'Splunk/Splunk Project' 카테고리의 글 목록
본문 바로가기
728x90
반응형

Splunk/Splunk Project

 (29)
[Splunk ES] Splunk ES Lab을 위한 간단 OS 세팅 🐥 AWS Free Tier로 Splunk 랩 만들면서 한 OS 튜닝 정리이번에는 AWS Free Tier 환경에서 Splunk 랩을 구축하면서OS 튜닝을 조금 정돈해봤다!!! 무엇을 꼭 해야 하고, 무엇은 선택인지, 무엇은 안 해도 되는지헷갈리는 부분을 한 번에 정리!1) 🍎 필수 OS 셋업 (Must)이건 안 하면 그냥 안 돌아갑니다. 즉 필수.[A] Hostname 설정sudo hostnamectl set-hostname splunk-es [B] 시스템 업데이트 + 기본 패키지 설치sudo yum update -ysudo yum install -y wget tar curl unzip[C] splunk 사용자 계정 생성sudo useradd splunk[D] Java 11 설치 (DBX용)sudo..
[Splunk ES] AWS Free Tier로 스플렁크 구축하기 🐥 AWS에서 Splunk 랩 만들기! (Free Tier 버전)요즘 SIEM이니 SOAR니 티켓이니 워크플로니…이런 거 공부해보고 싶은데, Splunk ES는 서버도 무겁고 라이선스도 무겁고 (그리고 마음도 무거움)…그래서 나는 가볍게 AWS 프리 티어로 Splunk 랩부터 만들어보기로 했다!1. 인스턴스 선택하기 💻이번에 선택한 EC2는 바로…m7i-flex.large2 vCPU8GB RAMFree Tier 가능솔직히 Free Tier에서 8GB RAM은 거의 사기템 수준이다.원래 micro 시절(1GB) 때는 Splunk 깔면 숨도 못 쉬었다.2. 운영체제 선택 🍀OS는 고민하다가…Amazon Linux이유는 간단:AWS에서 제일 빠르고 안정적임yum 계열이라 편함프리티어에서 깔끔함나중에 ES..
[Splunk 고급 설정] Splunk에서 JSON 로그 필드 추출하기 Splunk에서 JSON 로그 필드 추출하기 (rex, extract, transforms.conf 완벽 이해)안녕하세요.오늘은 Splunk에서 JSON 형식의 로그를 다루는 방법, 그리고 rex, extract, transforms.conf, props.conf 설정을 통해 필드를 추출하는 과정을 정리해 보았습니다.✅ 시스로그 헤더 + JSON 로그 예시1 2025-07-08T14:23:45Z myhost.example.com appname 1234 ID47 - {"timestamp": "2025-07-08T14:23:45Z", "user": "alice", "action": "login", "status": "success", "ip_address": "192.168.1.10", "device": {..
[Splunk 고급 설정] 여러 이벤트를 조건 별로 Index 분기하기 (props.conf & transforms.conf) 종종 하나의 호스트에서 다양한 종류의 로그가 들어올 때가 있다. 그 이유는 아래와 같다. 💡 1️⃣ 솔루션이 통합 에이전트 형태로 설치되는 경우요즘 보안 솔루션들은 여러 기능을 하나의 에이전트(Agent)로 묶어 배포하는 경우가 많다.예를 들어, 안랩의 경우 V3가 기존 백신 역할을 하고, 그 위에 EDR 모듈, EPP 모듈 등을 추가해서 통합 관리하도록 설계하는데✅ 이럴 땐 하나의 프로그램(Agent)이 모든 기능 로그를 생성 → 하나의 호스트(서버 또는 PC)에 모든 로그가 한꺼번에 쌓임.💡 2️⃣ 동일 호스트에 여러 솔루션이 설치되어 있는 경우특히 대기업이나 공공기관에서는 보안 다층화(Defense in Depth) 전략을 사용한다.EPP와 EDR은 서로 다른 벤더(또는 같은 벤더의 다른 모..
[ Splunk Project : 서버 구축 ] splunk에서 custom app 만들기 앱을 만드는 방법은 2가지가 있다. 1. GUI 환경에서 쉽게 관리 클릭 앱 만들기 클릭 작성 후 저장 2. CLI 환경에서 쉽게 /opt/splunk/bin/splunk create app -template [ barebones | sample_app ]
[ Splunk Project : 서버 구축 ] 장비 재부팅 시 splunk 자동 시작 설정 splunk가 설치된 서버를 껐다 켜야하는 경우가 있다. 그러면 그 때마다 splunk를 수동으로 켜줘야 하는데 여간 귀찮은 일이 아니다. 그런 일을 방지하기 위해 우리가 스플렁크 설치 시 설정하는 것이 바로 스플렁크 자동 시작이다. STEP 1 ) CLI 환경에서 명령어를 갈겨준다. /opt/splunk/bin/splunk enable boot-start 이 명령은 root 계정에서 실행해야하고 스플렁크 실행 계정이 root가 아닐 때는 -user 옵션을 적어야 한다. sudo /opt/splunk/bin/splunk enable boot-start -user splunk /etc/init.d 에 splunk라는 실행파일이 생성됨! 성공!! ⭐️ 더 알아보기 ⭐️ 가끔 고객사 서버에서 splunk 계정..
[ Splunk Project : 서버 구축 ] 우분투 리눅스에서 디렉토리 사용자 변경 처음 리눅스 서버에 들어가면 다음과 같이 서버에 로그인 하라고 한다. 그 때 입력한 사용자 이름으로 리눅스 환경을 사용하게 된다. splunk로 로그인 이 상태에서 바로 splunk start 명령을 입력하면 SPLUNK 시작 명령 splunk@sh1:~$ /opt/splunk/bin/splunk start 위처럼 권한 에러가 발생한다 splunk라는 디렉토리가 10777이라는 그룹의 10777이라는 사용자가 생성한 것이라고 나와있음 10777은 splunk 프로그램 자체가 사용하는 사용자와 그룹 코드다. 우리가 문제 없이 스플렁크를 잘 돌리고 싶다면 splunk 디렉토리의 주요 사용자 그룹과 사용자를 변경해줘야함 SPLUNK 디렉토리 사용자그룹 사용자 변경 sudo chown -R splunk:splu..
[ Splunk Project ] Splunk로 주식 분석 | Phase 11. 주식 매매 시뮬레이션 🌞 TODAY'S GOAL🌞 🐇 주식 매매 전략을 세우고, 🐇 매일 정해진 시간에 주식을 (가상으로) 매매하고, 🐇 매매한 내용에 대해서 기록하고, 🐇 알림 설정 🌳 STEP 0 🌳 readstock 명령을 다음처럼 업데이트 def generate(self): url = self.url.format(self.code) self.logger.info("Generating event with code %s" % (self.code)) with urlopen(url) as doc: content = doc.read() content = content.decode('utf-8', 'ignore') soup = BeautifulSoup(content, 'lxml') cur_price = soup.find('str..
728x90
반응형

티스토리툴바