다음은 윈도우 방화벽 로그 발생 현황.
localhost에 의해 발생한 로그양이 절반을 넘는다. 이건 수집하기 싫은데? 윈도우 이벤트는 문자열 필터링을 통해 수집 데이터를 제한할 수 있었다. 텍스트 데이터도 되겠지?
대신 스플렁크는 널 라우팅(Null Routing) 개념을 이용해서 텍스트 데이터의 문자열 필터링을 지원한다.
props.conf에서 작업 대상 등을 지정하고,
tranforms.conf에서 세부 작업 내역을 정의하는 방식.
실행 결과.
관련 글
댓글 없음:
댓글 쓰기