คู มือการใช งาน Centralized Log Hosting · Centralized Log Hosting - User Manual - Thai Version 1.0 ... รายงานผลการวิเคราะห

Centralized Log Hosting - User Manual - Thai Version 1.0

Page 1 of 31

คมอการใชงาน Centralized Log Hosting

Thai Version 1.0


Page 2 of 31

Table of Contents 1 ยนดตอนรบ ............................................................................................................................. 3 2 การเขาใชงานหนา CENTRALIZED LOG HOSTING ........................................................................ 4 3 แอพพลเคชนของคณในเวบ CENTRALIZED LOG HOSTING ........................................................... 5 4 แอพพลเคชน........................................................................................................................... 7 5 แอพพลเคชนคนหา................................................................................................................... 9 6 เรมตนคนหา .......................................................................................................................... 14 7 การเปลยนชวงเวลา................................................................................................................. 17 8 บนทกการคนหา ..................................................................................................................... 19 9 การคนหาฟลด ....................................................................................................................... 22 10 การเปลยนชวงเวลาเพอคนหาในชวงเวลาทตองการ ....................................................................... 26 11 การบนทกการคนหาและแชรผลการคนหา .................................................................................... 28


Page 3 of 31

1. ยนดตอนรบ

คมอนมเนอหาอะไรบาง

คมอนประกอบดวยเนอหาเกยวกบขนตอนตางๆ สาหรบผใชบรการ Centralized Log Hosting ของเคเอสซ และใชงาน Splunk เพอตรวจสอบปญหาและรายงานผล ภาพรวม

Splunk เปนเครองมอคนหาทางไอททเคเอสซเลอกใช เพอใหการตดตามผลและใชงานขอมลใน Data Center ของคณเปนไปอยางงายดายมากขน และไมตองใชฐานขอมลทซบซอน หรออปกรณเชอมตอ หรอการเขยนโปรแกรม หรอตวควบคมทยงยาก เพยงมเวบบราวเซอรกสามารถใชงานได โดย Splunk จะดแลสวนทเหลอใหกบคณเอง Splunk ทาอะไรไดบาง:

• ทาดชนขอมลทางไอทอยางตอเนองแบบ Real-time • จบขอมลสาคญทอยในดาตาของคณโดยทคณไมตองระบเอง • คนหาสงทตองการจากโครงสรางไอท ทงระบบจรงและระบบเสมอน (Virtual) เพอ

แสดงผลในไมกวนาท • บนทกการคนหาและแทกขอมลทมประโยชนเพอใหระบบของคณมประสทธภาพยงขน • ตงคาการเตอนเพอใหการตรวจสอบระบบบางอยางเปนไปโดยอตโนมต • แสดงรายงานผลการวเคราะหออกมาเปนชารท กราฟ ตาราง หรอรปแบบทสามารถแชร

ใหผอนอานได • แชรผลการคนหาและรายงานทบนทกไวกบผใชงาน Splunk ทานอน และสงรายงานผล

ใหแกสมาชกในทมหรอผทมสวนเกยวของทางอเมล • ตรวจสอบระบบไอท เพอปองกนความเสยหายหรอปญหาดานความปลอดภย • มรปแบบการแสดงผลเปนขอมล ม Dashboard ทสนองความตองการตางๆ ขององคกร

ของคณ


Page 4 of 31

2. การเขาใชงานหนา CENTRALIZED LOG HOSTING

หวขอนจะกลาวถงชองทางการเชอมตอเขาสระบบและเขาใชงาน Splunk

หนาเวบของ Centralized Log Hosting

หนาเวบของ Centralized Log Hosting เปนหนาการใชงานทมรปแบบเปนกราฟก เปนการเขาใชงานผานเวบบราวเซอร สามารถใชคนหา สบคน แสดงผลการคนหา และจดการในสวนตางๆ การเขาหนาเวบ Centralized Log Hosting เปดเวบบราวเซอรแลวเขาไปทหนา https://loghost1.ksc.net.th ในครงแรกทคณลอกอนเขาใชงาน กรณาใช username และ password ทเคเอสซใหมา

ยนดตอนรบสเวบ Centralized Log Hosting ในครงแรกทเขาใชงาน คณจะเหนหนาแรกของเวบ Centralized Log Hosting ของเคเอสซ ซงออกแบบมาเพอชวยใหคณเขาใจวธการใชเครองมอนไดงายขน


Page 5 of 31

3. แอพพลเคชนของคณในเวบ CENTRALIZED LOG HOSTING

ในครงแรกทคณเขาใชงานผานเวบ Centralized Log Hosting คณกาลงเขาใชงานแอพพลเคชน ซงผใชสวนใหญจะพบแอพพลเคชน “Search” บางทานอาจเหนแอพพลเคชนทแตกตางกนไป ม Dashboard และ View สาหรบระบบปฏบตการตางๆ เมอคณใชงาน Splunk หมายความวาคณกาลงใชงานแอพพลเคชน ซง Dashboard และ View จะปรากฏในแอพพลเคชนบางตวเทานน Launch search app: เขาหนาการคนหา (Search) ซงคณสามารถคนหาขอมลทตองการ Launch your company name app: เขาหนารายงาน (Report) ซงคณสามารถใชคนหาขอมลไดเชนกน

No. 1: สวน Search Bar สาหรบคนหา Log Data No. 2: สวน Customer Profile สาหรบแสดงขอมลผใชและขอมลแพกเกจบรการ Centralized Log Hosting


Page 6 of 31

No. 3: สวน Log Usage แสดงโควตาพนททโฮสตใน Log Server ของเคเอสซ No. 4: สวน Top 10 Download Graph แสดงผล Internal IP ทมการใชงานสงสด 10 อนดบในชวง 24 ชวโมง เปนกราฟแบบ Real-time No. 5: สวน Top 10 Outgoing Protocol Graph แสดง Top 10 service/protocol ในรอบ 24 ชวโมง เปนกราฟแบบ Real-time No. 6: สวน Outgoing URL Graph แสดงเวบไซต 10 อนดบทเขาสงสดในชวง 24 ชวโมงทผานมา เปนกราฟแบบ Real-time (หมายเหต: .ในกรณทอปกรณทคณใชไมสามารถสง/ใชงาน URL และสง Log การใชมาท Log Server ของเคเอสซ กราฟจะไมสามารถแสดงผลรายงานได) หนาจดการระบบ Splunk ไมวาคณจะอยทแอพพลเคชนใดหลงเปดเวบ คณจะเหนลงกอยางนอย 2 ลงกตรงมมขวาบนของหนาจอเสมอ ไดแก Manager และ Jobs ลงก Manager จะเปนสวนตงคาและจดการหนาของระบบและแอพพลเคชนตางๆ ลงก Job จะเปดหนาตาง Job Manager ซงคณจะสามารถคนหางานตางๆ ไมวางานทเสรจไปแลว หรองานทกาลงทาอยกตาม


Page 7 of 31

4. แอพพลเคชน Splunk จะทางานในรปแบบแอพพลเคชน แอพพลเคชนของ Splunk แตละสวนจะประกอบดวย Dashboard และ View บางแอพพลเคชนถกออกแบบมาเพอชวยใหคณจดการขอมลในระบบปฏบตการหนง หรอชวยระบวตถประสงคในเชงธรกจ เมอใดกตามทคณใช Splunk นนหมายถงคณกาลงใชแอพพลเคชนของ Splunk อย เราเรยกวา “อย” ในแอพพลเคชน หนาแรกของ Splunk และการเรมใชงานแอพพลเคชน หากแอดมนระบบของคณไมไดตงคา Splunk ไวเปนแบบอน ในครงแรกทคณตดตงและลอกอนเขาไปใน Splunk คณจะเหนหนาจอ Welcome to Splunk ใหคลกทแทบ “Home” สเขยว หนาแรกของ Splunk จะแสดงรายการแอพพลเคชนทเคยตดตงเอาไวใหคณใชและเหน ตามการตงคาเรมตน (Default) แอพพลเคชนหนงในนนคอ Getting Started ซงถกออกแบบมาใหผใชใหมเขาใจวา SPlunk ทาอะไรไดบาง

ฟงกชนทมาพรอมกบการตงคาเบองตน

ในคาเรมตน (Default) Splunk จะมแอพพลเคชนคนหา (Search) และแอพพลเคชนอนทสามารถทางานรวมกบระบบปฏบตการของคณได แอพพลเคชนคนหานนจะม Interface การใชงานทแสดงฟงกชนหลกๆ ของเวบไซต และถกออกแบบมาเพอการใชงานโดยทวๆ ไป หากคณเคยใช Splunk มากอน แอพพลเคชนคนหานจะมาแทนฟงกชน Splunk Web Functionality ทมอยในเวอรชนกอนๆ ในแอพพลเคชนคนหา คณจะเหนชองคนหา (Search Bar) และกระดาน Dashboard แสดงกราฟตางๆ เมอคณเขาไปในแอพพลเคชนคนหาแลว คณจะสามารถเปลยน Dashboard หรอ View ไดโดยการเลอกใหมจากเมนดรอปดาวน “View” ตรงมมซายบนของหนาตางน


Page 8 of 31

หากคณตองการเปลยนไปใชงานแอพพลเคชนอน สามารถเลอกไดจากเมนดรอปดาวนดานขวาบนของหนา

หรอคณอาจกลบไปทเมนหลกเพอเลอกใชงานแอพพลเคชนอน เรยกใชแอพพลชนอน คณสามารถเพมแอพพลเคชนเขาไปในรายการแอพพลเคชนทหนาแรก หรอจากในเมนแอพพลเคชน เชน ถาการใชงานขอมลของคณตองเกยวของกบงานอน เชน ระบบรกษาความปลอดภย หรอบรหารการเปลยนแปลง (Change Management) หรออปกรณ PCI (Payment Card Industry) กสามารถใช Splunk ชวยจดการได อยางไรกตาม แอพพลเคชนเหลานนอยในแพกเกจเพมเตม หากคณตองการใช คณสามารถบอกรายละเอยดความตองการใหเคเอสซทราบ เพอใหเราสามารถหาแพกเกจทเหมาะสมทสดสาหรบคณ


Page 9 of 31

5. แอพพลเคชนคนหา หาแอพพลเคชน Search

คณสามารถเขาถงแอพพลเคชนคนหานไดจากหนาใดกตามของเพจ Centralized Log Hosting ของเคเอสซ หรอหากตองการฝงแอพพลเคชนคนหานไวในหนา Home, View หรอแอพพลเคชนอน ใชเมน App ตรงมมขวาบนและเลอก “Search”

หากเมน App ไมทางาน ใหเลอก “Home” ในเมน App หรอคลกลงก “<< Back to Home” ตรงมมซายบนของหนาจอ

เมอคณกลบมายงหนาแรกแลว เลอก “Search” จากเมน App สงแรกทคณจะเหนเมอเขามาในแอพพลเคชนคนหา คอ กระดาน Summary dashboard


Page 10 of 31

กระดาน Summary Dashboard กระดาน Summary Dashboard ในแอพพลเคชนคนหา จะแสดงขอมลเกยวกบสงทคณอพโหลดขนไปไวบนเซรฟเวอรของ Splunk และบอกขนตอนทจะเรมคนหาขอมลน

ขอมลตวเลขทแสดงอยใน Dashboard นมาจากการผลการคนหาทบนทกไวหลงบานเมอคณเขาใชหรอสงโหลดหนานอกครง Dashboard บอกอะไรไดบาง แอพพลเคชนคนหาจะรวบรวม Dashboard และ View ตางๆ กน เชน

• Summary: คณอยทไหน • Search: คณตองการคนหาจากทไหนเปนหลก

ใชเมน Search Navigation เพอเขาดสวนอนในแอพพลเคชนน หากคลกทลงกคณจะสามารถเขาไปด Dashboard ทเกยวของหรอเปดหนานนอกครง


Page 11 of 31

สวนอนๆ ในแอพพลเคชน Search

• Searches & Reports: แสดงรายการการคนหาทบนทกเอาไวและทารายงาน • Search bar and Time range picker: ชวยใหคณสามารถพมพสงทจะคนหาและ

เลอกชวงเวลาเพอดการเขาใช • All indexed data panel: แสดงตวเลขขอมลทกจกรรมทคณทาบญชไว ซงจะรวม

กจกรรมทงหมดทคณมในดรรชน (Index) ลงเวลาเหตการณแรกและเหตการณสดทาย และยงบอกดวยวาขอมลนนมการรเฟรชครงสดทายเมอไร หรอรเฟรชหนา Dashboard นเมอไร

• Sources panel: แสดงแหลงขอมลเดนๆ จาก Log Server ของเคเอสซ • Sourcetypes panel: แสดงแหลงขอมลเดนๆ ของขอมลคณ • Hosts: แสดง Host ทใชเยอะทสดจากขอมลของคณ

เรมตนและคนหา

1. ดท Summary


Page 12 of 31

การคนหาใน Log ของเคเอสซทาไดงายมาก แมคณจะเหน Search Bar อยในกระดาน Summary Dashboard แตคณไมจาเปนตองพมพอะไรลงไป แหลงขอมล (Source) ประเภทของแหลงขอมล (Source Type) และ Host ทอยใน Summary Dashboard จะเปนลงกทจะเรมการคนหาเมอคณคลก

2. ในหนาตาง “Sourcetypes” คลก “syslog” เพอเขาไปยงกระดาน Search

Dashboard เพอเรมการคนหาและแสดงผล

สวนนมองคประกอบหลายอยาง ผใชควรลองทาความเขาใจกบสวนตางๆ นกอนทจะศกษาขนตอไป Splunk สามารถหยดการคนหาชวคราวไดหรอไม ระบบอาจจะใชเวลานานในการคนหาขอมล แตหากใชเวลานานเกนกวา 30 วนาท ระบบจะหยดการคนหาชวคราว (Pause) หากคณตองการคนหาตอไป คลก “Resume search” ในหนาตาง pop-up ทแจงการหยดคนหาอตโนมต กระดาน Search Dashboard มอะไรบาง ผใชอาจจะคนเคยกบการใชชองคนหา (Search Bar) และเลอกชวงทตองการคนหา (Range Picker) อยแลว เนองจากทงสองสวนจะมอยใน Summary Dashboard แตกระดาน Search Dashboard จะมจานวนเหตการณ (Event) เสนแสดงชวงเวลา (Timeline) เมน และรายการเหตการณทดงขนมา รวมถงผลการคนหาดวย

• Actions menu: ใชเมนนเพอบนทกผลการคนหาหรอรายงานทคณไดมา สรางกระดาน Dashboard ใหม หรอพมพรายงาน

• Count of matching and scanned events: ในขณะททาการคนหา Splunk จะนบจานวนของกจกรรม (Event) ในขณะทดงขอมลนนมา คอจะนบกจกรรมทตรงกบสงท


Page 13 of 31

ตองการคนหา และนบกจกรรมทงหมดทกาลงเขาไปดอย เมอการคนหาเสรจสน จานวนทแสดงอยดานบนเสนแสดงชวงเวลา คอจานวนของกจกรรมทตรงกบสงทตองการคนหาทงหมด สวนจานวนทปรากฏอยระหวางเสนแสดงชวงเวลากบรายการกจกรรม คอจานวนกจกรรมทงหมดทเกดขนภายในชวงเวลาทคณเลอก ตวเลขนจะเปลยนไปเมอคณเขาไปดขอมลโดยละเอยดขน ดงทคณจะไดเหนตอไป

• Timeline of events: เสนแสดงชวงเวลา หรอ Timeline เปนภาพทแสดงใหเหนกจกรรมทเกดขนในแตละเวลา เมอมการอพเดทเสนแสดงชวงเวลาไปตามผลการคนหา คณจะเหนกลมขอมลหรอแผนภมแทง (Bars) ความสงของแผนภมแตละแทงจะบอกจานวนของกจกรรมทเกดขน ปลายยอดหรอมมตกของเสนแสดงชวงเวลาแสดงวามจานวนกจกรรมทพงสงขนผดปกต (Spike) หรอเซรฟเวอรใชงานไมไดในชวงเวลานนๆ ดงนน เสนแสดงชวงเวลาจงเปนสงสาคญทจะแสดงรปแบบของการเกดกจกรรมใหเหนชด หรอตรวจสอบชวงทเกดกจกรรมมากหรอนอยผดปกต ตวเลอกสาหรบเสนแสดงชวงเวลาจะแสดงอยเหนอเสนแสดงชวงเวลา คณสามารถขยายเขา ออก หรอเปลยนชวงเวลาในแผนภมแทงนนได

• Fields menu: ดงทไดกลาวเอาไวแลววาเมอคณทาดรรชนขอมลนน Splunk จะพบและดงขอมลสาคญจากจากดาตาทอยในรปแบบของชอ หรอคาบางอยาง ซงเราเรยกวา ฟลด (field) เมอคณทาการคนหา Splunk จะแสดงฟลดเหลานอยในเมนฟลดทายผลการคนหาของคณ คณสามารถเลอกฟลดอนๆ มาแสดงอยในกจกรรมของคณได

o Selected fields คอฟลดทถกตงคาไวใหแสดงอยในผลการคนหาของคณ ตามคาเรมตน สงทจะแสดงคอ host, source และ sourcetype

o Other interesting คอฟลดอนๆ ท Splunk ดงออกมาจากผลการคนหาของคณ

o Field discovery คอปมเปด/ปด (On/Off) ทอยดานบนของเมนฟลด ตามคาเรมตนของ Splunk ในสวนนจะถกเปดอย แตหากคณตองการใหแสดงผลการคนหาเรวขน คณอาจเลอกปดฟลดน ซงจะทาให Splunk ดงแตขอมลทจาเปนเทานน

• Event viewer: จะแสดงกจกรรม (Event) ทตรงกบเงอนไขการคนหาของคณ และจะแสดงอยดานลางเสนแสดงชวงเวลาตามคาเรมตน กจกรรมเหลานจะแสดงผลอยในรปแบบของรายการ (List) แตคณสามารถเลอกดเปนแบบตารางได เมอคณเลอกดตารางกจกรรม คณจะเหนเพยงฟลดทเลอก (Selected Field) เทานน หากคณพรอมแลว ดหวขอถดไปเพอเรมตนคนหา และลองดวาคณสามารถทราบขอมลใดไดบาง


Page 14 of 31

6. เรมตนคนหา ในหวขอนจะแนะนาวธการคนหาอยางงายโดยใชหนาจอคนหา (Search Interface) หากคณไมคนเคยกบการใชหนาจอน คณสามารถกลบไปดทหวขอ Search อกครง พมพคยเวรดเพอคนหา

คณสามารถคนขอมลทกอยางทมอยใน Splunk ได โดยทไมตองมความคนเคยกบขอมลในดาตา เพราะการคนหานนทาไดอยางงายดาย เพยงแคพมพคยเวรด (Keyword) ลงไปในชองคนหา แลวกด “Enter” หรอคลกลกศรสเขยวทายชองคนหา (Search Bar) ในหวขอทแลว คณไดลองคนหาจากกระดาน Summary Dashboard โดยคลกท Source Type (syslog) ใชตวคนหา (Search) ตวเดยวกนนนเพอคนหาประวตการเขาใชงานลาสด

1. พมพหมายเลข IP Address ลงในชองคนหา เชน sourcetype=”syslog” ip

address เมอพมพแลว ตวชวยในการคนหาของ Splunk จะปรากฏขนมา


Page 15 of 31

ตวชวยการคนหาจะแสดงใหเหนผลการพมพลวงหนาหรอทเรยกวา Typeahead หรอสวนของขอความทตรงกบคยเวรดทคณพมพลงในชองคนหา และจะแสดงดาตาทตรงกบสงทคณพมพคนหา เมอคณพมพคาคนหาตอไป รายการผลการคนหาทแสดงอยกจะอพเดทใหตรงกบสงทคณพมพไปดวย ตวชวยในการคนหา หรอทเรยกวา Search Assistant จะแสดงจานวนผลทตรงกนกบเงอนไขทคณใชคนหา จานวนนจะทาใหคณทราบวา Splunk จะแสดงผลการคนหาเปนจานวนเทาไร คาหรอขอความใดทไมมอยในดาตาจะไมแสดงใหเหนในตวชวยในการคนหาน คณจะเหนขอมลใดอกในตวชวยคนหา ในขนน ยงไมตองสนใจหนาตางดานขวาทอยถดจากขอความชวยเหลอ (Contextual Help) ตวชวยคนหาจะมประโยชนขนเมอคณเรมเรยนรการเลอกใชภาษาสาหรบคนหา และหากคณไมตองการเปดตวชวยคนหา คณสามารถคลก turn off auto-open และปดหนาตางโดยใชลกศรสเขยวดานลางชองคนหา (Search Bar)


Page 16 of 31

2. ลองพมพหาหมายเลข IP Address แลวกด “Enter” ระบบจะแสดงขอมลประวตการเขาใชงานของหมายเลข IP Address นน

แตละครงทคณคนหาขอมล Splunk จะไฮไลทผลการคนหาทตรงกบขอความทคณพมพในชองคนหา

3. ลองดในผลการคนหา คณจะเหนคาหรอขอความทเกยวของกบดาตานน


Page 17 of 31

7. การเปลยนชวงเวลา ถงตอนน คณนาจะคนเคยกบการคนหาและใชเสนแสดงชวงเวลา (Timeline) แลว หรอหากยงไมมนใจ คณสามารถกลบไปดหวขอกอนหนาทวาดวยการคนหาและใชเสนแสดงชวงเวลา (Timeline) หวขอนจะกลาวถงการคนหาทเจาะจงขนในชวงเวลาใดเวลาหนง หากคณพอจะทราบวากจกรรมทตองการหานนเกดขนในชวงเวลาใด ใชเครองมอนเพอเจาะจงชวงเวลาคนหา จะทาใหหาไดเรวขน

เปดเมนดรอปดาวนเพอเลอกชวงเวลาและเปลยนชวงเวลาใหเปน Other>Yesterday

เนองจาก Splunk จะคนหาจากขอมลทคณมอยทงหมด ดงนนคา Default ของชวงเวลาจะถกตงไวเปน All time (คนหาทงหมด) หากคณมขอมลจานวนมาก การคนหาจากเงอนไขเวลานจะทาใหทกกจกรรมทเกดขนในชวง 15 นาททผานมา เมอคนน หรอสปดาหกอน แสดงในผลการคนหาทงหมดและใชเวลานาน กวาทคณจะไดขอมลทตองการจรงๆ เมอเลอกชวงเวลาแลว ระบบจะคนหาจากขอมลในชวงเวลานน หรอหากไมมการคนหาโดยอตโนมต กรณากด “Enter”


Page 18 of 31

Splunk ยงอนญาตใหผใชเลอกชวงเวลาตามตองการไดเอง เพอคนหาหรอเลอกกจกรรมทเกดขนอยางตอเนองในชวงเวลานนๆ

• Real-time แสดงผลการคนหากจกรรมทเกดขนตามเวลาจรงขณะนน เนองจากขอมลในตวอยางเปนการอพโหลดเพยงครงเดยว การประมวลผลการคนหาแบบ Real-time จะไมไดแสดงผลเลยในตอนน เราจะกลบมาดตวเลอกนในภายหลง กรณาอานขอมลเพมเตมเกยวกบ Real-time search และการแสดงของมลนไดใน Search and report in real-time

• Custom time... ในหนาตาง Pop-up ทแสดงขนมาใหม คณจะสามารถเลอกชวงวนและเวลาทตองการ หนาตางแบบ Real-time หรอเลอกใชภาษาคนหาได

ถงตอนน คณจะสามารถคนหาแบบงายๆ ซงจะแสดงผลการคนหาทตรงกบในกจกรรมไดแลว นเปนสวนหนงของการใช Splunk เมอคณเขาใจขนตอนนแลว กรณาดหวขอถดไปเพอศกษาเรองฟลดและการคนโดยใชฟลด


Page 19 of 31

8. บนทกการคนหา ในหวขอน เราคาดวาคณจะคนเคยกบการคนหาโดยใชฟลดแลว ถาไมอยางนน คณสามารถเขาไปในหวขอกอนหนาน และทบทวนเรองการคนหาโดยใชฟลดได ขนตอนนจะแสดงใหคณเหนวธงายๆ ในการบนทกการคนหา และการนาสงทบนทกนไปใชคนหาในครงหนา หากมสงทคณตองคนดทกๆ เชา แทนทจะตองตงคาหรอพมพใหมทกครง คณสามารถเลอกบนทกการคนหาได ตวอยางท 1. คนหา errors ทพบเมอวานน error OR failed OR severe OR (sourcetype=access_* (status=404 OR status=500 OR status=503))

1. คลก “Actions” ดานบนชองคนหา (Search Bar)

2. เลอก “Save Search…” จากเมนดรอปดาวน หนาตาง Save Search จะปรากฏขน


Page 20 of 31

การคนหาทบนทกไวจะแสดงเงอนไขการคนหา ชวงเวลาทเกยวของกบการคนหา และชอของการคนหานน

3. ชอของการคนหา คอ Errors (Yesterday) 4. ทดานลางของ Search ไมตองแกไขเงอนไขการคนหา 5. ใช Time range (ชวงเวลาเดม) 6. ใชการตงคา Share แบบเดม 7. คลก Finish จะยนยนวาการคนหานนถกบนทกแลว

8. การคนหาทคณบนทกไวจะเขาไปอยใน รายการ Searches & Reports


Page 21 of 31

เนองจากชอของผลการคนหาทบนทกไวมคาวา “Error” Splunk จงจดไวในเมนยอยสาหรบ Errors จดไขปลาสเขยวทอยถดจากการคนหาทบนทกแสดงวาการคนหานนอยเฉพาะในบญช Splunk ของคณเทานน และขณะน มเพยงคณเทานนทสามารถเขาไปดการคนหาทถกบนทกนนไวได แตหากคณตองการใหผใชคนอนสามารถเขาไปใชงานไดเหมอนกน คณสามารถเลอกใหเปน Global saved search โดยดรายละเอยดจาก “บทท 11 การบนทกการคนหาและแชรผลการคนหา” จดการการคนหาและรายงาน หากคณตองการปรบเปลยนการคนหาทบนทกไว ใชเมน Searches& Reports เพอเลอก Manage Searches & Report เพอเขาไปทหนา Splunk Manager ซงจะแสดงการคนหาและรายงานทคณไดรบอนญาตใหเขาไปดได คณสามารถเลอกการคนหาของคณจากในรายการ เพอเขาไปยงหนาตางแกไข (Edit) ซงคณจะสามารถเปลยนหรออพเดทเงอนไขการคนหา คาบรรยาย ชวงเวลา และตวเลอกตางๆ ได บนทกและการแชรผลการคนหา การบนทกผลการคนหา จะแตกตางจากการบนทกการคนหา คณจะบนทกผลการคนหาในกรณทคณตองการเขามาดผลการคนหาบางประเภทในอนาคต ดขอมลเพมเตมไดจาก “บทท 11 การบนทกการคนหาและแชรผลการคนหา” คณสามารถบนทกการคนหาได หากเขาใจขนตอนนดแลว หวขอถดไปจะแนะนาวธทหลากหลายทคณสามารถใชคนหาสงทตองการได


Page 22 of 31

9. การคนหาฟลด หากคณยงไมคนเคยกบการใชเมนคนหายอย ในหวขอนเราจะแนะนาวธการคนหาฟลดทตรงกน การเทยบหาฟลดทตรงกนคออะไร การเทยบหาฟลดทตรงกน (Field Lookups) คอการหาฟลดทอยในไฟลนอก ซงอยในรปแบบของ CSV โดยไฟลนนมฟลดทตรงกบขอมลในกจกรรม (Event) ของคณ การใชการคนหาขอมลทตรงกนนจะทาใหคณสามารถเพมขอมลสาคญเขาไปในดาตาทมอยและฟลดทคนหาได

ตวอยางทจะทาใหคณทราบวาจะใชฟงกชนคนหาฟลดทตรงกน และเพมคาบรรยายทอยในสถานะของ HTTP เขาไปในกจกรรมในหนาเวบไดอยางไร กรณาดหวขอน ฟลดนไมมในขอมลของคณ กรณานาเขาขอมลจากไฟลนอก

ตวอยาง: หากตองการดาเนนการตอ กรณาดาวนโหลดและแตกไฟล CSV น product_lookup.csv.zip และใช Lookups Manager

1. ในเมนของ Splunk ตรงมมขวาบน คลกเลอก “Manager”

คณจะเขาไปในฟงกชน Manager ของ Splunk

2. ใต Apps and knowledge คลก “Lookups”


Page 23 of 31

เขาไปท Manager>Lookups

อพโหลดไฟลทจะใชเทยบ ใน Manager เลอก “Lookups”

1. ตรงดานลางของ Actions คลก “Add new” ตรงหวขอ Lookup table files เขาไปท Manager > Lookups > Lookup table files เพอใหคณสามารถอพโหลดไฟล CSV เพอใชเพมขอมลเขาไปในฟลดทมอย

2. ท Destination app เลอกเปน Search เพอให Splunk บนทกไฟล lookup table ไวในแอพพลเคชน Search

3. ทดานลางของ Upload a lookup file เลอก browse หาไฟล CSV ทตองการนามาอพโหลด


Page 24 of 31

4. ใต Destination Filename ตงชอไฟลวา product_lookup.csv ชอทตงนจะเปนชอทคณใชเรยกไฟลนในการเทยบไฟล

5. คลก “Save” เพออพโหลดไฟลทตองการคนหาฟลดทตรงกนกบทมอยใน Splunk เขาไปในแอพพลเคชน Search ซงคณจะตองระบกอนวาคณตองการคนหาอะไร

6. กลบไปเมน Manager> Lookups โดยคลกจากลงกทดานบน

ระบฟลดทตองการเทยบ เขาไปท Manager> Lookups

1. ในหวขอ Actions คลก “Add New” ตรง Lookup definitions คณจะเขาไปท Manager > Lookups > Lookup table files ซงคณสามารถระบฟลดทตองการเทยบหาได

2. ตรง Destination app เลอก “search” 3. ตงชอการเทยบไฟลนวา product_lookup 4. เลอก Type เปน “File-based” 5. เลอก Lookup file เปน “product_lookup” (ชอตาราง lookup table ของคณ) 6. ไมตองคลกเลอก Configure time-based lookup และ Advanced options 7. คลก “Save”


Page 25 of 31

Splunk จะรแลววา product_lookup เปนการเทยบหาขอมลทตรงกนจากไฟล

สงททาไดในขณะทกาลงทาการคนหาอย

Log ของเคเอสซมตวควบคมหลายอยางทคณสามารถใชเพอจดการการคนหา คาสงเหลานจะอยใตชองคนหาเมอมการคนหาขอมลอย ตวควบคมเหลานประกอบดวย

• Send to background (ปมสฟา): สงคาสงคนหาไปยง “ดานหลง” เมอคณทางานอยางอนไปดวย และสงใหระบบบอกใหคณทราบวาการคนหาทดานหลงนนเสรจสมบรณแลว โดยคณสามารถใชหนา Job เพอเขาไปดการคนหาทดานหลง

• Pause/Resume (ปมสเหลอง): หยดการคนหาทกาลงดาเนนอย จะมประโยชนมากเมอคณทาการคนหาทใชเวลานานและตองการหยดไวชวคราว คลกปม Resume เพอคนหาตอหรอ Finalize เพอจบการคนหา

• Finalize (ปมสเขยว): หยดการคนหากอนทจะเสรจสมบรณ Splunk จะแสดงผลการคนหาทคนไดจนถงเมอไดรบคาสงหยด คณสามารถใชผลการคนหาทไดมานนมาทารายงานได

• Cancel (ปมสแดง): ยกเลกการคนหาทกาลงดาเนนอยและลบผลการคนหาทไดมาทงหมด Splunk จะแสดงรายการคนหาทถกยกเลกไปอยในหนา Jobs แตเนองจากผลการคนหาถกลบไปหมดแลว จงไมมลงกใหเขาไปดผลการคนหาเหลานนได

• Create alert: คลกเพอระบการแจงเตอนตามการคนหาของคณ ระบบแจงเตอนจะไลดการคนหาทคณบนทกไว (ไมวาจะเปนตามชวงเวลาทตงหรอแบบ Real-time) เมอระบบพบผลลพธทตรงกบเงอนไขทคณตงไวในการตงคาการแจงเตอน ระบบจะแจงใหคณทราบ อานการสรางการแจงเตอนในคมอนเพอดขอมลเพมเตม

• Add to dashboard: คลกทปมนหากคณตองการสรางกระดาน Dashboard ตามผลลพธการคนหาทได และเพมเขาไปในกระดาน Dashboard ใหม หรอทมอยแลว ด Create and edit simple dashboards เพอดขอมลเกยวกบกระดาน Dashboard เพมเตม

• Save search: บนทกการคนหา หากคณตองการคนหาซาใหมอกครงโดยไมตองพมพเงอนไขการคนหาใหมทงหมด ไปท Save searches and share search results เพอดขอมลเพมเตม

• Build report: หากคณทาการคนหาทใชเวลานานและไมตองการรอจนการคนหาเสรจสมบรณเพอสรางรายงาน คณสามารถคลกทปม Report Builder เพอสรางรายงานลวงหนาไปกอน การคนหาจะยงคงดาเนนตอไปแมวาเราจะเรมใชงาน Report Builder แลว และทายสดรายงานนนจะแสดงผลของขอมลทงหมดทระบบไดมา


Page 26 of 31

10. การเปลยนชวงเวลาเพอคนหาในชวงเวลาทตองการ

ดวยระบบการเลอกชวงเวลาทยดหยนไดมากกวา คณจงสามารถสรางรายงานทมประโยชนมากขน เมอเทยบกบขอมลทมอยเดม

ตวอยางเชน คณอาจตองการทราบวาระบบของคณทางานไดดเพยงไรวนน เมอเทยบกบการใชงานเมอวานและวนกอน หรอคณอาจจะสนใจวเคราะหขอมลในชวงเวลาหนงใด เชน วเคราะหการเขาชมหนาเวบ (Web Traffic) ในชวงเวลางาน หวขอนจะอธบายวธการระบชวงเวลาในเงอนไขการคนหา โดยใช

• เมนชวงเวลา (time range) • หาจากเกาสด (earliest) และ ลาสด (latest)

เลอกชวงเวลาเพอระบเปนเงอนไขการคนหา

ใชตวเลอก time range picker ในเมนดรอปดาวนเพอระบชวงเวลาทคณตองการคนหา หากคณตองการระบชวงวนดวยตนเอง เลอก Custom time… จากเมนดรอปดาวน จากนนเลอก "Date" ในหนาตาง pop-up คณสามารถเลอกชวงเวลาโดยพมพเองหรอเลอกจากปฏทนในหนาตาง pop-up กได

ตวอยางเชน หากคณตองการทราบกจกรรม (Event) ทเกดขนในชวงไตรมาสทสอง คอจากเดอนเมษายนถงมถนายน คณสามารถเลอกเปนชวงเวลาได

Selected date range: เมนชวงเวลาจะระบชวงเวลาทคณเลอก สงเกตวาเสนแสดงชวงเวลาจะแสดงดาตาทอยในชวงนนเทานน


Page 27 of 31

ระบชวงเวลาทตองการเอง

1. จากตวเลอก time range picker เลอก Custom time… 2. เลอก Relative จากตวเลอก Range Type 3. ใสวนและเวลาเรมแรกสดทตองการคนหา

หมายเหต: คณสามารถใชหนาตางนดภาษาทใชในการคนหา (Search Language equivalent) ของเวลาเรมแรกสดทตองการคนหา และชวงเวลาทมผล (Effective range) ซงจะแปลงขอมลนนมาเปนภาษาทเขาใจไดงายแลว

ตวอยางของการใชตวเลอก Relative Time ในตวอยางดานลางน เวลาปจจบนคอ Wednesday, 05 February 2009, 01:37:05 PM และอยาลมวา 24 ชวโมงไมไดหมายถงยอนหลงไป 1 วนพอดเสมอไป เนองจากอาจมการปรบเวลา ทเรยกวา Daylight Saving Time


Page 28 of 31

11. การบนทกการคนหาและแชรผลการคนหา

หลงจากทคณไดผลลพธจากการคนหาแลว คณอาจตองการบนทกการคนหาไว เพอใหกลบมาคนหาโดยใชเงอนไขเดมซาไดโดยทไมตองพมพใหม หรอคณอาจตองการบนทกผลการคนหาบางรายการไว เพอใหทมไดกลบมาดผลการคนหานนใหม ในหวขอนเราจะอธบายฟงกชนหลงการคนหาทงสองอยางน ทาไมตองบนทกการคนหา ผใชควรเขาใจประโยชนของการบนทกการคนหาใน Splunk ซงขนตอนนมความสาคญมาก เนองจากจะชวยนาเงอนไขตางๆ ในการคนหามาใชซาอกครง (เมอคณเลอกการคนหาทบนทกไวจากในดรอปดาวน Searches & Reports) คณอาจบนทกการคนหา เมอตองการ

• ใหผอนสามารถคนหาดวยเงอนไขเดยวกนนไดโดยงาย เมอคณบนทกการคนหา คณสามารถตงคาสทธการเขาใชงานเพอใหผอนสามารถเขามาทการคนหาทบนทกไวนดวย

• ตงคาการแจงเตอน การแจงเตอน (Alert) คอการคนหาทไดบนทกไว และทางานโดยอตโนมตหรอตามเวลาทตงไว เมอการคนหาทกาหนดเวลาไวลวงหนานคนเจอเงอนไขทตรงตามกาหนดไว ระบบจะแจงเตอนใหผใชทราบ

• เพมการคนหาลงในกระดาน Dashboard การคนหาทบนทกไวจะถกนามาสรางเปนแผนภม ตาราง หรอรายการกจกรรม (Event) อยางงายในกระดาน Dashboard

• ตงคาดชนสรป (Summary Index) ซงจะทาใหการคนหาจากกลมดาตาใหญๆ เปนไปไดรวดเรวขน โดยใชการคนหาทถกบนทกไวน

จะบนทกการคนหาไดอยางไร หากคณตองการบนทกการคนหาทใหผลนาสนใจ เพอเกบไวใชในวตถประสงคใดวตถประสงคหนงตามทไดกลาวไวขางตน การบนทกการคนหาผานหนาเวบ Splunk Web UI สามารถทาไดงายๆ เมอกาลงดาเนนการคนหา หรออยในขนตอน Finalized หรอการคนหาเสรจสมบรณแลว คณยงสามารถใช Manager หรอ savesearches.conf เพอเพมการคนหาทบนทกไวเขาไปใน Splunk นอกจากนนยงสามารถกาหนดการคนหาทบนทกไวไดเองใน savesearches.conf ดวย ดหวขอยอยตอไปน เพอศกษาขอมลเพมเตม

อยางนอยทสด ในการกาหนดการคนหาทบนทกไวจะตองมเงอนไขการคนหา และชวงเวลาทตองการคนหา ควรมชอเรยกการคนหานน ซงชอนจะแสดงอยในดรอปดาวนเมน Searches & Report หลงจากทไดบนทกการคนหาไวแลว

หมายเหต คณสามารถเปลยนการวางเมนในแอพพลเคชน เพอใหการคนหานนถกบนทกไวในเมนหลก (Top-level) แทนทจะอยใน Searches & Reports กรณาดขนตอนการจดการเมนคนหาทบนทกไว ตอไปน


Page 29 of 31

บนทกการคนหาทกาลงดาเนนอย เสรจสมบรณแลว หรอ Finalized อย

เมอคณทาการคนหาใน Search คณสามารถ

• คลกลงก “Save search” ทแสดงอยดานบนของสถานะการคนหา เพอเปดไดอะลอก Save search

• คลกท “Add to dashboard” หรอ “Create alert” เพอแสดงหนาตางบนทกการคนหากอนทจะเลอกเพมการคนหานนลงในกระดาน Dashboard หรอสรางการแจงเตอนจากผลการคนหานน

• เลอก “Save search” จากเมน Action เพอเปดหนาตางบนทกการคนหา

หนาตางขนตอนการบนทกจะแสดงเงอนไขการคนหา (Search string) และชวงเวลา (แสดงอยในสวน relative time modifier) คณสามารถแกไขขอมลกอนทจะบนทก และสามารถตงชอการคนหานไดดวย โดยชอจะปรากฏอยในรายการ Searches & Reports หลงจากทไดบนทกไวแลว


Page 30 of 31

เพมการคนหาทบนทกใหมเขาไปใน Manager เมอคณตองการบนทกการคนหา เพยงเรมใชการคนหาและใชคาสง Save Search เพอบนทก วธนจะชวยใหคณทดสอบการคนหาไดกอนทจะบนทกจรง

ถาหากคณจะเขาไปท Manager คณจะสามารถไปทหนา Searches and report และคลก “New” เพอกาหนดและเพมการคนหาทบนทกใหมเขาไป ซงวธนจะทาใหคณสามารถเพมเงอนไขในการคนหาและเสนแสดงชวงเวลา (Timeline) โดยใช Relative time modifier และชอการคนหา

วธเปลยนรหสผาน หากตองการใชงาน Manager ลอกอนเขาไปทเวบ Splunk และคลก “Manager” ตรงมมขวาบน คลก “Users and Authentication”


Page 31 of 31

คลกตวเลอก “User”

ใสรหสผานใหมในชองใส Password และคลกปม “Save” เพอบนทกขอมล

Documents

คู มือการใช งาน Centralized Log Hosting · Centralized Log Hosting - User Manual - Thai Version 1.0 ... รายงานผลการวิเคราะห