2025년에 있었던 일

벌써 또 일 년. 제법 바쁘게 지낸 거 같은데 생각나는 건 엘라스틱 라이센스 이슈 뿐이다. 몇 개월 전 엘라스틱측 클레임이 들어왔다는 출강 기관의 SOS를 받은 것. 요지는 

누구 허락 받고 엘라스틱 교육 하느냐

현대차로 운전연수 교육하면 현대차 허락 받아라 과정 소개에도 있지만, 내 강의 주제는 엘라스틱이 아닌 데이터 분석이다. 과정을 소개하는 첫 시간에 반드시 강조한다. 

엘라스틱 써보고 싶어서 데이터 분석 하나요? 아니죠. 데이터를 잘 분석하고 싶은데  그때 선택할 수 있는 여러 툴 중 엘라스틱을 써보는 겁니다... 이 과정을 다 듣고 나면 엘라스틱을 잘 쓰니까 데이터 분석이 되는 게 아니라, 데이터를 잘 아니까 엘라스틱이 쉬워진다는 사실을 알게 되실 겁니다

Kibana Alert - 2nd

로그스태시도 대안이 될 수 있다. 원하는 조건 입력 후 이메일로 출력하는 방식.

input {
  elasticsearch {
    hosts => "https://192.168.56.1:9200"
    index => "winevent"
    user => "elastic"
    password => "******"
    ssl_certificate_authorities => "D:/ELK/v9/elasticsearch-9.2.0/config/certs/http_ca.crt"
    schedule => "* * * * *"
    query => '{

Kibana Alert

특정 조건 발생 시 경보 생성 기능은 유료다. 정확히 얘기하면 메일 발송 등 경보 발령에 의미를 부여해주는 기능이 유료. 일단 메일 커넥터 생성. 이때 gmail 서버 인증을 받으려면 앱 비밀번호(구글 계정 관리)를 먼저 만들어놔야 한다.

SplunkForwarder v9 - 2nd

다수 포워더 운영 효율을 높이는 방법은 배포 서버 연동. 

CentOS7의 Splunk - 4th

스플렁크 v10부터 GLIBC 버전이 낮다면서 centos7에서 실행이 되지 않는다.

1 2 3 4 5 6 7 8 9 10 11 12 13

[root@Snort ~]# rpm -ivh splunk-10.0.0-e8eb0c4654f8.x86_64.rpm warning: splunk-10.0.0-e8eb0c4654f8.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID b3cd4420: NOKEY Preparing...                          ################################# [100%] verify that this sytem has all the commands we will require to perform the preflight step no need to run the splunk-preinstall upgrade check useradd: cannot create directory /opt/splunk Updating / installing...    1:splunk-10.0.0-e8eb0c4654f8       ################################# [100%] find: ‘/opt/splunk/lib/python3.7/site-packages’: No such file or directory complete [root@Snort ~]# cd /opt/splunk [root@Snort splunk]# bin/splunk start --accept-license bin/splunk: /lib64/libc.so.6: version `GLIBC_2.25' not found (required by bin/splunk)

cs

정규표현식: 성능 - 2nd

변수를 포함한 URI 구간에서 FILE 정보 추출.

Splunk DB Connect - 5th

KV_MODE 사용하지 않을 때.