Splunk의 Join

스플렁크는 조인 기능을 지원한대서 써보는 중인데 진짜 된다. 일단 Sysmon 이벤트 중 네트워크 연결(eventcode=3) 이벤트 발생 통계.

index=sysmon EventCode=3
| stats count as sysmon_count by img_name
| sort sysmon_count desc

① sysmon 인덱스에서 eventcode=3인 데이터만 불러온 후,

② img_name(프로세스)별로 집계한 다음,

③ 내림차순으로 정렬해주는 SPL(Search Process Language) 쿼리문을 사용했다.

같은 데이터를 mysql에 집어넣고 테스트하면 당연히 같은 결과.

윈도우 보안 이벤트 중 5156 역시 네트워크 연결 상태를 기록한다. 다음은 해당 이벤트만이 저장된 winevent 인덱스의 집계 결과. img_name 필드는 검색 과정에서 rex 명령어로 추출했다.

mysql 집계 결과 역시 동일.

이제 조인을 해보자. '기본 검색 | join [ 서브 검색 ]' 구문 사용.

잘 된 건가? 되긴 되는데 mysql과 비교해보니 결과가 다르다.

NoSQL의 한계인가? 아님 쿼리문이 문제인가?

관련 글

• Splunk의 Join - 2nd