2024년 2월 19일 월요일

Splunk의 이벤트 단위 텍스트 필터링

다음은 윈도우 방화벽 로그 발생 현황.


localhost에 의해 발생한 로그양이 절반을 넘는다. 이건 수집하기 싫은데? 윈도우 이벤트는 문자열 필터링을 통해 수집 데이터를 제한할 수 있었다. 텍스트 데이터도 되겠지?



대신 스플렁크는 널 라우팅(Null Routing) 개념을 이용해서 텍스트 데이터의 문자열 필터링을 지원한다.

props.conf에서 작업 대상 등을 지정하고,


tranforms.conf에서 세부 작업 내역을 정의하는 방식.


실행 결과.


관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스