Splunk (91) 썸네일형 리스트형 Splunk Project | Splunk + Ollama + LLM 연동 구축 가이드 (실전 PoC 기준) Splunk 환경에서 로컬 LLM(Ollama)을 활용하여 보안 분석 자동화를 구성하는 전체 과정을 정리한 글이다.📌 전체 구성 요약Ollama → Host 설치 (GPU 직접 사용)모델 → Foundation-Sec-8B Q4 GGUFSplunk → AITK 연동Open WebUI → Docker (선택)🔥 Phase 1 — Ollama + 모델 실행1️⃣ Ollama 설치 zstd 패키지 필요 dnf install -y zstd# Ollama를 자동으로 설치하는 원라인 명령어curl -fsSL https://ollama.com/install.sh | sh ✔ 설치 확인 및 서비스 등록# 설치 확인ollama --version# 부팅 시 자동 실행 등록systemctl enable ollama# .. Splunk Project | Splunk 서버에 Ollama 연동 시, 아키텍처 선택 이유 Splunk 기반 보안 분석 환경에 로컬 LLM을 붙이는 작업을 진행하다 보면,단순히 “모델이 돌아간다”와 “실제로 운영 가능한 구조다”는 전혀 다른 문제라는 걸 금방 느끼게 된다. 이번 글에서는 제가 실제로 검토한 구조를 기준으로왜 Ollama는 Host에 설치하고Open WebUI와 DSDL은 Docker로 분리하는지그리고 왜 Foundation-Sec-8B의 Q4 GGUF 모델을 선택했는지를 정리해봤다.1. 최종 권장 아키텍처테스트 서버 OS 상황은 아래와 같다 현재 기준으로 가장 현실적인 권장 구조는 아래와 같다.[ Splunk (Host) ] └─ Search / Dashboard / Alert / AITK / Script ↓[ Ollama (Host) ] └─ m.. Splunk | Foundation-Sec-8B 모델 구조와 선택 가이드 (Ollama 기반) Ollama로 Foundation-Sec-8B 모델을 사용하려고 보면,모델 이름 뒤에 다양한 태그가 붙어 있어서 처음에는 조금 헷갈릴 수 있다. 예를 들어 instruct, reasoning, q4, q5 같은 옵션이 보이는데,이걸 이해해야 현재 서버 환경에 맞는 모델을 제대로 선택할 수 있다. 이번 글에서는 Foundation-Sec-8B 모델 태그 구조와 어떤 조합을 선택하는 것이 좋은지를 한 번 정리해보자.최근 온프레미스 환경에서 LLM을 활용하려는 경우, 보안 특화 모델인 Foundation-Sec-8B를 많이 고려하게 된다.특히 Splunk, AITK, 보안 로그 분석 PoC 환경에서는외부 API가 아닌 로컬 LLM이 필요한 경우가 많기 때문에 이 모델이 현실적인 선택지로 특히 많이 고려한다. .. [Splunk] Splunk DB Connect로 MySQL 연결하기 이번 글은 Splunk DB Connect와 MySQL을 연동하는 과정에서 실제로 마주친 오류, 원인 분석, 해결 방법, 그리고 최종 확인 결과까지 운영 기록 형태로 정리한 문서입니다.1. 작업 목적Splunk DB Connect를 사용하여 MySQL 데이터베이스와 정상적으로 연결할 수 있도록 환경을 점검하고,연동 과정에서 발생한 인증 이슈를 해결하는 것이 이번 작업의 핵심 목적이었습니다.이번 작업에서 확인하려고 한 포인트MySQL 서비스가 정상 기동되는지 확인DB Connect 연동 시 사용할 계정의 인증 방식이 호환되는지 확인root 계정 비밀번호 재설정이 가능한지 확인최종적으로 MySQL 접속이 정상 동작하는지 검증2. 사전 환경 및 관찰 내용구성 요소MySQL 8.0.36운영체제 계열Linux 계.. EventGen | Token Settings 6. Token SettingsToken은 sample 내 특정 문자열을 동적으로 치환하는 엔진이며Eventgen이 정적인 로그 템플릿을 실제 동적 트래픽처럼 보이도록 만든다.6.1 Token 구조기본 구조:token..token = token..replacementType = token..replacement = 예:token.0.token = \d+\.\d+\.\d+\.\d+token.0.replacementType = ipv4결과: > sample 내 모든 IPv4 주소가 랜덤 IPv4로 변환됨💡 Regex 기반이기 때문에 특정 필드만 치환도 가능6.2 token..tokentoken..token = 역할: > 대체할 문자열을 식별하는 PCRE 예:token.0.token = user=\w+-.. EventGen | Generator Settings 5. Generator SettingsGenerator는 실제 이벤트(payload)를 생성하는 컴포넌트이며,샘플 파일의 원본 문자열을 어떻게 처리할지 정의한다.Generator 종류에 따라 필요한 stanza 설정과 지원 기능이 달라진다.5.1 generatorgenerator = default | 값설명defaulteventgen.conf 기반 synthetic 생성replay샘플 timestamp 기반 이벤트 재생perdayvolumegenerator일일 볼륨 중심 생성cweblogCW 웹로그 전용jinjajinja 템플릿 기반 생성💡 실사용 해설:default는 가상 로그 생성(synthetic)에 적합하고,replay는 공격/사고 타임라인 재현에 적합하다.즉, 목적에 따라 Generator를.. EventGen | Rater Settings 4. Rater SettingsRater는 특정 시점에 생성할 이벤트 수량을 결정하는 컴포넌트이다.다양한 시간 기반 패턴(hour/day/month)과 볼륨(perDayVolume)을 조합해현실적인 트래픽 패턴을 시뮬레이션할 수 있다.4.1 countcount = 샘플 실행 당 생성할 이벤트 수량.예:count = 100interval = 10의미: > 10초마다 100 이벤트 생성 → 6000 eps (이론치)⚠️ 주의:Replay 모드에서는 count를 사용할 수 없다.4.2 perDayVolumeperDayVolume = 일일 데이터 볼륨을 GB/day 단위로 지정.Eventgen이 자동으로 이벤트 수량을 계산한다.예:perDayVolume = 2.5의미: > 하루 기준 2.5GB 생성💥 Splu.. EventGen | Stanza Configuration Settings 3. Timer SettingsTimer 설정은 Eventgen가 샘플을 얼마나 자주 실행(run)할지를 제어한다.Timer는 Generator가 큐에 추가되는 주기를 결정하며,Synthetic 로그 생성에서 시계열 패턴을 만드는 핵심 컴포넌트다.3.1 Timer 동작 플로우Eventgen 내부 Timer → Rater → Generator → Outputter 순으로 동작한다.Timer → Rater → Generator → Outputer → (Marker) 단계역할Timer실행 주기 결정Rater이벤트 수량 산출Generator실제 이벤트 생성Outputer전송 방식Marker후처리(옵션)💡 SIEM 관점:Timer는 “공격 타임라인”을 만드는 시간축(time axis) 역할을 한다.3.2 int.. 이전 1 2 3 4 ··· 12 다음
