unknown process 발생량이 좀 줄었을까?
줄긴 준 거 같음. 그런데 해당 차트는 unknown process가 발생한 시간대만을 집계한 결과이기 때문에 정확한 시계열 추이를 확인하기 어렵다. 이때 문자열 개수를 셈하는 strcnt 함수를 이용하면 발생하지 않은 시간대도 집계할 수 있음.
sysmon 이벤트에서 python3 프로세스를 제외하는 작업이 효과가 없는 것 같진 않은데, 기대만큼 줄지는 않는다. sysmon이 python3 프로세스를 자꾸 놓치는 모양. 스플렁크 도대체 뭔 짓을 하는 거냐? 아무래도 스플렁크 도메인/IP 대역에 대한 예외처리를 해야할 듯.
참고로 mysql에서 empty low 집계는 이렇게.
댓글 없음:
댓글 쓰기