2021년 7월 27일 화요일

Splunk와 Winlogbeat 차이 - 2nd

winlogbeat는 ignore_older 옵션으로 수집 시간 범위를 결정할 수 있는 반면, 스플렁크는 좀 까다롭다. current_only와 checkpointInterval 조합을 통해 수집 데이터의 시간 범위를 결정하는 건 맞는데, 좀 더 정확히 하면 

 ① 처음부터(current_only=0, 디폴트) 또는 
 ② 스플렁크 실행 이후 시점부터(current_only=1) 수집, 두 가지만 선택할 수 있다.

다음 설정(Splunk\etc\system\local\inputs.conf)을 사용하면 'current_only=0'이 디폴트이기 때문에 전체 데이터를 수집한다.
[WinEventLog://Security]
index = winevent

Read More »
작성자: 시간: 댓글 없음:
라벨:

2021년 7월 26일 월요일

ignore_older

ignore_older는 수집 대상 로그의 시간 범위를 결정할 수 있게 해준다. 그런데 filebeat의 ignore_olderwinlogbeat의 ignore_older는 좀 다르다.

filebeat

filebeat의 ignore_older는 수집 대상 파일이 수정된 시간을 검사한다. 다음은 filebeat input 설정.
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - D:\ELK\filebeat-7.12.0-windows-x86_64\logs\*
  ignore_older: 24h

Read More »
작성자: 시간: 댓글 없음:
라벨:

2021년 7월 20일 화요일

Splunk의 lookup

네트워크 사용 이벤트(eventid: 5156)와 sysmon의 프로세스 실행 이벤트(eventid: 1) 조인 결과는 이렇다.


Read More »
작성자: 시간: 댓글 없음:
라벨:

2021년 7월 19일 월요일

enrich processor

다음은 네트워크를 사용하는 프로세스 현황. 고작 1시간짜리 데이터인데 프로세스별 현황 파악이 쉽지 않다. 프로세스 범주를 좁힐 수는 없을까? 개발사별로 묶으면 딱인데. 하지만 네트워크 사용 이벤트(eventid: 5156)는 프로세스 개발사 정보를 가지고 있지 않다.
 

Read More »
작성자: 시간: 댓글 없음:
라벨:
피드 구독하기: 글 (Atom)

크리에이티브 커먼즈 라이선스

크리에이티브 커먼즈 라이선스
이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 4.0 국제 라이선스에 따라 이용할 수 있습니다.