Splunk 에서 상태 로그 분석 데이터 입력을 수동으로 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 11분

    • Heavy Forwarder를 Splunk 사용하여 로그 메시지를 ServiceNow 인스턴스에 스트리밍하기 위한 데이터 입력을 설정합니다.

    시작하기 전에

    • 로그 수집 기능이 활성화된 상태로 MID 서버 설치 및 구성되어 있는지 확인합니다. 자세한 내용은 MID Server system requirements 문서를 참조하십시오.

      로그 수집 기능이 활성화된 MID 서버 구성입니다.

      중요사항:
      상태 로그 분석는 IPv6를 지원하지 않습니다. 애플리케이션을 사용하려면 MID 서버를 IPv4로 구성합니다.
    • 외부 클라이언트와 외부 클라이언트가 동일한 네트워크에 MID 서버 있지 않는 한 MID 서버 공용 IP 주소가 있어야 합니다. 이는 IP가 NAT(네트워크 주소 변환), 부하 분산 장치 또는 이와 유사한 장치를 통해 노출되는 경우에 필요합니다. 공용 IP 주소를 사용하면 네트워크 외부에 있는 에이전트와 같은 Filebeat 외부 클라이언트가 에 연결할 수 있습니다 MID 서버. 개인 IP 주소는 인터넷을 통해 라우팅할 수 없습니다. 공용 IP가 없으면 외부 클라이언트가 해당 주소로 구성되어 있더라도 연결할 MID 서버 수 없습니다. MID 서버 속성에서 공용 IP 주소가 있는 mid.public_ip 속성을 값으로 추가합니다. 자세한 내용은 MID 서버 속성 만들기를 참조하십시오. MID 서버 외부 클라이언트와 외부 클라이언트가 동일한 네트워크에 있으면 개인 IP 주소를 사용하여 연결할 수 있습니다.
    • SSL TLS를 사용하여 암호화된 로그를 배송하려면 지식베이스에서 Now SupportSSL을 사용하여 Rsyslog 및 Filebeat로 데이터 스트리밍 [KB0866319] 문서를 참조하십시오.
    • Syslog를 사용하여 인스턴스에 ServiceNow 로그를 전달하도록 구성 Splunk 합니다.
    • 이 데이터 입력의 구성에는 $SPLUNK_HOME이라는 환경 변수가 있는 것으로 가정합니다. Unix와 같은 환경에서 이 변수는 일반적으로 /opt/splunk를 가리킵니다.
      주:
      환경은 Windows 동일한 디렉터리 구조를 사용하지만 백슬래시(\)가 있습니다.

    필요한 역할: evt_mgmt_admin

    이 태스크 정보

    이 설정 절차는 무거운 전달자를 사용하여 Splunk 인스턴스로 로그를 스트리밍하기 위한 것입니다. Heavy Forwarder를 사용할 수 없는 경우 대신 Universal Forwarder를 Splunk 사용할 수 있습니다. 자세한 내용은 Now Support 지식베이스의 Splunk Universal Forwarder를 배송 방법으로서의 KB0961378] 문서를 참조하십시오.

    제품군 릴리스부터 YokohamaSplunk 데이터 입력을 사용하여 기본적으로 사용되는 전처리("가공된") 로그 전달 형식으로 Splunk 데이터를 수집할 수 있습니다. 조리 모드에서 전달자는 호스트, 소스 유형, Splunk 소스 및 기타 설정과 같은 구성 상세 정보를 로그 데이터에 포함합니다. 이 형식으로 데이터를 HLA 수집하면 각 로그 라인에 모든 관련 컨텍스트 정보가 유지됩니다. 에서 쿠킹된 데이터 옵션을 HLA사용하는 경우 데이터 입력 구성 중에 Splunkprops.conftransforms.conf 파일을 편집할 필요가 없습니다.

    주:
    모든 Splunk 구성 파일은 $SPLUNK_HOME/etc/system/local/ 폴더에 있습니다. 수정해야 하는 구성 파일이 없는 경우 파일을 생성하여 이 폴더에 저장합니다.
    주:
    MID 서버 다운되면 파이프라인에 Splunk 중단이 발생할 수 있습니다. 전체 처리 큐는 파이프라인에 영향을 주지 않습니다.

    프로시저

    1. 다음으로 이동 모두 > 상태 로그 분석 > 데이터 입력 > 데이터 입력.
    2. 데이터 입력 페이지에서 새로 만들기를 선택합니다.
    3. Heavy Forwarder 또는 Universal Forwarder를 통해 Splunk 로그를 스트리밍할 데이터 입력을 선택합니다Splunk.
    4. 시작하기 탭에서 양식 필드를 채웁니다.
      필드에 대한 설명은 Splunk 데이터 입력 구성 필드 문서를 참조하십시오.
    5. Outputs.conf 탭에서 outputs.conf 파일에 다음 스탠자를 추가하여 전송기가 선택한 포트에서 선택한 전송 프로토콜을 통해 로그 데이터를 전달하도록 하고 다음을 선택합니다.
      주:
      구성한 출력이 있는 경우 이 라인을 기존 구성에 병합합니다.
      • TCP를 통해 전달 중:
        주:
        tcpout 스탠자를 아직 구성하지 않은 경우 첫 번째 스탠자만 사용합니다. TCP를 통해 전달 상태 로그 분석 하려면 두 번째 스탠자가 필요합니다.
        
[tcpout]
indexAndForward = 1
defaultGroup = nothing

[tcpout:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
sendCookedData = false
compressed = false
      • UDP를 통해 전달 중:
        주:
        syslog 스탠자를 아직 구성하지 않은 경우 첫 번째 스탠자만 사용합니다. 두 번째 스탠자는 UDP를 통해 전달 상태 로그 분석 하는 데 필요합니다.
        
[syslog]defaultGroup = nothing

[syslog:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
    6. Props.conf 탭에서 props.conf 파일을 편집하고 다음을 선택합니다.
      주:
      시작하기 탭에서 가공된 데이터 사용 옵션을 선택한 경우에는 props.conf 파일을 편집할 필요가 없습니다.
      1. 기존 스탠자를 수정하거나 스탠자를 추가하여 로 전달할 소스 유형, 서비스 인스턴스 및 호스트를 표시합니다.상태 로그 분석
        주:
        최상의 결과를 얻으려면 전달할 소스 유형만 표시해야 합니다.
        스탠자를 추가할 때 다음 이름 형식을 사용합니다.
        • 소스 유형: [<source type>]. 예: [syslog]
        • 출처(권장하지 않음): [source::<source>]. 예: [source::myApp]
        • 호스트(권장하지 않음): [host::<host>] 예: [host::10.9.8.7]
      2. TCP 또는 UDP를 통해 전달 상태 로그 분석 할 각 스탠자 끝에 다음 라인을 추가합니다.
        • TCP를 통해 전달 중:
          TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla
        • UDP를 통해 전달 중:
          TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp

          이 라인은 처리에 상태 로그 분석 필요한 조작이 기존 데이터 파이프라인에 영향을 주지 않도록 데이터에 CLONE_SOURCETYPE 변환을 적용합니다. 예를 들어 소스 유형 "syslog"에서 다음으로 모든 로그를 보내려면 다음을 수행합니다.상태 로그 분석

          [syslog]
                                    #existing configuration goes here
                                    TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp
      3. 다음 스탠자를 추가하여 처리에 상태 로그 분석 필요한 모든 관련 변환을 적용합니다.
        주:
        Splunk 을 사용하면 선택한 프로토콜의 복제된 소스 유형에서 중요한 데이터를 익명화할 수 있습니다. 자세한 내용은 Splunk 설명서의 "데이터 익명화" 섹션을 참조하십시오.
        • TCP를 통해 전달 중:
          [send_to_hla_tcp]
TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
        • UDP를 통해 전달 중:
          [send_to_hla_udp]
TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
    7. Transforms.conf 탭에서 transforms.conf 파일에 다음 스탠자를 추가하고 다음을 선택합니다.
      주:
      시작하기 탭에서 가공된 데이터 사용 옵션을 선택한 경우에는 transforms.conf 파일을 편집할 필요가 없습니다.

      세 번째 스탠자는 기존 인덱싱에 영향을 주지 않으면서 추가 조작을 위해 로그를 복제합니다. 나머지 스탠자는 올바른 상태 로그 분석 처리를 가능하게 하는 데 필요한 정보를 추가합니다.

      주:
      여기에서 변환을 추가한 후 props.conf 파일에서 복제된 소스 유형의 스탠자를 수정하여 중요한 데이터를 난독 처리할 수 있습니다.
      [accepted_keys]
#Custom field for preserving sourcetype
hla_sourcetype_preservation=_hla_sourcetype

#Store sourcetype in a custom field, since CLONE_SOURCETYPE overwrites it
[clone_for_hla_store_sourcetype]
SOURCE_KEY = MetaData:Sourcetype
REGEX = ^sourcetype::(.+)$
FORMAT = hla_sourcetype::$1
DEST_KEY = _hla_sourcetype

[clone_for_hla]
REGEX=.
DEST_KEY = _TCP_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_tcp

#Only used in case of UDP forwarding
[clone_for_hla_udp]
REGEX=.
DEST_KEY = _SYSLOG_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_udp

#Add metadata to the log message, since metadata is lost when forwarding externally
[health_log_analytics_add_sourcetype]
SOURCE_KEY = _hla_sourcetype
REGEX = ^hla_sourcetype::(.+)$
FORMAT = sourcetype="$1"] $0
DEST_KEY = _raw

[health_log_analytics_add_host]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = host="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_source]
SOURCE_KEY = MetaData:Source
REGEX = ^source::(.+)$
FORMAT = source="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_syslog5424]
REGEX=.
FORMAT = - - [sdid@1234 $0
DEST_KEY = _raw

[health_log_analytics_add_index]
SOURCE_KEY = _MetaData:Index
REGEX = ^(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_syslogHost]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_time]
SOURCE_KEY = _time
REGEX = ^(.+)$
FORMAT = <182>1 $1 $0
DEST_KEY = _raw
    8. Finish.conf 탭에서 $SPLUNK_HOME/bin/splunk restart splunkd 명령을 실행하여 다시 시작합니다Splunk.
    9. 저장을 선택합니다.
      상태 로그 분석가 데이터 입력 테이블에 데이터 입력 기록을 추가합니다.
    10. 연결 테스트를 선택하여 데이터 입력이 올바르게 구성되었는지 확인합니다.

      상태 로그 분석MID 서버를 데이터 리포지토리에 연결하려고 시도합니다.

      • 연결이 설정된 경우 연결 테스트 버튼이 꺼지고 게시 버튼이 활성화됩니다.
      • 연결에 실패하면 오류 메시지 필드에 실패한 이유가 표시됩니다. 이 필드는 스트리밍 오류가 발생한 경우에만 표시됩니다.

        문제를 해결하고, 구성을 수정한 경우 저장을 선택한 다음, 연결 테스트를 선택하여 연결을 다시 테스트합니다.

        주:
        연결이 성공적으로 생성되는 경우에만 데이터 입력 구성을 게시할 수 있습니다.
      주:
      변경 사항 되돌리기를 선택하여 마지막으로 게시된 구성으로 되돌릴 수 있습니다. 이 옵션은 이전에 게시된 구성을 수정하는 경우에만 사용할 수 있습니다.
    11. 게시 선택하여 데이터 입력을 에 게시합니다.MID 서버

    결과

    데이터 입력 구성 프로세스가 완료되었습니다. 상태 로그 분석데이터 입력 테이블에 데이터 입력 기록을 추가하고 데이터 입력 기록에 구성 파일을 첨부합니다. 데이터 입력이 전송기를 사용하여 Splunk 로그 데이터를 인스턴스로 ServiceNow 스트리밍하기 시작합니다.

    주:
    HLA 엔진이 다운되고 데이터 스트리밍이 중지되면 데이터 입력 구성 페이지 상단에 알림이 나타납니다. 이러한 경우 ServiceNow 지원 센터에 문의하십시오.

    다음에 수행할 작업

    데이터 입력이 스트리밍 데이터인지 확인하십시오.