Kibana Alert - 3rd

ElastAlert도 대안이 될 수 있다. pip로는 설치가 잘 되지 않아서 가상 환경을 자동으로 지원한다는 pipx로 WSL 우분투에 설치.

root@easyDATA:~# apt install pipx
root@easyDATA:~# pipx install elastalert2
 installed package elastalert2 2.29.0, installed using Python 3.12.3 These apps are now globally available - elastalert - elastalert-create-index - elastalert-test-rule ⚠️ Note: '/root/.local/bin' is not on your PATH environment variable. These apps will not be globally accessible until your PATH is updated. Run pipx ensurepath to automatically add it, or manually modify your PATH in your shell's config file (i.e. ~/.bashrc). done!
root@easyDATA:~# ls .local/bin/
elastalert  elastalert-create-index  elastalert-test-rule

데이터 시인성 - 9th

변수 고유개수 발생 추이.

Splunk의 날짜 계산 - 2nd

12시간 간격 집계 결과. 데이터는 10일부터 존재하는데 시작 시간이 9일 21시? 스플렁크가 (한국보다 9시간 빠른) GMT 기준으로 시간을 계산한 결과, 10일 0시가 아닌 09시가 기준이 되면서 12시간 간격 시작 시간이 전날 21시가 된 듯. 

Splunk with LLM

AI Toolkit 앱(구 MLTK)이 LLM 연동 기능을 제공한다.

Splunk 설정 변경

스플렁크 설정 작업은 웹UI를 사용하는 게 편하다. 시스템 재시작이 대부분 필요 없기 때문.

data with no timestamp

스플렁크는 이벤트 내에서 시간 정보를 찾고, 없으면 이벤트 파일명에서 찾는다고 한다. 그런데 파일명에도 시간 정보가 없으면?

having query - 2nd

useragent 발생 추이.