Splunk의 lookup

네트워크 사용 이벤트(eventid: 5156)와 sysmon의 프로세스 실행 이벤트(eventid: 1) 조인 결과는 이렇다.

그런데 두 이벤트를 동시에 검색해보면 조인 결과에서 msedge의 개발사 정보가 빠졌음을 알 수 있다. 프로세스 실행 시점과 네트워크 사용 시점은 다를 수 있으니까.

lookup 기능을 사용하면

두 이벤트의 기록 시점과 관계 없이 일치하는 모든 정보를 불러올 수 있다.

만드는 방법도 간단. '설정 > 룩업' 메뉴에서

룩업 테이블로 사용할 파일을 추가하고,

추가된 파일을 선택해주면 끝.

엘라스틱 enrich processor는 데이터를 저장할 때 조인 관계를 따져서 필드를 추가하는 반면, 스플렁크는 이미 저장된 데이터의 조인 관계를 따져서 검색 시점에 필드를 추가한다. 

즉 엘라스틱은 enrich processor 실행 전에 저장된 데이터의 조인 결과물을 볼 수 없지만, 스플렁크는 원하는 모든 검색 시점에서 조인 관계를 따져볼 수 있다. 읽기 스키마의 장점을 잘 보여주는 듯.

관련 글

• Splunk의 Join
• enrich processor