'Splunk' 카테고리의 글 목록
본문 바로가기
728x90
반응형

Splunk

 (66)
[Splunk 고급 설정] Splunk에서 JSON 로그 필드 추출하기 Splunk에서 JSON 로그 필드 추출하기 (rex, extract, transforms.conf 완벽 이해)안녕하세요.오늘은 Splunk에서 JSON 형식의 로그를 다루는 방법, 그리고 rex, extract, transforms.conf, props.conf 설정을 통해 필드를 추출하는 과정을 정리해 보았습니다.✅ 시스로그 헤더 + JSON 로그 예시1 2025-07-08T14:23:45Z myhost.example.com appname 1234 ID47 - {"timestamp": "2025-07-08T14:23:45Z", "user": "alice", "action": "login", "status": "success", "ip_address": "192.168.1.10", "device": {..
[Splunk 고급 설정] 여러 이벤트를 조건 별로 Index 분기하기 (props.conf & transforms.conf) 종종 하나의 호스트에서 다양한 종류의 로그가 들어올 때가 있다. 그 이유는 아래와 같다. 💡 1️⃣ 솔루션이 통합 에이전트 형태로 설치되는 경우요즘 보안 솔루션들은 여러 기능을 하나의 에이전트(Agent)로 묶어 배포하는 경우가 많다.예를 들어, 안랩의 경우 V3가 기존 백신 역할을 하고, 그 위에 EDR 모듈, EPP 모듈 등을 추가해서 통합 관리하도록 설계하는데✅ 이럴 땐 하나의 프로그램(Agent)이 모든 기능 로그를 생성 → 하나의 호스트(서버 또는 PC)에 모든 로그가 한꺼번에 쌓임.💡 2️⃣ 동일 호스트에 여러 솔루션이 설치되어 있는 경우특히 대기업이나 공공기관에서는 보안 다층화(Defense in Depth) 전략을 사용한다.EPP와 EDR은 서로 다른 벤더(또는 같은 벤더의 다른 모..
싱글벨류 글자의 값에 따라 배경색을 지정하기 | makeresults| eval info="관심"| fields info| eval severity=case(info="관심", 0, info="주의", 2, info="경계", 4, info="심각", 6)| rangemap field=severity low=0-1 elevated=2-3 high=4-5 severe=6-7 default=low
표 글자 색깔 바꾸기 이게 잘 먹음
이벤트 화면 [ a.js ]require([    "splunkjs/mvc/searchmanager",    "splunkjs/mvc/chartview",    "splunkjs/mvc/eventsviewerview",    "splunkjs/mvc/simplexml/ready!"], function(    SearchManager,    ChartView,     EventsViewerView) {    // Instantiate the views and search manager    var mysearch = new SearchManager({        id: "search1",        preview: true,        cache: true,        status_buckets: 300,   ..
[ Splunk Search ] 시간 별 top 5 서비스 골라서 timechart로 표현하기 | bin span=1m _time| stats sum(count) as cnt by _time service| sort - _time cnt| streamstats count as rank by _time| where rank
[ Splunk Basic ] Splunk Enterprise Web에서 HTTP Event Collector 설정 및 사용 HEC와 Splunk Enterprise사용자가 HTTPS 프로토콜 외에 HTTP 프로토콜을 통해 보내는 이벤트를 수락할 수 있음HEC는 선택적 전달 출력 그룹을 사용하여 다른 Splunk 인덱서에 이벤트를 전달할 수 있음사용자가 배포서버를 사용하여 분산 배포의 인덱서에 걸처 HEC 토큰을 배포할 수 있음 Splunk 플랫폼이 HTTP Event Collector 토큰을 사용하여 데이터를 가져오는 방법토큰 : 로깅 에이전트와 HTTP 클라이언트에서 HEC 입력에 연결하는 데 사용되는 개체각 토큰은 128비트의 숫자로 된 고유한 값을 가지며, 이 값은 32자의 GUID로 표시에이전트와 클라이언트가 HEC에 연결할 때 인증을 받기 위해 토큰을 사용HEC가 유효한 토큰을 수신하면 HEC에서 연결을 수락하고 에..
[ Splunk Dashboard : 튜닝 ] base search 설정하기 index=Lorem logtype=ipsum enviroment=$env$ | stats count BY status $time.earliest$ $time.latest$ search statuscode pie search statuscode>400 pie
728x90
반응형

티스토리툴바