Splunk (87) 썸네일형 리스트형 EventGen | Token Settings 6. Token SettingsToken은 sample 내 특정 문자열을 동적으로 치환하는 엔진이며Eventgen이 정적인 로그 템플릿을 실제 동적 트래픽처럼 보이도록 만든다.6.1 Token 구조기본 구조:token..token = token..replacementType = token..replacement = 예:token.0.token = \d+\.\d+\.\d+\.\d+token.0.replacementType = ipv4결과: > sample 내 모든 IPv4 주소가 랜덤 IPv4로 변환됨💡 Regex 기반이기 때문에 특정 필드만 치환도 가능6.2 token..tokentoken..token = 역할: > 대체할 문자열을 식별하는 PCRE 예:token.0.token = user=\w+-.. EventGen | Generator Settings 5. Generator SettingsGenerator는 실제 이벤트(payload)를 생성하는 컴포넌트이며,샘플 파일의 원본 문자열을 어떻게 처리할지 정의한다.Generator 종류에 따라 필요한 stanza 설정과 지원 기능이 달라진다.5.1 generatorgenerator = default | 값설명defaulteventgen.conf 기반 synthetic 생성replay샘플 timestamp 기반 이벤트 재생perdayvolumegenerator일일 볼륨 중심 생성cweblogCW 웹로그 전용jinjajinja 템플릿 기반 생성💡 실사용 해설:default는 가상 로그 생성(synthetic)에 적합하고,replay는 공격/사고 타임라인 재현에 적합하다.즉, 목적에 따라 Generator를.. EventGen | Rater Settings 4. Rater SettingsRater는 특정 시점에 생성할 이벤트 수량을 결정하는 컴포넌트이다.다양한 시간 기반 패턴(hour/day/month)과 볼륨(perDayVolume)을 조합해현실적인 트래픽 패턴을 시뮬레이션할 수 있다.4.1 countcount = 샘플 실행 당 생성할 이벤트 수량.예:count = 100interval = 10의미: > 10초마다 100 이벤트 생성 → 6000 eps (이론치)⚠️ 주의:Replay 모드에서는 count를 사용할 수 없다.4.2 perDayVolumeperDayVolume = 일일 데이터 볼륨을 GB/day 단위로 지정.Eventgen이 자동으로 이벤트 수량을 계산한다.예:perDayVolume = 2.5의미: > 하루 기준 2.5GB 생성💥 Splu.. EventGen | Stanza Configuration Settings 3. Timer SettingsTimer 설정은 Eventgen가 샘플을 얼마나 자주 실행(run)할지를 제어한다.Timer는 Generator가 큐에 추가되는 주기를 결정하며,Synthetic 로그 생성에서 시계열 패턴을 만드는 핵심 컴포넌트다.3.1 Timer 동작 플로우Eventgen 내부 Timer → Rater → Generator → Outputter 순으로 동작한다.Timer → Rater → Generator → Outputer → (Marker) 단계역할Timer실행 주기 결정Rater이벤트 수량 산출Generator실제 이벤트 생성Outputer전송 방식Marker후처리(옵션)💡 SIEM 관점:Timer는 “공격 타임라인”을 만드는 시간축(time axis) 역할을 한다.3.2 int.. EventGen | Global Settings Global Configuration SettingsGlobal 설정은 Eventgen 전체 동작에 영향을 주는 코어 설정이며,개별 stanza 수준이 아닌 전역 레벨에서만 적용된다.이 설정들은 Eventgen의 쓰레딩 모델, 큐 처리 방식, 프로파일링 등성능 및 실행 구조에 영향을 준다.2.1 threadingthreading = thread | process 값설명threadPython thread 기반 (기본값)processmultiprocessing.Process 기반으로 GIL 회피💬 실사용 해설:Python은 GIL(Global Interpreter Lock)로 인해 thread 기반 병렬성의 한계가 존재함.Eventgen이 대량 이벤트 생성 시 CPU bottleneck이 발생할 경우 p.. EventGen | Config 기본 개념 & Stanza 1. Eventgen 설정 파일 기본 구조Eventgen의 설정 파일(eventgen.conf)은 Splunk 및 Python 기반의 INI 구성 방식을 따른다.각 stanza는 특정 sample 파일에 대한 설정 단위를 의미하며, 이 stanza 내부에 파라미터(key=value)들이 정의된다.[sample_name]count = 100mode = sample💬 실사용 해설:이 구조는 Splunk의 props.conf & transforms.conf 구조와 유사하게 보이지만,props가 ingestion 단계의 parsing을 책임지는 반면 Eventgen의 stanza는 synthetic 생성 규칙을 정의한다.1.1 Stanza → Sample 매핑각 stanza는 samples/ 디렉토리에 존재하.. EventGen | EventGen 설정 방법 소개 📘 Eventgen Configuration — 어떻게 설정할까?Eventgen을 설치하면 보통 이런 질문이 떠오릅니다:얼마나 많은 데이터를 생성해야 하지?데이터는 어디로 보내야 하지?전송 방식은 어떤 거를 써야 할까? (파일? TCP? HEC?)그리고 어떤 형태의 로그를 만들어야 하지?이제 바로 "Eventgen을 어떻게 구성할 것인가"의 단계로 넘어갑니다 😎🧩 Eventgen 구성 요소는 2개만 기억하면 끝Eventgen의 구성은 사실 두 가지 핵심 개념으로 정리됩니다:eventgen.confSample Files1️⃣ eventgen.confeventgen.conf는 INI 형식의 설정 파일이며,Eventgen이 동작할 방식을 정의하는 제어 파일입니다.여기에는 다음 내용들이 포함됩니다:어떤 플.. EventGen | EventGen 이란? ✨ Eventgen이 하는 일Eventgen의 목표는 아주 단순하지만 강력해요:Splunk 앱마다 직접 이벤트 생성기를 코드로 짜지 않게 하기여러 앱 사이에서 이벤트 생성 템플릿을 재사용할 수 있게 하기거의 모든 형태의 이벤트 / 트랜잭션을 Eventgen 안에서 모델링 가능하게 하기한 줄로 정리하면, “테스트용/시뮬레이션 로그를 자동으로 만들어주는 도구”라고 보면 됩니다.📥 다운로드Eventgen은 Splunkbase에서 앱 형태로 다운로드할 수 있어요.티스토리 글에서는 아래처럼 링크만 걸어두면 됩니다:👉 Splunkbase – Eventgen 페이지에서 다운로드 📚 문서 (Documentation)Eventgen 사용 방법과 설정 방법은 공식 문서에 잘 정리되어 있어요.👉 Eventgen .. 이전 1 2 3 4 ··· 11 다음