Kibana Alert - 2nd

로그스태시도 대안이 될 수 있다. 원하는 조건 입력 후 이메일로 출력하는 방식.

input {
  elasticsearch {
    hosts => "https://192.168.56.1:9200"
    index => "winevent"
    user => "elastic"
    password => "******"
    ssl_certificate_authorities => "D:/ELK/v9/elasticsearch-9.2.0/config/certs/http_ca.crt"
    schedule => "* * * * *"
    query => '{

Kibana Alert

특정 조건 발생 시 경보 생성 기능은 유료다. 정확히 얘기하면 메일 발송 등 경보 발령에 의미를 부여해주는 기능이 유료. 일단 메일 커넥터 생성. 이때 gmail 서버 인증을 받으려면 앱 비밀번호(구글 계정 관리)를 먼저 만들어놔야 한다.

SplunkForwarder v9 - 2nd

다수 포워더 운영 효율을 높이는 방법은 배포 서버 연동. 

CentOS7의 Splunk - 4th

스플렁크 v10부터 GLIBC 버전이 낮다면서 centos7에서 실행이 되지 않는다.

1 2 3 4 5 6 7 8 9 10 11 12 13

[root@Snort ~]# rpm -ivh splunk-10.0.0-e8eb0c4654f8.x86_64.rpm warning: splunk-10.0.0-e8eb0c4654f8.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID b3cd4420: NOKEY Preparing...                          ################################# [100%] verify that this sytem has all the commands we will require to perform the preflight step no need to run the splunk-preinstall upgrade check useradd: cannot create directory /opt/splunk Updating / installing...    1:splunk-10.0.0-e8eb0c4654f8       ################################# [100%] find: ‘/opt/splunk/lib/python3.7/site-packages’: No such file or directory complete [root@Snort ~]# cd /opt/splunk [root@Snort splunk]# bin/splunk start --accept-license bin/splunk: /lib64/libc.so.6: version `GLIBC_2.25' not found (required by bin/splunk)

cs

정규표현식: 성능 - 2nd

변수를 포함한 URI 구간에서 FILE 정보 추출.

Splunk DB Connect - 5th

KV_MODE 사용하지 않을 때.

데이터 노가다 실수담 - 14th

URL 인코딩 패턴 디코딩.