전체 글 (12) 썸네일형 리스트형 Splunk 에서 문자열을 합치는 2가지 방법 스플렁크에서 문자열을 쓰는 방식 중 가장 많이 쓰는건 아무래도 + 기호다. |makeresults |eval 결과="문"+"자"+"열" + 기호는 C 시절 부터 Python까지 프로그래밍 언어에서도 문자열을 합치는 유구한 방식이고, 직관성이 높기도 하다. 거기다가 Splunk는 많은 부분이 Python으로 돌아가는 프로그램이라서 인지는 몰라도, 형변환에서 매우 자유롭다. |makeresults |eval 값1="문자", 값2=2, 값3=3 |eval 결과1= 값1 + 값2, 결과2=값2+값3 결과 1과 결과2 모두 무리없이 출력된다. 결과1은 문자열로 계산해 합쳐지고, 결과2는 숫자로 계산해 합쳐진다. 그렇기 때문에 항상 + 기호만 써도 문제 없을 것 같다. 하지만 문제는 eval의 결과 값을 얻기 위해.. Splunk로 한 달 전 통계값과 지금 통계값을 비교하기 보안 업무든, 경제 업무든, 스플렁크의 stats 기능은 이 프로그램의 알파이자 오메가이다. 하지만 Splunk의 쿼리 언어인 SPL 을 포함한 SQL등의 대부분의 PL은 윗 항의 데이터와 아랫 항의 데이터를 직접적으로 비교하지 못한다. 프로그램 언어가 IF (DATA[n] > DATA[n-1]) DO ACTION(); 같은 로직으로 간단하게 전 후 데이터를 비교 할 수 있지만, SPL 언어는 (논리적으로) 한 데이터 결과 행마다 한 번씩 쿼리가 실행되는 구조다. 그러므로 1번째 행과 2번째 행은 서로 교류하지 못한다. 하지만 어떻게든 해야한다면 어거지로 만들어낼 수 있다. 아주 간단한 예를 들어 스플렁크가 2달동안 수집한 로그 수를 비교한 뒤, 몇 %가 증감 했는지 계산하는 간단한 쿼리를 써보자 |ts.. Splunk에서 리눅스 스크립트를 작성할때 CURL 35 에러가 발생한다면? (35) error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small 보통 Splunk 웹서비스를 이용해 HTTP API 통신을 하는 건 현재 거의 불가능에 가깝기 때문에 결국 Bash 스크립트를 이용할 수 밖에 없다. https URL 연결시 위와 같은 에러가 발생하곤 하는데 보통 통신 암호화 알고리즘이 기준 대비 너무 노후화 된걸 사용하기 때문이다. 인터넷에 연결되어 있는 스플렁크라면 openssl 을 최신버전으로 업데이트 한다면 단순하게 해결할 수 있다. 이게 정석이기도 하다. 하지만 실무의 영역에선 각종 구차한 사정들이 있기 마련이고, 그럼에도 불구하고 연결을 해야하는 상황이 있기 때문에, 이를 해결하기 위해선 리눅스 터미널 상에서 다음 명령.. 이전 1 2 3 4 다음