아임노드

4장 보고서 하려고 했는데,splunk 최소 무료 디스크 공간이 도달하여 검색이 실행되지 않는다고 한다..ㅠㅠfee trial 버전이긴 한데, 방안을 찾아보긴 하겠지만 안될 수도 있을 것 같다. 진행이 안될 경우 강의에서 진행한 splunk 사용 및 서버 생성에 좀 더 시간을 투자해야겠다.

검색 매크로(macro)검색어를 조합해서 함수 형식으로 만드는 것 (즉, 인자를 받아서 실행 가능)매크로 이름은 ``(그래이브)로 감싸야 한다.로그 초기 필터링을 위한 검색어는 검색어의 처음에 매크로가 나올 수 있다.`search_macro` | 이전 로그 결과에서 요약 정보를 생성하는 등의 검색 명령어는 검색어 처음에 나올 수 없다.검색어 | `search_macro`매크로 인수는 ()로 감싸고 반드시 순서대로 입력mysearch | `search_macro(parm1, parm2, ...)`매크로 생성설정 > 고급 검색 > 검색 매크로 > + 새로 추가이름 : ex) book_search(2)검색 매크로 인자 개수 2개

외부 로그 소스와 연계해 필드가 가진 정보를 확장시켜준다.워크플로를 이용하면 다음의 작업을 Splunk에서 쉽게 실행할 수 있다.검색 결과로 나온 인터넷 IP를 Whois 정보에서 검색하기검색 결과에서 추출한 사용자 계정 정보를 상세 페이지로 연결하기해당 필드를 기준으로 다른 대시보드에서 검색 인자로 사용하기

태그태그는 로그에 다른 이름표를 붙이는 것여러 로그에 하나의 태그를 적용해서 한 번의 검색으로 다양한 이벤트를 검색할 수 있다.태그 사용의 좋은 예네트워크 구성 장비 또는 보안 장비에 태그를 할당하는 것태그 생성설정 > 태그 > 필드-값 리스트 나열 > 새 태크index="book" sourcetype="access_combined_wcookie" tag="status_error"  별칭필드의 이름을 다른 이름으로 변경하는 것rename과 동일한 결과를 얻을 수 있다.설정 > 필드 > 필드 별칭 > 새 필드 별칭 다른 앱에서도 사용하게 하려면 권한 공개 index="book" sourcetype="access_combined_wcookie"| stats count by clientip

Splunk에서의 가장 많이 사용하는 지식이벤트 타입룩업태그와 별칭워크플로검색 매크로 이벤트 타입)특정 조건을 만족하는 이벤트의 집합을 정의하여 데이터를 분류ex) "로그인 실패 이벤트", "시스템 경고 이벤트", "status_404" 등시간 지시자 위의 다른 이름으로 저장 > Event Type이벤트 타입 사용시 검색 창에eventtype=eventtype=status_404 룩업)Splunk 원본 소스 로그에는 없는 내용을 다른 테이블과 함께 검색해서 결과에 더욱 풍부한 의미를 부여할 수 있다.한 번 정의한 룩업은 필드명을 동일하게 설정한다면 다른 검색에서 재사용할 수 있다. - 먼저 지식이란 무엇인가?Splunk에서 "지식(Knowledge)"은 데이터를 더 유용하게 만들기 위해 정의된 구성 요소..

비교 분석 eval이 명령어에 사용하는 함수는 검색 결과 값의 변환, 검증을 수행하며 함수 실행 결과 값을 반환하는 형식...| eval [반환값_저장변수] = 함수(인자1,인자2..)eval 함수는 문자열을 인자로 취하고 연산 결과를 반환문자열은 " "로 감싸서 표시사용Splunk가 수집하는 모든 로그에서 완벽한 필드 추출은 매우 어려움그렇기에 때로는 원하는 값을 추출하려고 필드 값을 다시 조작해야 하는 상황 종종 발생이때 eval 명령어 함수가 요긴하게 사용됨 (많이 연습하도록!)case(X,"Y",...)여러 개의 조건을 검증할 때 사용첫 번째 인자가 참인 경우 두 번째 인자의 내용 반환세 번째 인자가 참이면 네 번째 인자가 실행월 이름을 기반으로 분기(quarter)를 반환하는 코드index="b..

보안 관제 및 보안 운영 자동화를 위한 기술 및 솔루션 SOAR단일 시스템 또는 단일 플랫폼 안에서 다양한 업무와 도구 간의 작업을 조정, 실행 및 자동화하는데 도움을 주는 솔루션을 말한다.SOAR 솔루션은 탐지 이벤트를 입력 받아서, 보안 분석가가 수동으로 조사/분석, 대응/조치했던 업무들을 자동으로 처리해주는 시스템 (스스로 위협을 탐지하는 보안 시스템은 아니다.) SOAR 솔루션과 SIEM(Security Information & Event Management) 솔루션의 구분둘 다 보안 문제를 탐지하고 데이터를 수집하고, 보안 담당자가 문제를 해결하는 데 사용할 수 있는 알림을 처리차이점SIEM 솔루션은 각종 이벤트를 수집하고 탐지 룰을 기반으로 위협을 탐지하는 시스템SOAR는 탐지한 이벤트를 입력..

차트 시각화데이터를 시각화하는 차트를 만드려면,검색을 이용해 관련 데이터 추출시각화 원본 데이터를 통계 테이블로 변환원본 로그 데이터로는 차트를 그리는 것이 불가능대표적인 사용 명령어charttimechartstats도 통계 테이블 생성 가능timechart시간에 따른 통계 테이블 생성 (시간에 따른 통계의 추세)시간 필드 x축(위치 불변) / 실제 데이터 y축꺾은선형, 영역형 또는 세로 막대형 차트로 많이 나타난다.timechart span=[ 시간범위 ] 통계함수 by [필드명]index=book sourcetype="access_combined_wcookie"| timechart span=12h count(clientip) as "Access Count"span은 시간 계산 단위를 설정시간 범위 7..

통계 계산 stats 명령어와 함수 사용)각종 통계 함수를 이용해서 데이터를 계산한다.각 함수는 필드명을 인자로 받아서 해당 함수가 제공하는 기능에 따라 값을 반환한다.대표 함수count(X) : X 필드의 개수 반환dc(X) : X 필드의 중복을 제거한 개수 반환sum(X) : X 필드의 총합 반환avg(X) : X 필드의 평균 반환list(X) : X 필드를 목록으로 만들어 반환values(X) : X 필드의 중복을 제거한 목록을 반환max(X) : X 필드의 최댓값 반환median(X) : X 필드의 중앙값 반환min(X) : X 필드의 최솟값 반환var(X) : X 필드의 분산 값 반환stdev(X) : X 필드의 표준편차 반환평균과 중앙값 차이평균은 개별 항목 값을 모두 더한 다음, 해당 총합을..

검색 처리 언어)SPL(Search Processing Language) : Splunk가 제공하는 검색 전용 언어파이프)파이프 = |앞 명령어 출력 결과를 파이프 뒤 명령어의 입력으로 전송항상 왼쪽 검색어 결과를 기반으로 새로운 명령어 적용하는 것정렬 기능 (Ctrl+\)Ctrl+\를 입력하면 파이프를 기준으로 줄바꿈을 실시자동 기능 권고기본 설정 창 > SPL 편집지 선택 > 고급 편집기 on / 검색 형식 자동 지정 on파이프(|) 입력 시 이를 기준을 자동 정렬됨 검색 명령어 데이터 나열, 변환 명령어)table필드명과 결합해 검색 결과를 테이블 형식으로 보여줌table + 보고자 하는 필드명필드명을 잘못 적으면 해당 필드에는 공란이 보임(입력 오류 의심)ex) index="book" source..