[Splunk] 데이터 품질 점검하기

 

모니터링 콘솔에서 현재 수집중인 데이터 상태를 확인할 수 있다. 

 

[ 모니터링 콘솔 > 인덱싱 > 입력 > 데이터 품질 ]

 

보통 당일과 전일 기준으로 검색하는 편인데

Timestamp Parsing Issues나 Line Breaking Issues가 존재하는지 확인할 수 있다. 

 

이상이 없을 경우 "결과가 없다"고 나오고, 

이상이 있으면 몇 건인지 알려준다. 

 

클릭하면 _internal 로그 중 ERROR 또는 WARNNING이 발생한 로그를 출력한다. 

 

DBX 쿼리 문제일 경우 로그 안의 Context 부분에서 보다 상세한 에러 내역을 찾을 수 있는 파일 정보를 얻을 수 있다.

 

search_telemetry 문제일 경우 splunk에 올린 앱에서 에러가 발생한 것일 수 있는데, 

이 경우 로그상에서 앱 이름과 unix time이 출력된 곳 사이에 job과 관련된 문자열을 복사한다. 

[ 우측 상단 작업 > 작업 ] 에 들어가서 필터에 문자열을 넣고 검색하면 보다 상세한 에러 정보를 확인할 수 있다. 

 

splunk 내부 로그를 통해 원인을 파악한 후 수정한다.