TA-linux_secure 앱(버전 이슈인지 현재 검색은 안 됨)을 설치하면 스플렁크에 기본 내장된 linux_secure 소스타입 기능을 보강할 수 있다. 그런데 해당 앱이 만들어준 테이블 구조가 마음에 들지 않는다면?
해당 앱은 키워드 성격의 정보를 vendor_action을 중심으로 auth_method와 pam_module_type 세 개의 테이블에 저장하는데, 이 테이블들은 동시에 존재하지 않는다. 이벤트 성격에 따라 테이블 조합이 달라진다는 얘기. 내가 원하는 조합의 키워드 필드를 만들어보자.
전체 이벤트가 포함되지 않는다. vendor_action은 반드시 auth_method와 pam_module_type 중 하나와 함께 존재한다는 전제조건이 틀렸다는 얘기. 로직 수정.
아직도 천 개 정도 모자란다. vendor_action이 항상 존재하지 않는구나. 로직 수정.
이런 EDA 과정을 통해 데이터 이해도가 높아진다. 툴 숙련도는 그 과정에서 자연스레 따라오는 부산물같은 것. 이때 이왕이면 남이 만들어 놓은 걸 고쳐 쓰는 것 보다, 내 목적에 맞는 데이터 구조를 직접 만들어 보는 게 좋다. 그 과정에서 데이터를 잘 알게 되고, 그만큼 분석이 더 쉬워지니까.
직장생활 하다 보면 업무 인수인계 과정에서 전임자가 무엇을, 어떻게, 왜 처리했는지 살펴보다, 에이 이럴 거면 그냥 내가 처음부터 다시 하는 게 낫겠다 싶을 때가 있다. 남이 만들어준 데이터 구조도 마찬가지. 결론은 내가 만든 데이터가 제일 쉽다.
댓글 없음:
댓글 쓰기