Splunk DB Connect - 5th

KV_MODE 사용하지 않을 때.

데이터 노가다 실수담 - 14th

URL 인코딩 패턴 디코딩.

데이터 노가다 실수담 - 13th

3만 개에 육박하는 변수 발생 내역. 같은 변수라도 달라지는 값 때문에 다양성이 증가한 결과.  

Splunk의 sourcetype 변경

다시 인덱싱을 하지 않는 한 저장된 인덱스의 소스타입은 바꿀 수 없다.

Splunk의 필드 처리 순서 - 2nd

스플렁크는 9단계의 필드 처리 순서를 갖는데, 그중 KV_MODE 옵션을 사용하는 3단계는 key=value 구조의 데이터를 자동으로 field=value 구조로 바꿔준다.

logsdb 인덱스 모드

엘라스틱이 v8.17부터 logsdb 인텍스 모드라는 기능을 제공하고 있더라. 디스크 저장 용량을 절약해준다고. 인덱스 모드를 지정해줘야 해서 템플릿 사용 필수.

opensearch-3.2.0

opensearch 윈도우 버전은 도커 이미지만 있었는데 어느새 설치 버전을 제공하더라. 환경변수(관리자 패스워드) 등록 및 보안 플러그인 셋업(opensearch-windows-install.bat) 과정이 좀 낯설지만 매뉴얼대로만 하면 어렵진 않음.