2020년 3월 4일 수요일

Winlogbeat 버전 6과 7의 필드 매핑

윈도우 이벤트 로그는 2단계의 상/하위 필드 구조를 갖는다.


이걸 winlogbeat(버전 6)로 연동하면 '상위.하위 필드' 구조 그대로 가져옴.


그런데 버전 7부터는 winlog라는 상위 필드가 하나 더 추가돼서 3단계(winlog.상위.하위)가 된다.


필드 구조가 길고 복잡해지면 파이프라인 설정도 길고 복잡해진다. 특히 로그스태시는 필드 검사할 때 [필드이름] 구조를 사용하므로, 3단계 구조를 갖는 필드는 [winlog][상위][하위]식으로 작성해야 함. 핵귀찮음

게다가 버전 7부터는 에이전트 정보 등 추가 필드가 폭발적으로 늘어난다. 실제 존재하지 않는 필드도 잔뜩 늘어남. 5156 이벤트 하나 연동했는데 필드 개수가 거의 700개(..) SIEM 등에서 사용하기 위해 ECS(Elastic Common Schema)가 적용된 결과.


같은 환경에서 버전 6의 필드 개수는 대략 90여 개.


파일 연동 가능한 거 빼고는 딱히 장점이 안 보이는 상황에서, 파이프라인 설정 과정의 필드 이름 처리나 대폭 증가하는 필드 개수가 신경 쓰인다면 버전 6을 사용하는 것도 나쁘지 않다. ELK 7.6.0과 winlogbeat 6.8.6을 연동해봤는데 잘 동작함.

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스