Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 1 of 31
คมอการใชงาน Centralized Log Hosting
Thai Version 1.0
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 2 of 31
Table of Contents 1 ยนดตอนรบ ............................................................................................................................. 3 2 การเขาใชงานหนา CENTRALIZED LOG HOSTING ........................................................................ 4 3 แอพพลเคชนของคณในเวบ CENTRALIZED LOG HOSTING ........................................................... 5 4 แอพพลเคชน........................................................................................................................... 7 5 แอพพลเคชนคนหา................................................................................................................... 9 6 เรมตนคนหา .......................................................................................................................... 14 7 การเปลยนชวงเวลา................................................................................................................. 17 8 บนทกการคนหา ..................................................................................................................... 19 9 การคนหาฟลด ....................................................................................................................... 22 10 การเปลยนชวงเวลาเพอคนหาในชวงเวลาทตองการ ....................................................................... 26 11 การบนทกการคนหาและแชรผลการคนหา .................................................................................... 28
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 3 of 31
1. ยนดตอนรบ
คมอนมเนอหาอะไรบาง
คมอนประกอบดวยเนอหาเกยวกบขนตอนตางๆ สาหรบผใชบรการ Centralized Log Hosting ของเคเอสซ และใชงาน Splunk เพอตรวจสอบปญหาและรายงานผล ภาพรวม
Splunk เปนเครองมอคนหาทางไอททเคเอสซเลอกใช เพอใหการตดตามผลและใชงานขอมลใน Data Center ของคณเปนไปอยางงายดายมากขน และไมตองใชฐานขอมลทซบซอน หรออปกรณเชอมตอ หรอการเขยนโปรแกรม หรอตวควบคมทยงยาก เพยงมเวบบราวเซอรกสามารถใชงานได โดย Splunk จะดแลสวนทเหลอใหกบคณเอง Splunk ทาอะไรไดบาง:
• ทาดชนขอมลทางไอทอยางตอเนองแบบ Real-time • จบขอมลสาคญทอยในดาตาของคณโดยทคณไมตองระบเอง • คนหาสงทตองการจากโครงสรางไอท ทงระบบจรงและระบบเสมอน (Virtual) เพอ
แสดงผลในไมกวนาท • บนทกการคนหาและแทกขอมลทมประโยชนเพอใหระบบของคณมประสทธภาพยงขน • ตงคาการเตอนเพอใหการตรวจสอบระบบบางอยางเปนไปโดยอตโนมต • แสดงรายงานผลการวเคราะหออกมาเปนชารท กราฟ ตาราง หรอรปแบบทสามารถแชร
ใหผอนอานได • แชรผลการคนหาและรายงานทบนทกไวกบผใชงาน Splunk ทานอน และสงรายงานผล
ใหแกสมาชกในทมหรอผทมสวนเกยวของทางอเมล • ตรวจสอบระบบไอท เพอปองกนความเสยหายหรอปญหาดานความปลอดภย • มรปแบบการแสดงผลเปนขอมล ม Dashboard ทสนองความตองการตางๆ ขององคกร
ของคณ
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 4 of 31
2. การเขาใชงานหนา CENTRALIZED LOG HOSTING
หวขอนจะกลาวถงชองทางการเชอมตอเขาสระบบและเขาใชงาน Splunk
หนาเวบของ Centralized Log Hosting
หนาเวบของ Centralized Log Hosting เปนหนาการใชงานทมรปแบบเปนกราฟก เปนการเขาใชงานผานเวบบราวเซอร สามารถใชคนหา สบคน แสดงผลการคนหา และจดการในสวนตางๆ การเขาหนาเวบ Centralized Log Hosting เปดเวบบราวเซอรแลวเขาไปทหนา https://loghost1.ksc.net.th ในครงแรกทคณลอกอนเขาใชงาน กรณาใช username และ password ทเคเอสซใหมา
ยนดตอนรบสเวบ Centralized Log Hosting ในครงแรกทเขาใชงาน คณจะเหนหนาแรกของเวบ Centralized Log Hosting ของเคเอสซ ซงออกแบบมาเพอชวยใหคณเขาใจวธการใชเครองมอนไดงายขน
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 5 of 31
3. แอพพลเคชนของคณในเวบ CENTRALIZED LOG HOSTING
ในครงแรกทคณเขาใชงานผานเวบ Centralized Log Hosting คณกาลงเขาใชงานแอพพลเคชน ซงผใชสวนใหญจะพบแอพพลเคชน “Search” บางทานอาจเหนแอพพลเคชนทแตกตางกนไป ม Dashboard และ View สาหรบระบบปฏบตการตางๆ เมอคณใชงาน Splunk หมายความวาคณกาลงใชงานแอพพลเคชน ซง Dashboard และ View จะปรากฏในแอพพลเคชนบางตวเทานน Launch search app: เขาหนาการคนหา (Search) ซงคณสามารถคนหาขอมลทตองการ Launch your company name app: เขาหนารายงาน (Report) ซงคณสามารถใชคนหาขอมลไดเชนกน
No. 1: สวน Search Bar สาหรบคนหา Log Data No. 2: สวน Customer Profile สาหรบแสดงขอมลผใชและขอมลแพกเกจบรการ Centralized Log Hosting
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 6 of 31
No. 3: สวน Log Usage แสดงโควตาพนททโฮสตใน Log Server ของเคเอสซ No. 4: สวน Top 10 Download Graph แสดงผล Internal IP ทมการใชงานสงสด 10 อนดบในชวง 24 ชวโมง เปนกราฟแบบ Real-time No. 5: สวน Top 10 Outgoing Protocol Graph แสดง Top 10 service/protocol ในรอบ 24 ชวโมง เปนกราฟแบบ Real-time No. 6: สวน Outgoing URL Graph แสดงเวบไซต 10 อนดบทเขาสงสดในชวง 24 ชวโมงทผานมา เปนกราฟแบบ Real-time (หมายเหต: .ในกรณทอปกรณทคณใชไมสามารถสง/ใชงาน URL และสง Log การใชมาท Log Server ของเคเอสซ กราฟจะไมสามารถแสดงผลรายงานได) หนาจดการระบบ Splunk ไมวาคณจะอยทแอพพลเคชนใดหลงเปดเวบ คณจะเหนลงกอยางนอย 2 ลงกตรงมมขวาบนของหนาจอเสมอ ไดแก Manager และ Jobs ลงก Manager จะเปนสวนตงคาและจดการหนาของระบบและแอพพลเคชนตางๆ ลงก Job จะเปดหนาตาง Job Manager ซงคณจะสามารถคนหางานตางๆ ไมวางานทเสรจไปแลว หรองานทกาลงทาอยกตาม
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 7 of 31
4. แอพพลเคชน Splunk จะทางานในรปแบบแอพพลเคชน แอพพลเคชนของ Splunk แตละสวนจะประกอบดวย Dashboard และ View บางแอพพลเคชนถกออกแบบมาเพอชวยใหคณจดการขอมลในระบบปฏบตการหนง หรอชวยระบวตถประสงคในเชงธรกจ เมอใดกตามทคณใช Splunk นนหมายถงคณกาลงใชแอพพลเคชนของ Splunk อย เราเรยกวา “อย” ในแอพพลเคชน หนาแรกของ Splunk และการเรมใชงานแอพพลเคชน หากแอดมนระบบของคณไมไดตงคา Splunk ไวเปนแบบอน ในครงแรกทคณตดตงและลอกอนเขาไปใน Splunk คณจะเหนหนาจอ Welcome to Splunk ใหคลกทแทบ “Home” สเขยว หนาแรกของ Splunk จะแสดงรายการแอพพลเคชนทเคยตดตงเอาไวใหคณใชและเหน ตามการตงคาเรมตน (Default) แอพพลเคชนหนงในนนคอ Getting Started ซงถกออกแบบมาใหผใชใหมเขาใจวา SPlunk ทาอะไรไดบาง
ฟงกชนทมาพรอมกบการตงคาเบองตน
ในคาเรมตน (Default) Splunk จะมแอพพลเคชนคนหา (Search) และแอพพลเคชนอนทสามารถทางานรวมกบระบบปฏบตการของคณได แอพพลเคชนคนหานนจะม Interface การใชงานทแสดงฟงกชนหลกๆ ของเวบไซต และถกออกแบบมาเพอการใชงานโดยทวๆ ไป หากคณเคยใช Splunk มากอน แอพพลเคชนคนหานจะมาแทนฟงกชน Splunk Web Functionality ทมอยในเวอรชนกอนๆ ในแอพพลเคชนคนหา คณจะเหนชองคนหา (Search Bar) และกระดาน Dashboard แสดงกราฟตางๆ เมอคณเขาไปในแอพพลเคชนคนหาแลว คณจะสามารถเปลยน Dashboard หรอ View ไดโดยการเลอกใหมจากเมนดรอปดาวน “View” ตรงมมซายบนของหนาตางน
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 8 of 31
หากคณตองการเปลยนไปใชงานแอพพลเคชนอน สามารถเลอกไดจากเมนดรอปดาวนดานขวาบนของหนา
หรอคณอาจกลบไปทเมนหลกเพอเลอกใชงานแอพพลเคชนอน เรยกใชแอพพลชนอน คณสามารถเพมแอพพลเคชนเขาไปในรายการแอพพลเคชนทหนาแรก หรอจากในเมนแอพพลเคชน เชน ถาการใชงานขอมลของคณตองเกยวของกบงานอน เชน ระบบรกษาความปลอดภย หรอบรหารการเปลยนแปลง (Change Management) หรออปกรณ PCI (Payment Card Industry) กสามารถใช Splunk ชวยจดการได อยางไรกตาม แอพพลเคชนเหลานนอยในแพกเกจเพมเตม หากคณตองการใช คณสามารถบอกรายละเอยดความตองการใหเคเอสซทราบ เพอใหเราสามารถหาแพกเกจทเหมาะสมทสดสาหรบคณ
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 9 of 31
5. แอพพลเคชนคนหา หาแอพพลเคชน Search
คณสามารถเขาถงแอพพลเคชนคนหานไดจากหนาใดกตามของเพจ Centralized Log Hosting ของเคเอสซ หรอหากตองการฝงแอพพลเคชนคนหานไวในหนา Home, View หรอแอพพลเคชนอน ใชเมน App ตรงมมขวาบนและเลอก “Search”
หากเมน App ไมทางาน ใหเลอก “Home” ในเมน App หรอคลกลงก “<< Back to Home” ตรงมมซายบนของหนาจอ
เมอคณกลบมายงหนาแรกแลว เลอก “Search” จากเมน App สงแรกทคณจะเหนเมอเขามาในแอพพลเคชนคนหา คอ กระดาน Summary dashboard
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 10 of 31
กระดาน Summary Dashboard กระดาน Summary Dashboard ในแอพพลเคชนคนหา จะแสดงขอมลเกยวกบสงทคณอพโหลดขนไปไวบนเซรฟเวอรของ Splunk และบอกขนตอนทจะเรมคนหาขอมลน
ขอมลตวเลขทแสดงอยใน Dashboard นมาจากการผลการคนหาทบนทกไวหลงบานเมอคณเขาใชหรอสงโหลดหนานอกครง Dashboard บอกอะไรไดบาง แอพพลเคชนคนหาจะรวบรวม Dashboard และ View ตางๆ กน เชน
• Summary: คณอยทไหน • Search: คณตองการคนหาจากทไหนเปนหลก
ใชเมน Search Navigation เพอเขาดสวนอนในแอพพลเคชนน หากคลกทลงกคณจะสามารถเขาไปด Dashboard ทเกยวของหรอเปดหนานนอกครง
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 11 of 31
สวนอนๆ ในแอพพลเคชน Search
• Searches & Reports: แสดงรายการการคนหาทบนทกเอาไวและทารายงาน • Search bar and Time range picker: ชวยใหคณสามารถพมพสงทจะคนหาและ
เลอกชวงเวลาเพอดการเขาใช • All indexed data panel: แสดงตวเลขขอมลทกจกรรมทคณทาบญชไว ซงจะรวม
กจกรรมทงหมดทคณมในดรรชน (Index) ลงเวลาเหตการณแรกและเหตการณสดทาย และยงบอกดวยวาขอมลนนมการรเฟรชครงสดทายเมอไร หรอรเฟรชหนา Dashboard นเมอไร
• Sources panel: แสดงแหลงขอมลเดนๆ จาก Log Server ของเคเอสซ • Sourcetypes panel: แสดงแหลงขอมลเดนๆ ของขอมลคณ • Hosts: แสดง Host ทใชเยอะทสดจากขอมลของคณ
เรมตนและคนหา
1. ดท Summary
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 12 of 31
การคนหาใน Log ของเคเอสซทาไดงายมาก แมคณจะเหน Search Bar อยในกระดาน Summary Dashboard แตคณไมจาเปนตองพมพอะไรลงไป แหลงขอมล (Source) ประเภทของแหลงขอมล (Source Type) และ Host ทอยใน Summary Dashboard จะเปนลงกทจะเรมการคนหาเมอคณคลก
2. ในหนาตาง “Sourcetypes” คลก “syslog” เพอเขาไปยงกระดาน Search
Dashboard เพอเรมการคนหาและแสดงผล
สวนนมองคประกอบหลายอยาง ผใชควรลองทาความเขาใจกบสวนตางๆ นกอนทจะศกษาขนตอไป Splunk สามารถหยดการคนหาชวคราวไดหรอไม ระบบอาจจะใชเวลานานในการคนหาขอมล แตหากใชเวลานานเกนกวา 30 วนาท ระบบจะหยดการคนหาชวคราว (Pause) หากคณตองการคนหาตอไป คลก “Resume search” ในหนาตาง pop-up ทแจงการหยดคนหาอตโนมต กระดาน Search Dashboard มอะไรบาง ผใชอาจจะคนเคยกบการใชชองคนหา (Search Bar) และเลอกชวงทตองการคนหา (Range Picker) อยแลว เนองจากทงสองสวนจะมอยใน Summary Dashboard แตกระดาน Search Dashboard จะมจานวนเหตการณ (Event) เสนแสดงชวงเวลา (Timeline) เมน และรายการเหตการณทดงขนมา รวมถงผลการคนหาดวย
• Actions menu: ใชเมนนเพอบนทกผลการคนหาหรอรายงานทคณไดมา สรางกระดาน Dashboard ใหม หรอพมพรายงาน
• Count of matching and scanned events: ในขณะททาการคนหา Splunk จะนบจานวนของกจกรรม (Event) ในขณะทดงขอมลนนมา คอจะนบกจกรรมทตรงกบสงท
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 13 of 31
ตองการคนหา และนบกจกรรมทงหมดทกาลงเขาไปดอย เมอการคนหาเสรจสน จานวนทแสดงอยดานบนเสนแสดงชวงเวลา คอจานวนของกจกรรมทตรงกบสงทตองการคนหาทงหมด สวนจานวนทปรากฏอยระหวางเสนแสดงชวงเวลากบรายการกจกรรม คอจานวนกจกรรมทงหมดทเกดขนภายในชวงเวลาทคณเลอก ตวเลขนจะเปลยนไปเมอคณเขาไปดขอมลโดยละเอยดขน ดงทคณจะไดเหนตอไป
• Timeline of events: เสนแสดงชวงเวลา หรอ Timeline เปนภาพทแสดงใหเหนกจกรรมทเกดขนในแตละเวลา เมอมการอพเดทเสนแสดงชวงเวลาไปตามผลการคนหา คณจะเหนกลมขอมลหรอแผนภมแทง (Bars) ความสงของแผนภมแตละแทงจะบอกจานวนของกจกรรมทเกดขน ปลายยอดหรอมมตกของเสนแสดงชวงเวลาแสดงวามจานวนกจกรรมทพงสงขนผดปกต (Spike) หรอเซรฟเวอรใชงานไมไดในชวงเวลานนๆ ดงนน เสนแสดงชวงเวลาจงเปนสงสาคญทจะแสดงรปแบบของการเกดกจกรรมใหเหนชด หรอตรวจสอบชวงทเกดกจกรรมมากหรอนอยผดปกต ตวเลอกสาหรบเสนแสดงชวงเวลาจะแสดงอยเหนอเสนแสดงชวงเวลา คณสามารถขยายเขา ออก หรอเปลยนชวงเวลาในแผนภมแทงนนได
• Fields menu: ดงทไดกลาวเอาไวแลววาเมอคณทาดรรชนขอมลนน Splunk จะพบและดงขอมลสาคญจากจากดาตาทอยในรปแบบของชอ หรอคาบางอยาง ซงเราเรยกวา ฟลด (field) เมอคณทาการคนหา Splunk จะแสดงฟลดเหลานอยในเมนฟลดทายผลการคนหาของคณ คณสามารถเลอกฟลดอนๆ มาแสดงอยในกจกรรมของคณได
o Selected fields คอฟลดทถกตงคาไวใหแสดงอยในผลการคนหาของคณ ตามคาเรมตน สงทจะแสดงคอ host, source และ sourcetype
o Other interesting คอฟลดอนๆ ท Splunk ดงออกมาจากผลการคนหาของคณ
o Field discovery คอปมเปด/ปด (On/Off) ทอยดานบนของเมนฟลด ตามคาเรมตนของ Splunk ในสวนนจะถกเปดอย แตหากคณตองการใหแสดงผลการคนหาเรวขน คณอาจเลอกปดฟลดน ซงจะทาให Splunk ดงแตขอมลทจาเปนเทานน
• Event viewer: จะแสดงกจกรรม (Event) ทตรงกบเงอนไขการคนหาของคณ และจะแสดงอยดานลางเสนแสดงชวงเวลาตามคาเรมตน กจกรรมเหลานจะแสดงผลอยในรปแบบของรายการ (List) แตคณสามารถเลอกดเปนแบบตารางได เมอคณเลอกดตารางกจกรรม คณจะเหนเพยงฟลดทเลอก (Selected Field) เทานน หากคณพรอมแลว ดหวขอถดไปเพอเรมตนคนหา และลองดวาคณสามารถทราบขอมลใดไดบาง
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 14 of 31
6. เรมตนคนหา ในหวขอนจะแนะนาวธการคนหาอยางงายโดยใชหนาจอคนหา (Search Interface) หากคณไมคนเคยกบการใชหนาจอน คณสามารถกลบไปดทหวขอ Search อกครง พมพคยเวรดเพอคนหา
คณสามารถคนขอมลทกอยางทมอยใน Splunk ได โดยทไมตองมความคนเคยกบขอมลในดาตา เพราะการคนหานนทาไดอยางงายดาย เพยงแคพมพคยเวรด (Keyword) ลงไปในชองคนหา แลวกด “Enter” หรอคลกลกศรสเขยวทายชองคนหา (Search Bar) ในหวขอทแลว คณไดลองคนหาจากกระดาน Summary Dashboard โดยคลกท Source Type (syslog) ใชตวคนหา (Search) ตวเดยวกนนนเพอคนหาประวตการเขาใชงานลาสด
1. พมพหมายเลข IP Address ลงในชองคนหา เชน sourcetype=”syslog” ip
address เมอพมพแลว ตวชวยในการคนหาของ Splunk จะปรากฏขนมา
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 15 of 31
ตวชวยการคนหาจะแสดงใหเหนผลการพมพลวงหนาหรอทเรยกวา Typeahead หรอสวนของขอความทตรงกบคยเวรดทคณพมพลงในชองคนหา และจะแสดงดาตาทตรงกบสงทคณพมพคนหา เมอคณพมพคาคนหาตอไป รายการผลการคนหาทแสดงอยกจะอพเดทใหตรงกบสงทคณพมพไปดวย ตวชวยในการคนหา หรอทเรยกวา Search Assistant จะแสดงจานวนผลทตรงกนกบเงอนไขทคณใชคนหา จานวนนจะทาใหคณทราบวา Splunk จะแสดงผลการคนหาเปนจานวนเทาไร คาหรอขอความใดทไมมอยในดาตาจะไมแสดงใหเหนในตวชวยในการคนหาน คณจะเหนขอมลใดอกในตวชวยคนหา ในขนน ยงไมตองสนใจหนาตางดานขวาทอยถดจากขอความชวยเหลอ (Contextual Help) ตวชวยคนหาจะมประโยชนขนเมอคณเรมเรยนรการเลอกใชภาษาสาหรบคนหา และหากคณไมตองการเปดตวชวยคนหา คณสามารถคลก turn off auto-open และปดหนาตางโดยใชลกศรสเขยวดานลางชองคนหา (Search Bar)
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 16 of 31
2. ลองพมพหาหมายเลข IP Address แลวกด “Enter” ระบบจะแสดงขอมลประวตการเขาใชงานของหมายเลข IP Address นน
แตละครงทคณคนหาขอมล Splunk จะไฮไลทผลการคนหาทตรงกบขอความทคณพมพในชองคนหา
3. ลองดในผลการคนหา คณจะเหนคาหรอขอความทเกยวของกบดาตานน
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 17 of 31
7. การเปลยนชวงเวลา ถงตอนน คณนาจะคนเคยกบการคนหาและใชเสนแสดงชวงเวลา (Timeline) แลว หรอหากยงไมมนใจ คณสามารถกลบไปดหวขอกอนหนาทวาดวยการคนหาและใชเสนแสดงชวงเวลา (Timeline) หวขอนจะกลาวถงการคนหาทเจาะจงขนในชวงเวลาใดเวลาหนง หากคณพอจะทราบวากจกรรมทตองการหานนเกดขนในชวงเวลาใด ใชเครองมอนเพอเจาะจงชวงเวลาคนหา จะทาใหหาไดเรวขน
เปดเมนดรอปดาวนเพอเลอกชวงเวลาและเปลยนชวงเวลาใหเปน Other>Yesterday
เนองจาก Splunk จะคนหาจากขอมลทคณมอยทงหมด ดงนนคา Default ของชวงเวลาจะถกตงไวเปน All time (คนหาทงหมด) หากคณมขอมลจานวนมาก การคนหาจากเงอนไขเวลานจะทาใหทกกจกรรมทเกดขนในชวง 15 นาททผานมา เมอคนน หรอสปดาหกอน แสดงในผลการคนหาทงหมดและใชเวลานาน กวาทคณจะไดขอมลทตองการจรงๆ เมอเลอกชวงเวลาแลว ระบบจะคนหาจากขอมลในชวงเวลานน หรอหากไมมการคนหาโดยอตโนมต กรณากด “Enter”
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 18 of 31
Splunk ยงอนญาตใหผใชเลอกชวงเวลาตามตองการไดเอง เพอคนหาหรอเลอกกจกรรมทเกดขนอยางตอเนองในชวงเวลานนๆ
• Real-time แสดงผลการคนหากจกรรมทเกดขนตามเวลาจรงขณะนน เนองจากขอมลในตวอยางเปนการอพโหลดเพยงครงเดยว การประมวลผลการคนหาแบบ Real-time จะไมไดแสดงผลเลยในตอนน เราจะกลบมาดตวเลอกนในภายหลง กรณาอานขอมลเพมเตมเกยวกบ Real-time search และการแสดงของมลนไดใน Search and report in real-time
• Custom time... ในหนาตาง Pop-up ทแสดงขนมาใหม คณจะสามารถเลอกชวงวนและเวลาทตองการ หนาตางแบบ Real-time หรอเลอกใชภาษาคนหาได
ถงตอนน คณจะสามารถคนหาแบบงายๆ ซงจะแสดงผลการคนหาทตรงกบในกจกรรมไดแลว นเปนสวนหนงของการใช Splunk เมอคณเขาใจขนตอนนแลว กรณาดหวขอถดไปเพอศกษาเรองฟลดและการคนโดยใชฟลด
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 19 of 31
8. บนทกการคนหา ในหวขอน เราคาดวาคณจะคนเคยกบการคนหาโดยใชฟลดแลว ถาไมอยางนน คณสามารถเขาไปในหวขอกอนหนาน และทบทวนเรองการคนหาโดยใชฟลดได ขนตอนนจะแสดงใหคณเหนวธงายๆ ในการบนทกการคนหา และการนาสงทบนทกนไปใชคนหาในครงหนา หากมสงทคณตองคนดทกๆ เชา แทนทจะตองตงคาหรอพมพใหมทกครง คณสามารถเลอกบนทกการคนหาได ตวอยางท 1. คนหา errors ทพบเมอวานน error OR failed OR severe OR (sourcetype=access_* (status=404 OR status=500 OR status=503))
1. คลก “Actions” ดานบนชองคนหา (Search Bar)
2. เลอก “Save Search…” จากเมนดรอปดาวน หนาตาง Save Search จะปรากฏขน
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 20 of 31
การคนหาทบนทกไวจะแสดงเงอนไขการคนหา ชวงเวลาทเกยวของกบการคนหา และชอของการคนหานน
3. ชอของการคนหา คอ Errors (Yesterday) 4. ทดานลางของ Search ไมตองแกไขเงอนไขการคนหา 5. ใช Time range (ชวงเวลาเดม) 6. ใชการตงคา Share แบบเดม 7. คลก Finish จะยนยนวาการคนหานนถกบนทกแลว
8. การคนหาทคณบนทกไวจะเขาไปอยใน รายการ Searches & Reports
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 21 of 31
เนองจากชอของผลการคนหาทบนทกไวมคาวา “Error” Splunk จงจดไวในเมนยอยสาหรบ Errors จดไขปลาสเขยวทอยถดจากการคนหาทบนทกแสดงวาการคนหานนอยเฉพาะในบญช Splunk ของคณเทานน และขณะน มเพยงคณเทานนทสามารถเขาไปดการคนหาทถกบนทกนนไวได แตหากคณตองการใหผใชคนอนสามารถเขาไปใชงานไดเหมอนกน คณสามารถเลอกใหเปน Global saved search โดยดรายละเอยดจาก “บทท 11 การบนทกการคนหาและแชรผลการคนหา” จดการการคนหาและรายงาน หากคณตองการปรบเปลยนการคนหาทบนทกไว ใชเมน Searches& Reports เพอเลอก Manage Searches & Report เพอเขาไปทหนา Splunk Manager ซงจะแสดงการคนหาและรายงานทคณไดรบอนญาตใหเขาไปดได คณสามารถเลอกการคนหาของคณจากในรายการ เพอเขาไปยงหนาตางแกไข (Edit) ซงคณจะสามารถเปลยนหรออพเดทเงอนไขการคนหา คาบรรยาย ชวงเวลา และตวเลอกตางๆ ได บนทกและการแชรผลการคนหา การบนทกผลการคนหา จะแตกตางจากการบนทกการคนหา คณจะบนทกผลการคนหาในกรณทคณตองการเขามาดผลการคนหาบางประเภทในอนาคต ดขอมลเพมเตมไดจาก “บทท 11 การบนทกการคนหาและแชรผลการคนหา” คณสามารถบนทกการคนหาได หากเขาใจขนตอนนดแลว หวขอถดไปจะแนะนาวธทหลากหลายทคณสามารถใชคนหาสงทตองการได
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 22 of 31
9. การคนหาฟลด หากคณยงไมคนเคยกบการใชเมนคนหายอย ในหวขอนเราจะแนะนาวธการคนหาฟลดทตรงกน การเทยบหาฟลดทตรงกนคออะไร การเทยบหาฟลดทตรงกน (Field Lookups) คอการหาฟลดทอยในไฟลนอก ซงอยในรปแบบของ CSV โดยไฟลนนมฟลดทตรงกบขอมลในกจกรรม (Event) ของคณ การใชการคนหาขอมลทตรงกนนจะทาใหคณสามารถเพมขอมลสาคญเขาไปในดาตาทมอยและฟลดทคนหาได
ตวอยางทจะทาใหคณทราบวาจะใชฟงกชนคนหาฟลดทตรงกน และเพมคาบรรยายทอยในสถานะของ HTTP เขาไปในกจกรรมในหนาเวบไดอยางไร กรณาดหวขอน ฟลดนไมมในขอมลของคณ กรณานาเขาขอมลจากไฟลนอก
ตวอยาง: หากตองการดาเนนการตอ กรณาดาวนโหลดและแตกไฟล CSV น product_lookup.csv.zip และใช Lookups Manager
1. ในเมนของ Splunk ตรงมมขวาบน คลกเลอก “Manager”
คณจะเขาไปในฟงกชน Manager ของ Splunk
2. ใต Apps and knowledge คลก “Lookups”
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 23 of 31
เขาไปท Manager>Lookups
อพโหลดไฟลทจะใชเทยบ ใน Manager เลอก “Lookups”
1. ตรงดานลางของ Actions คลก “Add new” ตรงหวขอ Lookup table files เขาไปท Manager > Lookups > Lookup table files เพอใหคณสามารถอพโหลดไฟล CSV เพอใชเพมขอมลเขาไปในฟลดทมอย
2. ท Destination app เลอกเปน Search เพอให Splunk บนทกไฟล lookup table ไวในแอพพลเคชน Search
3. ทดานลางของ Upload a lookup file เลอก browse หาไฟล CSV ทตองการนามาอพโหลด
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 24 of 31
4. ใต Destination Filename ตงชอไฟลวา product_lookup.csv ชอทตงนจะเปนชอทคณใชเรยกไฟลนในการเทยบไฟล
5. คลก “Save” เพออพโหลดไฟลทตองการคนหาฟลดทตรงกนกบทมอยใน Splunk เขาไปในแอพพลเคชน Search ซงคณจะตองระบกอนวาคณตองการคนหาอะไร
6. กลบไปเมน Manager> Lookups โดยคลกจากลงกทดานบน
ระบฟลดทตองการเทยบ เขาไปท Manager> Lookups
1. ในหวขอ Actions คลก “Add New” ตรง Lookup definitions คณจะเขาไปท Manager > Lookups > Lookup table files ซงคณสามารถระบฟลดทตองการเทยบหาได
2. ตรง Destination app เลอก “search” 3. ตงชอการเทยบไฟลนวา product_lookup 4. เลอก Type เปน “File-based” 5. เลอก Lookup file เปน “product_lookup” (ชอตาราง lookup table ของคณ) 6. ไมตองคลกเลอก Configure time-based lookup และ Advanced options 7. คลก “Save”
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 25 of 31
Splunk จะรแลววา product_lookup เปนการเทยบหาขอมลทตรงกนจากไฟล
สงททาไดในขณะทกาลงทาการคนหาอย
Log ของเคเอสซมตวควบคมหลายอยางทคณสามารถใชเพอจดการการคนหา คาสงเหลานจะอยใตชองคนหาเมอมการคนหาขอมลอย ตวควบคมเหลานประกอบดวย
• Send to background (ปมสฟา): สงคาสงคนหาไปยง “ดานหลง” เมอคณทางานอยางอนไปดวย และสงใหระบบบอกใหคณทราบวาการคนหาทดานหลงนนเสรจสมบรณแลว โดยคณสามารถใชหนา Job เพอเขาไปดการคนหาทดานหลง
• Pause/Resume (ปมสเหลอง): หยดการคนหาทกาลงดาเนนอย จะมประโยชนมากเมอคณทาการคนหาทใชเวลานานและตองการหยดไวชวคราว คลกปม Resume เพอคนหาตอหรอ Finalize เพอจบการคนหา
• Finalize (ปมสเขยว): หยดการคนหากอนทจะเสรจสมบรณ Splunk จะแสดงผลการคนหาทคนไดจนถงเมอไดรบคาสงหยด คณสามารถใชผลการคนหาทไดมานนมาทารายงานได
• Cancel (ปมสแดง): ยกเลกการคนหาทกาลงดาเนนอยและลบผลการคนหาทไดมาทงหมด Splunk จะแสดงรายการคนหาทถกยกเลกไปอยในหนา Jobs แตเนองจากผลการคนหาถกลบไปหมดแลว จงไมมลงกใหเขาไปดผลการคนหาเหลานนได
• Create alert: คลกเพอระบการแจงเตอนตามการคนหาของคณ ระบบแจงเตอนจะไลดการคนหาทคณบนทกไว (ไมวาจะเปนตามชวงเวลาทตงหรอแบบ Real-time) เมอระบบพบผลลพธทตรงกบเงอนไขทคณตงไวในการตงคาการแจงเตอน ระบบจะแจงใหคณทราบ อานการสรางการแจงเตอนในคมอนเพอดขอมลเพมเตม
• Add to dashboard: คลกทปมนหากคณตองการสรางกระดาน Dashboard ตามผลลพธการคนหาทได และเพมเขาไปในกระดาน Dashboard ใหม หรอทมอยแลว ด Create and edit simple dashboards เพอดขอมลเกยวกบกระดาน Dashboard เพมเตม
• Save search: บนทกการคนหา หากคณตองการคนหาซาใหมอกครงโดยไมตองพมพเงอนไขการคนหาใหมทงหมด ไปท Save searches and share search results เพอดขอมลเพมเตม
• Build report: หากคณทาการคนหาทใชเวลานานและไมตองการรอจนการคนหาเสรจสมบรณเพอสรางรายงาน คณสามารถคลกทปม Report Builder เพอสรางรายงานลวงหนาไปกอน การคนหาจะยงคงดาเนนตอไปแมวาเราจะเรมใชงาน Report Builder แลว และทายสดรายงานนนจะแสดงผลของขอมลทงหมดทระบบไดมา
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 26 of 31
10. การเปลยนชวงเวลาเพอคนหาในชวงเวลาทตองการ
ดวยระบบการเลอกชวงเวลาทยดหยนไดมากกวา คณจงสามารถสรางรายงานทมประโยชนมากขน เมอเทยบกบขอมลทมอยเดม
ตวอยางเชน คณอาจตองการทราบวาระบบของคณทางานไดดเพยงไรวนน เมอเทยบกบการใชงานเมอวานและวนกอน หรอคณอาจจะสนใจวเคราะหขอมลในชวงเวลาหนงใด เชน วเคราะหการเขาชมหนาเวบ (Web Traffic) ในชวงเวลางาน หวขอนจะอธบายวธการระบชวงเวลาในเงอนไขการคนหา โดยใช
• เมนชวงเวลา (time range) • หาจากเกาสด (earliest) และ ลาสด (latest)
เลอกชวงเวลาเพอระบเปนเงอนไขการคนหา
ใชตวเลอก time range picker ในเมนดรอปดาวนเพอระบชวงเวลาทคณตองการคนหา หากคณตองการระบชวงวนดวยตนเอง เลอก Custom time… จากเมนดรอปดาวน จากนนเลอก "Date" ในหนาตาง pop-up คณสามารถเลอกชวงเวลาโดยพมพเองหรอเลอกจากปฏทนในหนาตาง pop-up กได
ตวอยางเชน หากคณตองการทราบกจกรรม (Event) ทเกดขนในชวงไตรมาสทสอง คอจากเดอนเมษายนถงมถนายน คณสามารถเลอกเปนชวงเวลาได
Selected date range: เมนชวงเวลาจะระบชวงเวลาทคณเลอก สงเกตวาเสนแสดงชวงเวลาจะแสดงดาตาทอยในชวงนนเทานน
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 27 of 31
ระบชวงเวลาทตองการเอง
1. จากตวเลอก time range picker เลอก Custom time… 2. เลอก Relative จากตวเลอก Range Type 3. ใสวนและเวลาเรมแรกสดทตองการคนหา
หมายเหต: คณสามารถใชหนาตางนดภาษาทใชในการคนหา (Search Language equivalent) ของเวลาเรมแรกสดทตองการคนหา และชวงเวลาทมผล (Effective range) ซงจะแปลงขอมลนนมาเปนภาษาทเขาใจไดงายแลว
ตวอยางของการใชตวเลอก Relative Time ในตวอยางดานลางน เวลาปจจบนคอ Wednesday, 05 February 2009, 01:37:05 PM และอยาลมวา 24 ชวโมงไมไดหมายถงยอนหลงไป 1 วนพอดเสมอไป เนองจากอาจมการปรบเวลา ทเรยกวา Daylight Saving Time
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 28 of 31
11. การบนทกการคนหาและแชรผลการคนหา
หลงจากทคณไดผลลพธจากการคนหาแลว คณอาจตองการบนทกการคนหาไว เพอใหกลบมาคนหาโดยใชเงอนไขเดมซาไดโดยทไมตองพมพใหม หรอคณอาจตองการบนทกผลการคนหาบางรายการไว เพอใหทมไดกลบมาดผลการคนหานนใหม ในหวขอนเราจะอธบายฟงกชนหลงการคนหาทงสองอยางน ทาไมตองบนทกการคนหา ผใชควรเขาใจประโยชนของการบนทกการคนหาใน Splunk ซงขนตอนนมความสาคญมาก เนองจากจะชวยนาเงอนไขตางๆ ในการคนหามาใชซาอกครง (เมอคณเลอกการคนหาทบนทกไวจากในดรอปดาวน Searches & Reports) คณอาจบนทกการคนหา เมอตองการ
• ใหผอนสามารถคนหาดวยเงอนไขเดยวกนนไดโดยงาย เมอคณบนทกการคนหา คณสามารถตงคาสทธการเขาใชงานเพอใหผอนสามารถเขามาทการคนหาทบนทกไวนดวย
• ตงคาการแจงเตอน การแจงเตอน (Alert) คอการคนหาทไดบนทกไว และทางานโดยอตโนมตหรอตามเวลาทตงไว เมอการคนหาทกาหนดเวลาไวลวงหนานคนเจอเงอนไขทตรงตามกาหนดไว ระบบจะแจงเตอนใหผใชทราบ
• เพมการคนหาลงในกระดาน Dashboard การคนหาทบนทกไวจะถกนามาสรางเปนแผนภม ตาราง หรอรายการกจกรรม (Event) อยางงายในกระดาน Dashboard
• ตงคาดชนสรป (Summary Index) ซงจะทาใหการคนหาจากกลมดาตาใหญๆ เปนไปไดรวดเรวขน โดยใชการคนหาทถกบนทกไวน
จะบนทกการคนหาไดอยางไร หากคณตองการบนทกการคนหาทใหผลนาสนใจ เพอเกบไวใชในวตถประสงคใดวตถประสงคหนงตามทไดกลาวไวขางตน การบนทกการคนหาผานหนาเวบ Splunk Web UI สามารถทาไดงายๆ เมอกาลงดาเนนการคนหา หรออยในขนตอน Finalized หรอการคนหาเสรจสมบรณแลว คณยงสามารถใช Manager หรอ savesearches.conf เพอเพมการคนหาทบนทกไวเขาไปใน Splunk นอกจากนนยงสามารถกาหนดการคนหาทบนทกไวไดเองใน savesearches.conf ดวย ดหวขอยอยตอไปน เพอศกษาขอมลเพมเตม
อยางนอยทสด ในการกาหนดการคนหาทบนทกไวจะตองมเงอนไขการคนหา และชวงเวลาทตองการคนหา ควรมชอเรยกการคนหานน ซงชอนจะแสดงอยในดรอปดาวนเมน Searches & Report หลงจากทไดบนทกการคนหาไวแลว
หมายเหต คณสามารถเปลยนการวางเมนในแอพพลเคชน เพอใหการคนหานนถกบนทกไวในเมนหลก (Top-level) แทนทจะอยใน Searches & Reports กรณาดขนตอนการจดการเมนคนหาทบนทกไว ตอไปน
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 29 of 31
บนทกการคนหาทกาลงดาเนนอย เสรจสมบรณแลว หรอ Finalized อย
เมอคณทาการคนหาใน Search คณสามารถ
• คลกลงก “Save search” ทแสดงอยดานบนของสถานะการคนหา เพอเปดไดอะลอก Save search
• คลกท “Add to dashboard” หรอ “Create alert” เพอแสดงหนาตางบนทกการคนหากอนทจะเลอกเพมการคนหานนลงในกระดาน Dashboard หรอสรางการแจงเตอนจากผลการคนหานน
• เลอก “Save search” จากเมน Action เพอเปดหนาตางบนทกการคนหา
หนาตางขนตอนการบนทกจะแสดงเงอนไขการคนหา (Search string) และชวงเวลา (แสดงอยในสวน relative time modifier) คณสามารถแกไขขอมลกอนทจะบนทก และสามารถตงชอการคนหานไดดวย โดยชอจะปรากฏอยในรายการ Searches & Reports หลงจากทไดบนทกไวแลว
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 30 of 31
เพมการคนหาทบนทกใหมเขาไปใน Manager เมอคณตองการบนทกการคนหา เพยงเรมใชการคนหาและใชคาสง Save Search เพอบนทก วธนจะชวยใหคณทดสอบการคนหาไดกอนทจะบนทกจรง
ถาหากคณจะเขาไปท Manager คณจะสามารถไปทหนา Searches and report และคลก “New” เพอกาหนดและเพมการคนหาทบนทกใหมเขาไป ซงวธนจะทาใหคณสามารถเพมเงอนไขในการคนหาและเสนแสดงชวงเวลา (Timeline) โดยใช Relative time modifier และชอการคนหา
วธเปลยนรหสผาน หากตองการใชงาน Manager ลอกอนเขาไปทเวบ Splunk และคลก “Manager” ตรงมมขวาบน คลก “Users and Authentication”
Centralized Log Hosting - User Manual - Thai Version 1.0
Page 31 of 31
คลกตวเลอก “User”
ใสรหสผานใหมในชองใส Password และคลกปม “Save” เพอบนทกขอมล