스플렁크에 기본 내장된 linux_secure 소스타입의 데이터 전처리 기능은 많이 부실한 편.
다음은 전체 메시지를 함축하는 vendor_action 필드 내역. 이벤트별 주요 행위를 의미하는 키워드를 보여준다. 그런데 너무 단답형(?)이라 의미 파악이 쉽지 않음.
다음은 vendor_action + auth_method 필드 내역. 인증 과정의 주요 키워드를 보여준다.
다음은 pam_module_type + vendor_action 필드 내역. 인증 결과에 대한 주요 키워드를 보여준다.
상황에 따라 다른 필드를 조합해야만 전체 이벤트 행위 파악이 가능하다는 얘기. 이벤트 하나씩 볼 때는 무리가 없겠지만, 성격에 따라 테이블 구조가 달라지기 때문에 대량 발생하는 이벤트의 현황 파악이나 추이 분석에는 적합하지 않다.
Filebeat 모듈 기능 사용할 때도 그런 느낌을 받았는데, 스플렁크도 일관된 관점에서 전체 데이터의 흐름을 파악하기보다는 개별 이벤트 단위의 상세 분석에 치중한다는 느낌. 마음에 들지 않는다. SPL을 이용해서 스키마 변경.
또는 trsnsforms.conf를 수정해서 스키마 변경.
이전보다 낫기는 한데 여전히 전체 데이터를 포괄하지는 못한다.
관련 글
댓글 없음:
댓글 쓰기