다음은 'event_id:3006 OR (event_id:5156 AND event_data.DestPort:53)' 조합 쿼리 결과. NoSQL 목적이 조인이 필요없는 데이터의 분석이니 여기까지가 한계인 듯.
참고로 5156 이벤트의 'process_id'는 이벤트 로그 기록을 주관한 프로세스.
어찌어찌 DNS 조회를 시도하는 프로세스 이름을 알 수는 있지만 보기 불편하다. 'Visualize' 메뉴를 이용해서 전체 현황을 한 눈에 파악할 수 있는 대시보드를 만들어보자. 다음은 이벤트별 발생 현황 차트. 만들었으면 꼭 저장.
다음은 목적지 포트가 53인 5156 이벤트의 프로세스 이름 및 ID 발생 현황.
다음은 3006 이벤트의 프로세스 ID 및 상/하위 도메인 발생 현황. 'Split Slices' 기능을 이용하면 연관되는 필드를 중첩시켜서 단계적 통계 분석이 가능하다.
대시보드에서 저장된 차트를 불러온 결과는 다음과 같다. 어떤 프로세스가 어떤 도메인을 조회했는지 한 눈에 알 수 있다?
분석에 유용한 형태로 데이터를 정리해주는 Logstash 정리는 다음에.
관련 글
댓글 없음:
댓글 쓰기