'splunk' 태그의 글 목록
본문 바로가기
728x90
반응형

splunk

 (42)
Splunk Project | Splunk + Ollama + LLM 연동 구축 가이드 (실전 PoC 기준) Splunk 환경에서 로컬 LLM(Ollama)을 활용하여 보안 분석 자동화를 구성하는 전체 과정을 정리한 글이다.📌 전체 구성 요약Ollama → Host 설치 (GPU 직접 사용)모델 → Foundation-Sec-8B Q4 GGUFSplunk → AITK 연동Open WebUI → Docker (선택)🔥 Phase 1 — Ollama + 모델 실행1️⃣ Ollama 설치 zstd 패키지 필요 dnf install -y zstd# Ollama를 자동으로 설치하는 원라인 명령어curl -fsSL https://ollama.com/install.sh | sh ✔ 설치 확인 및 서비스 등록# 설치 확인ollama --version# 부팅 시 자동 실행 등록systemctl enable ollama# ..
[Splunk] Splunk DB Connect로 MySQL 연결하기 이번 글은 Splunk DB Connect와 MySQL을 연동하는 과정에서 실제로 마주친 오류, 원인 분석, 해결 방법, 그리고 최종 확인 결과까지 운영 기록 형태로 정리한 문서입니다.1. 작업 목적Splunk DB Connect를 사용하여 MySQL 데이터베이스와 정상적으로 연결할 수 있도록 환경을 점검하고,연동 과정에서 발생한 인증 이슈를 해결하는 것이 이번 작업의 핵심 목적이었습니다.이번 작업에서 확인하려고 한 포인트MySQL 서비스가 정상 기동되는지 확인DB Connect 연동 시 사용할 계정의 인증 방식이 호환되는지 확인root 계정 비밀번호 재설정이 가능한지 확인최종적으로 MySQL 접속이 정상 동작하는지 검증2. 사전 환경 및 관찰 내용구성 요소MySQL 8.0.36운영체제 계열Linux 계..
EventGen | EventGen 이란? ✨ Eventgen이 하는 일Eventgen의 목표는 아주 단순하지만 강력해요:Splunk 앱마다 직접 이벤트 생성기를 코드로 짜지 않게 하기여러 앱 사이에서 이벤트 생성 템플릿을 재사용할 수 있게 하기거의 모든 형태의 이벤트 / 트랜잭션을 Eventgen 안에서 모델링 가능하게 하기한 줄로 정리하면, “테스트용/시뮬레이션 로그를 자동으로 만들어주는 도구”라고 보면 됩니다.📥 다운로드Eventgen은 Splunkbase에서 앱 형태로 다운로드할 수 있어요.티스토리 글에서는 아래처럼 링크만 걸어두면 됩니다:👉 Splunkbase – Eventgen 페이지에서 다운로드 📚 문서 (Documentation)Eventgen 사용 방법과 설정 방법은 공식 문서에 잘 정리되어 있어요.👉 Eventgen ..
[Splunk ES] Splunk ES Lab을 위한 간단 OS 세팅 🐥 AWS Free Tier로 Splunk 랩 만들면서 한 OS 튜닝 정리이번에는 AWS Free Tier 환경에서 Splunk 랩을 구축하면서OS 튜닝을 조금 정돈해봤다!!! 무엇을 꼭 해야 하고, 무엇은 선택인지, 무엇은 안 해도 되는지헷갈리는 부분을 한 번에 정리!1) 🍎 필수 OS 셋업 (Must)이건 안 하면 그냥 안 돌아갑니다. 즉 필수.[A] Hostname 설정sudo hostnamectl set-hostname splunk-es [B] 시스템 업데이트 + 기본 패키지 설치sudo yum update -ysudo yum install -y wget tar curl unzip[C] splunk 사용자 계정 생성sudo useradd splunk[D] Java 11 설치 (DBX용)sudo..
[Splunk ES] AWS Free Tier로 스플렁크 구축하기 🐥 AWS에서 Splunk 랩 만들기! (Free Tier 버전)요즘 SIEM이니 SOAR니 티켓이니 워크플로니…이런 거 공부해보고 싶은데, Splunk ES는 서버도 무겁고 라이선스도 무겁고 (그리고 마음도 무거움)…그래서 나는 가볍게 AWS 프리 티어로 Splunk 랩부터 만들어보기로 했다!1. 인스턴스 선택하기 💻이번에 선택한 EC2는 바로…m7i-flex.large2 vCPU8GB RAMFree Tier 가능솔직히 Free Tier에서 8GB RAM은 거의 사기템 수준이다.원래 micro 시절(1GB) 때는 Splunk 깔면 숨도 못 쉬었다.2. 운영체제 선택 🍀OS는 고민하다가…Amazon Linux이유는 간단:AWS에서 제일 빠르고 안정적임yum 계열이라 편함프리티어에서 깔끔함나중에 ES..
[ Splunk ] 버킷 매니페스트(manifest) 1. 기본 개념버킷(bucket): Splunk나 보안 로그 수집 환경에서 데이터를 저장하는 단위(예: S3 버킷, HDFS 디렉토리).매니페스트(manifest): 해당 버킷에 포함된 로그 파일들의 목록과 메타데이터를 정리해둔 인덱스 문서.즉, 매니페스트는 “이 시간대/이 경로에는 이런 로그 파일들이 있으며, 파일 크기와 체크섬은 이렇다” 같은 정보2. 왜 필요한가?보안 로그 파이프라인은 보통 수백 GB~수 TB 단위로 데이터가 쌓입니다.이때 버킷 매니페스트가 없으면 Splunk나 ETL(Job)에서 매번 전체 스토리지를 스캔해야 해서 성능이 크게 떨어집니다.따라서 매니페스트는 다음과 같은 이점을 줍니다:빠른 인덱싱: 어떤 파일을 수집해야 할지 즉시 알 수 있음.데이터 무결성 확인: 체크섬(SHA256..
[Splunk] Splunk Forwarder와 S2S 통신 완벽 이해 Splunk Forwarder 유형Splunk에는 여러 가지 데이터 수집 방법이 있지만, 가장 대표적인 것은 ForwarderForwarder는 데이터를 읽어서 인덱서로 전달하는 역할을 하며, 종류에 따라 기능 차이가 있음1. Heavy Forwarder (HF)Splunk Enterprise의 모든 기능 포함데이터를 파싱한 후 전달인덱서 대신 Forwarder에서 파싱하므로 리소스 소모가 크다HF를 사용해야 하는 경우UI가 필요한 경우이벤트 단위 라우팅이 필요한 경우들어오는 이벤트의 80% 이상을 필터링해야 하는 경우데이터 마스킹/익명화 필요특정 Python 버전 필요일부 앱/모듈 입력 필요 (예: HEC, DBX, Checkpoint 등)2. Universal Forwarder (UF)경량화된 바이너..
[Splunk 고급 설정] Splunk에서 JSON 로그 필드 추출하기 Splunk에서 JSON 로그 필드 추출하기 (rex, extract, transforms.conf 완벽 이해)안녕하세요.오늘은 Splunk에서 JSON 형식의 로그를 다루는 방법, 그리고 rex, extract, transforms.conf, props.conf 설정을 통해 필드를 추출하는 과정을 정리해 보았습니다.✅ 시스로그 헤더 + JSON 로그 예시1 2025-07-08T14:23:45Z myhost.example.com appname 1234 ID47 - {"timestamp": "2025-07-08T14:23:45Z", "user": "alice", "action": "login", "status": "success", "ip_address": "192.168.1.10", "device": {..
728x90
반응형

티스토리툴바