[Graylog] Wildcard Search (와일드카드 검색)

Graylog Wildcard Search 적용하기

설정방법

1. /etc/graylog/server/server.conf 오픈
2. allow_leading_wildcard_searches = true 로 변경
3. graylog 재시작

Graylog 는 기본적으로 Word 단위로 저장이 되고 검색도 Word 단위로 수행하게 된다. 그래서 인지 Graylog는 검색할때 Wildcard 검색을 제한적으로 허용하고 있다.

 

예를 들면

message:search* : search로 시작하는 log 검색

message:*search : 검색 안됨

 

message:*search* : 검색 안됨

 

이렇게 뒤에만 Wildcard를 이용하여 검색할 수 있다.

만약 중간에 search 가 들어간 log를 검색하려면 매우 짜증난다.

 

이럴때 Graylog 설정을 변경하여 *search* 처럼 앞뒤로 wildcard를 넣어 검색할 수 있는 방법을 소개한다.

 

server.conf 수정

- allow_leading_wildcard_searches = false로 되어 있는 부분을 true로 변경

> vi /etc/graylog/server/server.conf

allow_leading_wildcard_searches = true

> systemctl restart graylog-server.service

 

적용 후 검색 결과

1. search* 로 검색 : serach로 시작되는 log만 검색 된다.

 

2. *search로 검색 : search로 끝나는 log만 검색 된다.

 

3. *search*로 검색 : search가 들어간 log를 모두 검색

Graylog wildcard search 적용 화면

 

기타.

• Graylog는 앞서 얘기했던것처럼 Word 단위로 검색이 되기 때문에 위 검색에서 처럼 "search"를 검색하게 되면 Word 어딘가에 "search" 가 포함된 전체 Word를 검색하여 보여 준다.
• server.conf 파일에 위 옵션에 대해 매우 많은 리소스를 사용할 것이라는 경고 메세지가 있다. 하지만 필자가 테스트해본 경험으론 아무런 차이를 느끼지 못했다. 아마 필자의 Graylog 서버에 저장된 데이터 크기가 그리 크지 않기 때문일 것으로 생각된다. (1.4TB 정도 사용하고 있음)
• 해당 옵션은 각자의 환경에 맞게 잘 판단하여 사용하길 바란다.