[Splunk ES] AWS Free Tier로 스플렁크 구축하기

🐥 AWS에서 Splunk 랩 만들기! (Free Tier 버전)

요즘 SIEM이니 SOAR니 티켓이니 워크플로니…
이런 거 공부해보고 싶은데, Splunk ES는 서버도 무겁고 라이선스도 무겁고 (그리고 마음도 무거움)…
그래서 나는 가볍게 AWS 프리 티어로 Splunk 랩부터 만들어보기로 했다!

---

1. 인스턴스 선택하기 💻

이번에 선택한 EC2는 바로…

m7i-flex.large

• 2 vCPU
• 8GB RAM
• Free Tier 가능

솔직히 Free Tier에서 8GB RAM은 거의 사기템 수준이다.
원래 micro 시절(1GB) 때는 Splunk 깔면 숨도 못 쉬었다.

---

2. 운영체제 선택 🍀

OS는 고민하다가…

Amazon Linux

이유는 간단:

• AWS에서 제일 빠르고 안정적임
• yum 계열이라 편함
• 프리티어에서 깔끔함

나중에 ES까지 올릴 거면 Ubuntu도 좋지만 지금 목표는 아직 Enterprise + CIM이었으니 OK.

---

3. 스토리지 구성 📦

그리고 중요한 디스크는 Free Tier 맞춰서 커팅!

 

Root: 8GB (gp3) Data: 22GB (gp3) 총합: 30GB → Free Tier 딱 맞춤!

루트랑 데이터 따로 쓰면 나중에 확장도 편하고 재설치도 편함.

---

4. SSH 접속은 Key Pair로 🔑

Password 없이 PEM 키로 접속하는 방식으로 선택!

형식은 이렇게:

 

ssh -i mykey.pem ec2-user@<Public-IP>

Amazon Linux니까 기본 계정은 ec2-user.

---

5. 목표 🎯

내가 진짜 해보고 싶은 건 Splunk ES로:

• 티켓 처리
• 워크플로 테스트
• 7주치 가짜 데이터 넣기

근데 솔직히 ES는 너무 무거워서 Free Tier에서는 무리…
그래서 현실적인 전술로 바꿨다👇

---

6. ES 없이 ES 같은 거 할 거임 🧩

실제로 Splunk는 ES 없어도:

• CIM
• Correlation Searches
• Alerts
• KVstore
• Notable-like Events
• Manual Ticketing
• Workflow 처리

이 조합으로 운영 레벨의 시뮬레이션 가능하다.
(진짜 SIEM PoC 할 때도 종종 이렇게 한다!)

---

7. 데이터 양도 조절 📊

ES 데모처럼 5TB씩 넣는 대신,

하루 500MB × 49일 = 약 24.5GB

딱 공부하기 좋은 용량!
그리고 방화벽 로그는 필요한 필드만 넣기.

---

8. 결론 ✨

이렇게 Free Tier만으로도:

✔ Splunk Enterprise 설치
✔ CIM 적용
✔ 7주 데이터 인덱싱
✔ 티켓/워크플로 구현

까지 가능하다는 걸 확인!

남는 옵션:

• ES는 나중에 로컬이나 다른 EC2에서 붙이면 됨
• 라이선스는 PoV 신청 가능
• Correlation은 이미 랩에서 구현됨

---

다음 편 예고 🎬

다음에 할 내용은:

 

Splunk 설치 → CIM 설정 → 데이터 생성기 구성 → Notable/Workflow 디자인

하다가 ES까지 올릴 수도 있음 ㅎㅎ

 

 

Splunk ES 설치 파일은 참고로 아무나 구할 수는 없는거라

학생들은 그냥 이렇게 한다~ 정도만 아셔도 될 듯?!