2026년 1월 22일 목요일

데이터 노가다 실수담 - 15th

IIS 웹로그는 모든 필드를 '공백'으로 구분하기 때문에 원활한 필드 분류를 위해 필드값에 포함된 공백을 + 기호로 대체한다.


Read More »
작성자: 시간: 댓글 없음:
라벨:

2026년 1월 11일 일요일

Splunk의 xml 처리

xml 포맷을 갖는 sysmon 이벤트 로그. 가장 중요한 EventData 계층은 동일한 Data 자식 계층이 반복되는 중첩 구조를 가지고 있다. 
<Event>
	<System>
		<Provider Name="Linux-Sysmon" Guid="{ff032593-a8d3-4f13-b0d6-01fc615a0f97}"/>
		<EventID>5</EventID>
		<Version>3</Version>
		<Level>4</Level>
		<Task>5</Task>
		<Opcode>0</Opcode>
		<Keywords>0x8000000000000000</Keywords>
		<TimeCreated SystemTime="2026-01-04T18:12:34.451516000Z"/>
Read More »
작성자: 시간: 댓글 없음:
라벨:

2026년 1월 6일 화요일

Logstash 필터 xml

filebeat의 xml 데이터 처리. 깔끔.
processors:
  - include_fields:
      fields: "message"
  - decode_xml:
      field: message
      target_field: ""
Read More »
작성자: 시간: 댓글 없음:
라벨:
피드 구독하기: 덧글 (Atom)

크리에이티브 커먼즈 라이선스

크리에이티브 커먼즈 라이선스
이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 4.0 국제 라이선스에 따라 이용할 수 있습니다.