엑셀 피벗 차트의 Y축 추가 외

웹로그 발생량과 접속자 고유개수, 두 지표의 스케일 차이가 커서 비교가 어렵다.

Stop deploying web application firewalls

제목이 도발적이다. 정규표현식 떡칠로 성능도 구리고 오탐률도 높은 웹방화벽 쓰지 말자는 내용인데, 글쓴이는 무슨 사연이 있길래 이런 독설을 쏟아낼까? (정상 서비스 차단해놓고 영업 기밀이라 원인 규명 못한다고 뻗대던 모업체 떠오르네) 

그런데 보안 종사자들에게 별로 도움되는 글은 아닌 듯. 그렇게 따지면 사실상 모든 네트워크 보안장비 쓰지 말자는 얘기인데(..) 서툰 목수가 연장 탓한다는 말처럼 도구는 그저 쓰기 나름. 오히려 재미있는 건 댓글 반응. 몇 개만 추려보면,

People will stop deploying WAFs when the compliance standards are rewritten to not require them. Honestly AWS WAF is perfect for this. It's not a great WAF but it is ideal if you need "pretend to have a WAF" as a service so you can tick the box. 

Elasticsearch 8.11의 변화

엘라스틱이 8.11 버전에서 ES|QL 기능을 추가했다. 간단히 얘기하면 'Unix + SQL' 컨셉의 스플렁크 SPL과 같은 기능.

Logstash 필터 dns

IP의 도메인 주소를 질의해주는 dns 필터.

filter {
 mutate { 
  remove_field => ["@timestamp", "@version", "path", "host"] 
  strip => "message"
 }

 dns {
  reverse => "message"
 }
}

평균의 함정 - 2nd

IP별 평균 URL 접속 추이. stats와 eventstats의 집계 결과가 다르다.

데이터 시각화 별거 아니다 - 2nd

로그스태시는 에러 발생 시 상당히 고약한 트러블슈팅 환경을 제공한다. 물론 원인 파악이 쉬울 때도 있음. remove_field 오타 발생.

filter {
 mutate {
  remove_fiel => ["@version", "@timestamp", "path", "host"]
 }
}

Filebeat 경로 - 2nd

ZIP 파일 설치 환경 

모듈 전역 설정은 modules.d, 세부 설정은 module 경로에서.