'분류 전체보기' 카테고리의 글 목록
본문 바로가기
728x90
반응형

분류 전체보기

 (101)
[ Splunk Dashboard : 튜닝 ] base search 설정하기 index=Lorem logtype=ipsum enviroment=$env$ | stats count BY status $time.earliest$ $time.latest$ search statuscode pie search statuscode>400 pie
[ Splunk Dashboard : 튜닝 ] 패널 크기 비율 설정하기 AAAA $field1.earliest$ $field1.latest$ 1m delay ["FF8F8F","EEF296","9ADE7B","508D69","FFC7C7", "ED9ED6", "C683D7", "FF6969"] BBBB $field1.earliest$ $field1.latest$ 1m delay ["FF8F8F","EEF296","9ADE7B","508D69","FFC7C7", ..
[ Splunk Dashboard : 튜닝 ] Dashboard Description 패널에 글자 마다 색깔 넣기 $result.total_count$ $result.count$ -24h now 방화벽에 탐지된 위협 요인 중 실제 위협(건) 총 $total_count$건 탐지 중 실제 위협 탐지 내역은 $block_count$건 입니다.
[ Splunk Basic ] Splunk Web Server HTTPS 암호화 활성화 [ STEP 1 ] $SPLUNK_HOME/etc/system/local/web.conf 생성[ STEP 2 ] web.conf  작성 후 저장[settings]# port 설정은 안해줘도 됨..ㅎ default 443# httpport = enableSplunkWebSSL = true [ STEP 3 ] splunk 재시작 하지만 이렇게 간단하게 설정을 하면제품과 함께 제공되는 기본 인증서를 사용하게 된다.그러나 그것의 암호화 형식은 보안 표준을 충족하지 않는다. 통신이 완전히 안전한지 확인하려면 기본 인증서를 자신의 인증서로 교환하고 보안 인증을 구성해야 함. 기본 인증서 교체에 대한 자세한 내용은 TLS 인증서를 사용하도록 Splunk Web 구성을 참조하십시오 .
[ Splunk Search : 사용 사례 ] 어제와 오늘 데이터 분 단위로 비교하기 index=os_window earliest=-24h@s latest=-h@s | bin span=10m _time | stats count as today_count by _time | append     [ | search index=os_window earliest=-48h@s latest=-24h@s     | bin span=10m _time     | stats count as yesterday_count by _time]| eval time=strftime(_time, "%T")| stats values(today_count) as today_count values(yesterday_count) as yesterday_count by time| eval today_count=if(isnull..
[ Splunk Dev ] Custom Command 만들기 : 개요 커스텀 커맨드를 사용하는 경우 Splunk가 아직 개발하지 않은 방식으로 데이터를 처리하고 싶을 때 Splunk에 의해 저장되지 않은 외부 소스의 데이터를 검색 파이프라인으로 가져오려고 할 때 검색 결과를 외부 시스템으로 내보내려고 할 때 커스텀 커맨드 명령 작동 방식 커스텀 커맨드는 검색 시 splunkd와 함께 실행되는 외부 python 스크립트를 통해 데이터를 처리한다. Splunk Enterprise는 SPL의 각 줄을 분석하고 검색 명령을 확인한다. 커스텀 커맨드는 commands.conf 파일의 스탠자로 지정된다. /etc/apps/local/commands.conf [ whois ] 검색 명령어가 커스텀 커멘드인 경우 Splunk Enterprise는 해당 명령어에 대한 Python 스크립트..
[ Splunk Dashboard : 튜닝 ] Dashboard Description 패널 만들기 | makeresults | eval time=relative_time(now(),"-1mon@mon"), ltime=relative_time(now(),"-0mon@mon-1d" ) | eval time=strftime(time,"%Y년%m월%d일") + " - " +strftime(ltime,"%Y년%m월%d일") | fields - _time ltime $result.time$ -24h now $reporttime$
[ Splunk Dashboard : 튜닝 ] 원하는 곳에 빈 줄 넣고 높이 조절하기 splunk 대시보드를 만들다가 여러가지 입력기를 생성하면 내가 원하는 줄에 위치에 원하는 입력기가 들어가지 않는 경우가 있다. 이런 경우 해결하는 방법을 공유한다. 기본 상황에서 방화벽 장비와 차단여부 input 태그 사이에 빨간색 부분을 넣어준다. 그러면 아래와 같이 빈 한 줄이 생성된다. . . 간격이 넓으니 좀 보기가 싫어서 간격을 줄여준다. .... .... 그러면 완성!
728x90
반응형

티스토리툴바