728x90
반응형
3. Timer Settings
Timer 설정은 Eventgen가 샘플을 얼마나 자주 실행(run)할지를 제어한다.
Timer는 Generator가 큐에 추가되는 주기를 결정하며,
Synthetic 로그 생성에서 시계열 패턴을 만드는 핵심 컴포넌트다.
3.1 Timer 동작 플로우
Eventgen 내부 Timer → Rater → Generator → Outputter 순으로 동작한다.
Timer → Rater → Generator → Outputer → (Marker)
| 단계 | 역할 |
|---|---|
| Timer | 실행 주기 결정 |
| Rater | 이벤트 수량 산출 |
| Generator | 실제 이벤트 생성 |
| Outputer | 전송 방식 |
| Marker | 후처리(옵션) |
💡 SIEM 관점:
Timer는 “공격 타임라인”을 만드는 시간축(time axis) 역할을 한다.
3.2 interval
interval = <int>
샘플 실행 간격(초 단위). 기본값: 60
interval = 10 # 10초마다 이벤트 생성
💥 ES 적용 팁:
공격 시나리오 기반 timeline 생성 시 interval은 매우 중요하다.
예를 들어:이렇게 조절하면 ES에서 Incident Review Timeline이 “현실적인 공격 흐름”처럼 보인다.
- Scan 단계 → interval=1s (빠름)
- Lateral 단계 → interval=30~120s
- Data Exfil → interval=5~10s
3.3 delay
delay = <int>
Eventgen 시작 후 샘플을 실행하기 전 대기 시간(초).
기본값: 0
delay = 120 # 2분 후 생성 시작
⏱️ 사용 사례:
통합 PoC나 데모에서 “장비별 로그가 순차적으로 들어오는 상황”을 재현할 때 사용함.
3.4 end
end = <time-str> | <int>
종료 조건을 지정. 두 방식으로 사용 가능:
end = 10→ interval을 10번 실행 후 종료end = 2026-03-01T15:00:00→ 특정 시간에 종료
🔄 replay mode 관련:
Replay는 기본적으로 1회만 실행되기 때문에
여러 번 재생하고 싶다면end를 사용해야 한다.
3.5 Replay 모드에서 Timer의 의미
Replay 모드에서는 Timer가 sample 파일의 timestamp 차이를 이용해 “실제 시간처럼 흘러가게” 이벤트를 재생한다.
예시:mode = replay
interval = 1
timeMultiple = 2
이 경우: > 원본 10분 로그 → 20분 동안 재생
💥 ES Timeline 재현 관점:
이 기능은 Incident Review + Notable Timeline 재현에서 강력함.
이는 “SIEM이 실제 공격을 감지한 것 같은” 효과를 제공해 데모와 교육에 매우 유리하다.
3.6 backfill과 Timer
Replay와 결합 시 대표적으로 이렇게 사용됨:mode = replay
backfill = -24h
end = 24
💡 현실 공격 재생 시나리오 예:
APT 공격은 수일~수주 단위로 확장되며 ES로 백필하면 분석자 교육에 최고임.
3.7 Timer 결론 요약
| 목적 | 필수 설정 |
|---|---|
| burst traffic | interval |
| timeline 재현 | mode=replay, timeMultiple |
| 데모/교육 | delay, end |
| 과거 공격 백필 | backfill |
728x90
반응형
'Splunk > Splunk Dev' 카테고리의 다른 글
| EventGen | Generator Settings (0) | 2026.01.27 |
|---|---|
| EventGen | Rater Settings (0) | 2026.01.27 |
| EventGen | Global Settings (0) | 2026.01.27 |
| EventGen | Config 기본 개념 & Stanza (0) | 2026.01.27 |
| EventGen | EventGen 설정 방법 소개 (0) | 2026.01.27 |