스플렁크는 9단계의 필드 처리 순서를 갖는데, 그중 KV_MODE 옵션을 사용하는 3단계는 key=value 구조의 데이터를 자동으로 field=value 구조로 바꿔준다.
Easy to analyze if you are really curious about data
2025년 10월 1일 수요일
2025년 9월 19일 금요일
2025년 9월 17일 수요일
opensearch-3.2.0
opensearch 윈도우 버전은 도커 이미지만 있었는데 어느새 설치 버전을 제공하더라. 환경변수(관리자 패스워드) 등록 및 보안 플러그인 셋업(opensearch-windows-install.bat) 과정이 좀 낯설지만 매뉴얼대로만 하면 어렵진 않음.
2025년 9월 7일 일요일
Logstash 필터 date - 4th
DB 데이터 연동.
[2025-09-07T11:06:48,019][INFO ][logstash.agent ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}[2025-09-07T11:07:00,219][INFO ][logstash.inputs.jdbc ][main][d56fa9ad43d4dc4ae19f64f322de33854c6e9d33b5fc7c06354603bf613db2ee] (0.001000s)select a.cid, a.timestamp, b.sig_name, inet_ntoa(c.ip_src), inet_ntoa(c.ip_dst), unhex(d.data_payload)from event a, signature b, iphdr c, data dwhere a.signature = b.sig_idand a.sid = c.sid and a.cid = c.cidand a.sid = d.sid and a.cid = d.cidand a.cid > 0
2025년 8월 30일 토요일
정규표현식 성능을 높이려면
정규표현식 메타문자의 성능 우선순위가 있느냐는 질문을 받았다. 일단 메타문자는 검사 범위의 차이를 가지고 있을 뿐, 성능 차이는 없다. 하지만 성능 우열을 결정할 수는 있다. 기준은 내가 찾으려는 문자열의 위치.
수량자는 최대 검사모드가 디폴트이기 때문에 .*은 입력 순간 모든 문자를 검사한다. 이후 종료 문자인 b를 찾아야 하는데 b의 위치는 뒤에서 두 번째이므로 한 단계만 뒤로 후퇴하면 끝.
2025년 8월 24일 일요일
VIM vs AWK - 2nd
강의 이해를 위해 요구되는 사전 지식들.
필수 요건으로 못박고 싶지만 그랬다간 망할까봐 권장으로 타협. 출강 기관 측은 아예 빼자고 하는데 그러고 싶진 않다. 내 강의 정체성이기 때문.
2025년 8월 7일 목요일
피드 구독하기:
글 (Atom)
