2017년 6월 17일 토요일

Windows Event Log 분석(feat. Elasticsearch - 2nd)

수집되고 있는 이벤트 로그들.


수집된 로그를 확장하면 필드별 정보를 확인할 수 있으며, Toggle 메뉴를 이용해서 필요한 필드만을 선택할 수 있다.


process_id, QueryName, url 필드를 선택한 결과.


파워쉘 스크립트로 기록중인 로그와 비교해보면 localhost는 winlogbeat(908), 나머지 도메인은 chrome(4568) 프로세스의 조회 시도임을 알 수 있다.


당연히 통계 분석도 할 수 있다.


다음 차트는 상위 도메인(내부 파이)별 하위 도메인(외부 파이)의 발생 비중. 가장 많이 발생한 상위 도메인은 google.com(66회), 그중 하위 도메인 clients4.google.com의 비중이 18%(12회)임을 알려준다.


장기적으로 데이터를 쌓고 분석해보면 재밌을 듯. 하지만 내가 속한 조직에서 이런 걸 한다면 짜증나겠다. 프라이버시 침해 아닌가? 소처럼 일만 해야 할 듯(..)

보안이 아닌, 감시 등의 남용 사례에 대한 방지책을 마련해야겠지. 웹브라우저만 제외하면 될까? 사용자 의도와 무관하게 동작할 때가 많아서 곤란.

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스