스플렁크 수집데이터 소스 타입 정의하기
페이지 정보
본문
개념
수신받는 데이터의 sourcetype을 재정의하는 과정을 기술합니다.
sourcetype 재정의 하기
첫 번째로는 transforms.conf 파일에서 정규표현식을 사용하여 소스 타입을 재정의 합니다.
인덱스 재정의와 달라진 것은 정규표현식 뒤에 `85라는 구분자를 정규표현식으로 구분할 수 있습니다.
해당 문자로 이어지는 raw 데이터들은 모두 allow라는 sourcetype으로 재정의하도록 설정하고자 하는 내용입니다.
transforms.conf
[DESKTOP_2M36PUN_sourcetype_firewall_allow]
REGEX = ^\w\w\w\s\d\d\s\d\d:\d\d:\d\d\s\w*-\w*\s\w*\s\w*\s\w*=\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sfirewall`85
FORMAT = sourcetype::allow
DEST_KEY = MetaData:Sourcetype
props.conf
[source::udp:10514]
TRANSFORMS-DESKTOP_2M36PUN_sourcetype = DESKTOP_2M36PUN_sourcetype_firewall_allow
위 Color는 반드시 transforms.conf의 스탠자가 props.conf와 반드시 일치해야 설정이 적용됩니다.
10514로 수신되는 raw 데이터에 대해 정규표현식을 사용하여 특정 표현식에 해당하는 데이터를 소스 타입으로 분류합니다.
☆☆☆ sourcetype
1. Index 정의 시 REGEX와 동일해도 Sourcetype 정의가 가능하다.
2. 즉, Index와 Sourcetype 정규식이 동일해도 분류하는 데 문제가 없다.
앱 재시작
브라우저에서 URL에 이와 같이 입력 후 https://IP:Port/ko-KR/debug/refresh, 앱을 재기동합니다.
재기동 후에 Kiwi Syslog를 통해 데이터를 수신받습니다.
재정의 된 sourcetype 확인하기
sourcetype = 내용을 확인할 수 있습니다.
- 이전글스플렁크 admin 계정 비밀번호 분실 시 22.04.19
- 다음글스플렁크 수집데이터의 인덱스 정의하기 22.04.17
댓글목록
최고관리자님의 댓글
최고관리자 작성일좋은글 감사합니다. ^^
