Splunk에서 소스 접근성을 모니터링하는 간단한 대시보드 만들기

이전 기사에서는 대시보드에서 편리한 시각화를 만들기 위해 의존 패널을 사용하는 방법을 살펴보았습니다. 놓친 경우, 다음 링크를 따르세요: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Splunk를 연구하기 시작한 많은 사람들은 수신 데이터의 가용성을 모니터링하는 것에 대해 질문합니다: 특정 소스로부터 마지막으로 데이터를 수신한 시점, 데이터가 더 이상 도착하지 않는 시점이나 현재 사용 불가능한 소스는 무엇인지. 따라서 오늘 우리는 Splunk 내에서 소스의 가용성에 대한 정보를 제공하는 간단한 대시보드를 만들 것입니다.

소스의 접근성을 최신 상태로 유지하는 방법

1. 먼저, 제목이 있는 대시보드를 만들겠습니다 ‘소스 가용성’:

2. 그 다음 통계 테이블 생성을 위한 검색 요청을 만듭니다. 모든 인덱스 내에서 통계적인 테이블에 대한 검색 요청을 수행해야 합니다 data (index=*): 모든 호스트와 소스에서 마지막 이벤트를 검색하고자 합니다, 이를 위해 ‘stats’ 명령어를 사용할 것입니다:index=* | stats max(_time) as last_time by host, source

‘last_time’필드는 이벤트가 Splunk에 들어온 마지막 시간을 유닉스 시간 형식으로 보여줍니다.

3. 이제 변수를 추가하고 계산합니다 ‘분 전’, ‘시간 전’, ‘일 전’. 분에 대해:eval latency_minutes=round((now()-last_time)/60,0)시간에 대해:eval latency_hours=round(latency_minutes/60,0)날짜에 대해:eval latency_days=round(latency_hours/24,0)

참고: ’round’ 는 반올림하여 정수를 얻기 위해 사용됩니다.결과:

4. 좋습니다, 이제 필드를 이름을 변경하고 ‘last_time’ 을 사람이 읽을 수 있는 형식으로 변환합니다. 또한 트리거 조건 필드를 추가해야 합니다: 만약 latency_minutes 가 5보다 크면 상태 ‘Off’, 5분 미만이면 – ‘Off’, 5분 미만이면 –‘On’:

5. 결과적으로 다음과 같은 대시보드를 볼 수 있습니다:이 기사에서는 소스의 접근성을 모니터링하기 위해 간단한 검색 요청을 만드는 방법을 시연했습니다. 이 방법을 사용하면 어떤 소스가 누락되었거나 사용할 수 없게 되었는지 빠르게 결정할 수 있습니다. 이 논리는 프로세스가 중단되지 않고 여전히 온라인 상태인지 모니터링해야 하는 다른 유형의 데이터와 함께 사용할 수 있습니다. 소스 대신, 모니터링을 위한 다른 이벤트나 필드를 사용할 수 있습니다. 따라서 다음 주에는 값에 따라 셀의 색상을 변경하여 정보 테이블을 만드는 방법을 시연할 예정입니다.