도메인 정규화 Processor: registered_domain

상태를 쪼개면 쪼갤수록 그 상태에 대해서 더 잘 알게 된다. 도메인 정보도 마찬가지. 그래서 엘라스틱은 서브 도메인과 상위 도메인을 쪼개주는 registered_domain processor를 제공한다. 다음은 beat processor 설정.

processors:
  - include_fields:
      fields: [ "winlog.event_data.QueryName", "winlog.event_id" ]
  - registered_domain:
      field: winlog.event_data.QueryName
      target_field: top_url
      target_etld_field: root_url
      target_subdomain_field: sub_url

Splunk의 시계열 차트와 timezone

스플렁크에서 시계열 차트를 그릴 땐 주로 timechart 명령을 사용한다. 시간 필드가 X축으로 자동 지정되기 때문에 편함.

Asia/Seoul 시간대

엘라스틱 Runtime field - 2nd

엘라스틱이 7.12 버전부터 읽기 스키마를 사용하는 런타임 필드를 지원하더니

Winlogbeat 7.13의 변화

다음은 7.12 버전의 input 설정.

winlogbeat.event_logs:
  - name: 'D:\eventlog\sample.evtx'
    processors:
      - script:
          lang: javascript
          id: sysmon
          file: ${path.home}/module/sysmon/config/winlogbeat-sysmon.js

대중의 직관

복잡계를 연구하는 수학자 존 L 캐스티의 2010년 저서. '사건이 분위기를 만든다'는 사회 통념(?)에 반하는, '분위기가 사건을 만든다'는 게 이 책의 주제.

일단 이 책은 거시경제학을 창시한 존 메이너드 케인즈로 시작한다. 케인즈 경제 이론의 기본 개념은 다음과 같다. (19페이지)

1. 외부 '충격 '은 없다: 오늘날 경제시장을 난타하는 폭풍우는 금융제도 자체... 시장의 안전성 자체가 불안정성의 불씨...

2. 네트워크: 사회는 여러 집단으로 구성... 사회는 '구구단 표의 항목들이 아니다. ' 이는 '동물적 감각'을 다르게 설명한 것...

(다양한 변수들의 복잡한 상호작용이 특징인 복잡계 사회는 이성적으로 설명하기 힘든 변화를 보일 때가 많다는 것. 저자는 이 부분에 꽂힌 듯)