EventGen | EventGen 설정 방법 소개

📘 Eventgen Configuration — 어떻게 설정할까?

Eventgen을 설치하면 보통 이런 질문이 떠오릅니다:

• 얼마나 많은 데이터를 생성해야 하지?
• 데이터는 어디로 보내야 하지?
• 전송 방식은 어떤 거를 써야 할까? (파일? TCP? HEC?)
• 그리고 어떤 형태의 로그를 만들어야 하지?

이제 바로 "Eventgen을 어떻게 구성할 것인가"의 단계로 넘어갑니다 😎

---

🧩 Eventgen 구성 요소는 2개만 기억하면 끝

Eventgen의 구성은 사실 두 가지 핵심 개념으로 정리됩니다:

1. eventgen.conf
2. Sample Files

---

1️⃣ eventgen.conf

eventgen.conf는 INI 형식의 설정 파일이며,
Eventgen이 동작할 방식을 정의하는 제어 파일입니다.

여기에는 다음 내용들이 포함됩니다:

• 어떤 플러그인을 사용할지
• 얼마나 많은 이벤트를 생성할지
• 어디로 데이터를 보낼지 (파일, 네트워크, HEC 등)
• 샘플별 설정과 global 설정

파일 구조 자체가 조금 길어서, 처음에는 튜토리얼을 따라가는 것을 권장합니다 🙃

한 줄 요약:
eventgen.conf = 언제 / 얼마나 / 어디로 보낼지 정의

---

2️⃣ Sample Files

Sample 파일은 Eventgen이 읽어서 가공할 raw 이벤트 템플릿입니다.

Sample에는 다음 요소가 포함될 수 있습니다:

• 토큰(token)
• 치환 문자열(replacement strings)
• 타임스탬프 처리

예를 들어 실시간 timestamp를 생성하거나
IP/사용자명/hostname 같은 값을 무작위 치환할 수 있어요.

한 줄 요약:
sample = 이벤트 자체의 payload 형식

---

🔗 두 구성 요소의 관계

두 구성 요소의 관계를 정리하면 아주 간단해져요:

sample = event 템플릿
eventgen.conf = 템플릿을 언제/얼마나/어디로 보낼지 정의

 

Splunk 관점으로 보면 더 직관적입니다:

• sample → sourcetype의 raw 형태
• eventgen.conf → output routing 설정

그래서 ES·UEBA·MITRE 기반 탐지 시나리오 만들 때 아주 편함 ✨

---

📦 패키지로 묶어서 쓰는 경우가 많아요

실전에서는 위 구성 요소들이 커스텀 sample과 함께 번들 형태로 제공되거나 배포됩니다.
예를 들어 아래처럼요:

bundle/
 ├─ default/
 │   └─ eventgen.conf
 └─ samples/
     ├─ users.sample
     ├─ hosts.sample
     └─ firewall.logs

 

여기서 사실상 구조는 Splunk TA(Add-on) 구조와 거의 동일합니다:

 

디렉토리	역할
default/	eventgen.conf 포함
samples/	raw 템플릿 파일들

 

즉 정리하면:

템플릿(sample) → eventgen.conf → output 제어

 

---

🧁 마무리 한 줄

Eventgen = “로그 생성 공장” + “전송 제어 센터”
샘플을 만들고 eventgen.conf만 잘 엮어주면 끝!