목차
튜토리얼 데이터 다운로드
tutorialdata.zip : 가상의 쇼핑몰 웹 로그 파일
prives.csv.zip : 룩업을 실습할 때 사용
※ tutorialdata.zip은 원본 로그가 계속 변경되므로 다운로드 하는 시점에 따라 다른 로그 내용이 포함
용어
- 인덱스
- sourcetype
데이터의 형식과 분류를 위해서 사용
검색, 보고서 작성, 대시보드 제작 등 많은 기능이 소스 타입에 의존
사전 정의된 소스타입을 사용하려면 splunk는 자동으로 로그의 형식을 이해하고 로그를 개별 이벤트로 분리한다.
분리된 이벤트에서 타임스탬프, 출발지ip와 같은 정보를 자동으로 인식하고 필드 값을 추출한다.
로그방식마다 sourcetype이 존재한다. 즉 모든 로그는 특정 sourcetype에 연결돼 있어야한다. 그래야만 검색 시 더 빠르고 효율적으로 검색할 수 있다.
업로드 기능
* 직접 업로드 하는 방식. 지속적으로 파일을 수집하는 것이 아니라 한번만 인덱싱할 때 주로 사용하는 방식
다음과 같은 경우 사용
- 분석 대상 로그를 다른 곳에서 전달받아서 분석해야하는 경우
- 침해사고를 상세하게 확인하려고 1회성으로 분석하는 경우
- 분석 대상 로그 형식을 확하고 사전 점검을 하는 경우
* zip 파일 업로드가 가능함 한번에 업로드 파일 500mb까지 가능
※ splunk 시험판 사용 시 분석 용량 라이센스 고려해야함. splunk 시험판은 하루에 로그 500mb를 색인할 수 있음
시험판에서 500mb 업로드 하면 하루의 색인 용량을 모두 사용한 것으로 더이상 색인을 할 수 없음
- tutorialdata는 웹로그 이므로 별도로 지정할 필요없이 자동으로 해도됨.
- host 도 그대로 놓지만 실제 운영에선는 이 로그를 생성하는 호스트명을 지정하는 것이 좋다. 호스트별로 분류가 편해지기 때문
-인덱스 수집로그를 저장할 공간이다. 동일목적을 가진로그는 별도의 인덱스로 관리하는 거이 좋다. 모든 방화벽로그는 firewall이라는 인덱스를 만들어서 관리
'보안' 카테고리의 다른 글
| AI 해킹방어대회 참가 회고록 (0) | 2025.11.06 |
|---|---|
| 클라우드 환경에서 랜섬웨어 (0) | 2025.10.23 |