sysmon은 이따금 프로세스 정보를 수집하지 못하는 버그(?)가 있다.
26일은 스플렁크를 재설치한 날.
스플렁크를 중지해봤다. 거짓말처럼 오류가 사라짐. 반대로 엘라스틱만 중지하면 오류 지속. 스플렁크 문제인가? 하지만 재설치 전에도 엘라스틱과 스플렁크는 계속 같이 운영 중이었는데?
끙끙대다가 윈도우 재시작하니 다시 정상적으로 수집하기 시작한다. 그런데 며칠 못 가 다시 재발. 재시작하면 해결은 되는데(..)
분명 sysmon의 이벤트 기록이 먼저이고, 스플렁크의 접근은 그 이후일텐데 이해가 안 간다. unknown process 오류가 sysmon 문제가 아니라 무언가가 sysmon 22, 3번 이벤트의 프로세스 정보 수집을 방해하는 듯.
검색해보면 같은 문제 호소하는 사람들 좀 있던데 다 스플렁크 쓰나? 또 이러면 버전 8로 돌아가야겠다.
댓글 없음:
댓글 쓰기