주고 스플렁크를 실행한다(라이선스 허용하고, 사용자 등록 등등).

순서

cluster master

  1. 클러스터 전용 서버에서 web으로 접속한다.

  2. 설정 - 인덱서 클러스터링

  3. 인덱서 클러스터링 활성화

  4. 마스터 노드 선택 - 포워더에서 받은 데이터를 인덱서에서 받아주고 인덱서에서 파싱이 이뤄지는데 이러한 과정을 효율적으로 통제하기 위한 인덱서들의 관리자 같은 개념

  5. 관리자 노드 설정

  6. 클러스터 서버 재시작

복제 팩터: 수집 데이터 복제수
검색 팩터: 검색 사본수
보안키: 클러스터링되는 서버에 공유할 키 값, 인덱서와 서치헤드에서 클러스터링 설정시 사용
클러스터 레이블: 사용자가 구분하기 쉽게 하기 위한 용도
출처: https://mellowlee.tistory.com/entry/Splunk-master-indexer-search-설치 [잠토의 잠망경:티스토리]

indexer 1, 2

인덱서의 설치 및 구성은 과정이 같아서 반복한다
1. 설정 - 라이선싱 - 다른 스플렁크 인스턴스를 마스터 라이선스 서버로 지정 - cluster master 서버의 ip와 포트를 입력(http://192.168.237.135:8089) 8089 포트는 해당 서버의 스플렁크 관리자 포트
2. 설정 → 인덱서 클러스터링 → 피어 노드 - 포워더에서 받은 데이터를 인덱싱하는 영역

  1. 인덱서 서버 각각 재시작

  2. 설정 - 전달 및 수신

  3. 데이터 수신 - 새로 추가 - 수신설정 - 9997 포트

검색 헤더

  1. 검색용 서버에 splunk enterprise를 설치 및 압축 풀기(이 과정은 다른 인덱서, 클러스터 모두 동일)
  2. 설정 - 인덱서 클러스터링 - 인덱서 클러스터링 활성화 - 검색 헤드 노드
  3. 검색 헤드 노드 설정
  4. 재시작

검색 헤더 & 클러스터 서버 설정

여기선 선택의 영역
1. 헤더서버 ↔ 클러스터 서버 ↔ 인덱서 서버

  1. 다자 연결

어떻게 설정할 지는 상황에 적합하게 하는데 난 지금 연습용이라 그냥 간단하게 하고 끝낸다.

연결 방법 : 설정 - 전달 및 수신 - 데이터 수신 - 새로추가 - 9997 포트로 데이터 수신, 전달 설정 새로 추가 - 데이터를 전달할 ip & port를 입력한다(지금의 경우 인덱서는 클러스터 마스터로 보내고, 클러스터 마스터는 검색헤더로 보냄).

데이터 수신 - 수신설정 혹은 새로 추가 - 9997포트 설정 - 데이터 전달 - 전달 설정 혹은 새로 추가 - 데이터를 보낼 ip:9997 포트(기본이 9997포트)

profile
배운 건 써 먹자

0개의 댓글