Splunk Tech (4) 썸네일형 리스트형 Splunk 응용 - 통계 기능 stats, eventstats, streamstats 스플렁크를 포함한 DB는 결국 사용자의 역량에 따라 환골탈태하는 물건이다. 정말 관심이 없거나 생각이 없다면 그냥 Ctrl + F 검색을 더 쉽게 하는 수준으로 사용하는 것 같다. 거기서 조금만 발전하면 엑셀 표 뽑아주는 기계정도로 인식을 하는 듯 하고. 오라클 DB 같은 전통적인 DB의 경우 딱 그 정도까지만 해도 수십억 단위의 데이터의 저장 및 관리가 쉽다는 관점에서 실사용의 의의를 다 채웠다고 해도 할 말이 없다. 하지만 Splunk가 전통적인 DB와 차별점을 가지고, 기업용으로는 라이선스 비용조차 더 비싸게 받아먹는 이유는, 표, 통계, 보고서 작성, 대시보드 표기 등 DB 안에 있는 데이터를 가공/처리해서 보여주는 프런트엔드 애플리케이션을 만들고 유지보수할 필요 없이 쿼리만 가지고 뚝딱뚝딱 만들.. Splunk 기초 - 따옴표 제대로 이해하기 스플렁크를 사용하다보면 따옴표와 큰따옴표를 자주 볼 수 있다. 헌데 모르고 지나치기엔 자주 나오고, 사용하기도 하고 사용하지 않기도 하며, 단순히 읽고 보는 입장에선 있으나 없으나 사람 뇌로 쿼리문을 이해하는데 큰 문제가 없으니 참 애매한 대상이다. 하지만 쿼리를 작성해서 Splunk에 넣어야하는 입장에선 사소하지만 중요한 문법이기에, 로직을 멀쩡히 짜서 넣었는데도 따옴표, 큰따옴표, 생략 여부에 따라 데이터가 나오기도 하고 바뀌기도 하고 안나오기도 하니 제대로 모르면 나중에 디버깅을 위해 어두운 등잔 밑에서 시간을 낭비하게 할 수도 있다. 따옴표와 큰 따옴표는 다음과 같은 기능을 상황에 따라 가진다 큰 따옴표 (") 문자열을 하나로 묶어준다 값 그 자체 따옴표 (') 해당 컬럼이 가진 값을 호출한다 이.. Splunk 기초 - Where 절의 효율적 사용 스플렁크에서 where 은 search와 함께 원하는 데이터만 필터링해서 보여주는 가장 기초적인 방식이다. 이 포스트에서는 where의 기초적인 사용법을 다룬다. 보통 다음과 같이 사용한다. |where 컬럼명 = "원하는 값" |where 컬럼명 != "원하지 않는 값" 기초적인 명령어지만, 이렇게 검색할 경우 딱 한가지 값만 필터링 가능 하다. 두 가지 값을 AND 나 OR 조건으로 필터링하고 싶다면 직관적으로 사용하면 된다. |where 컬럼명 = "원하는 값1" OR 컬럼명 = "원하는 값2" |where 컬럼명 = "원하는 값1" AND 컬럼명 = "원하는 값2" 사실 AND는 별도로 사용할 필요 없이 다음과 같은 조건 설정이 가능하다. |where 컬럼명1 = "원하는 값" 컬럼명2 = "원하.. Splunk 기초 - Search 절을 이용한 필터링 스플렁크에서 search 명령어는 가장 기본적인 명령어로 근본적으로는 where와 같은 필터링 명령어로 볼 수 있다. search는 검색창에 아무 명령어를 넣지 않아도 기본적으로 들어가는 기본 명령어다. 따라서 sourcetype=값1 host=호스트이름 위와 같은 구문을 검색창에 넣어서 실행하면 정상적으로 실행되지만 |search sourcetype=값1 host=호스트이름 실제로는 위와 같은 구문이 실행된다. 하지만 해당 기능은 쿼리의 맨 앞에서만 적용되므로, 이미 나온 검색결과의 필터링을 위해 쿼리 뒷부분에 붙일 때는 search를 명시해야한다. 보통은 기본적으로 처음부터 search 명령어가 들어가기 때문에 평소엔 그냥 그렇구나 하고 넘어갈 수 있지만, 외부에서 REST API를 통해 동작시키거나.. 이전 1 다음