오늘 공부한 내용
오늘 공부한 내용:
- --- ### 1. Splunk 아키텍처 및 설치 Splunk는 데이터를 수집(Forwarder), 저장 및 색인(Indexer), 시각화(Search Head)하는 구조를 가집니다. * **설치 환경:** Ubuntu 20.04와 Splunk 8.2 버전의 호환성을 확인하며 설치를 진행했습니다. * **부팅 설정:** `enable boot-start`를 통해 시스템 재시작 시에도 분석 서비스가 유지되도록 설정했습니다. * **포트 정보:** 웹 인터페이스는 **8000**, 데이터 수집(Forwarder로부터 받기)은 **9997** 포트를 주로 사용합니다. --- ### 2. SPL(Search Processing Language) 분석 기법 SQL과 비슷하면서도 파이프(`|`)를 이용해 데이터를 가공하는 Splunk만의 쿼리 방식을 익히셨습니다. | 명령어 | 기능 및 활용 | | --- | --- | | **`table`** | 필요한 필드만 선택하여 표 형식으로 출력 | | **`stats`** | `count`, `dc`(고유값 개수), `values` 등을 이용한 통계 분석 | | **`top / rare`** | 가장 빈번하거나 희귀한 값 추출 (임계치 설정 가능) | | **`eval`** | 새로운 필드를 계산하여 생성 (예: 구매 전환율 계산) | | **`timechart`** | 시간에 따른 데이터 변화를 시각화 (대시보드 필수 기능) | * **서브검색(Subsearch):** `[...]` 형태의 서브검색을 통해 "가장 많이 구매한 고객"을 먼저 찾고, 그 고객의 상세 활동을 분석하는 고급 기법을 실습했습니다. 이는 보안 관제에서 "공격자 IP"를 먼저 식별하고 그 활동 범위를 파악할 때 유용합니다. --- ### 3. 실시간 로그 수집 (Universal Forwarder) 중앙 Splunk 서버로 로그를 보내주는 **Forwarder** 설정은 실무 보안 관제의 시작입니다. * **수집 설정:** `inputs.conf` 파일을 수정하여 `/var/log/auth.log`(인증 성공/실패), `/var/log/nginx/access.log`(웹 접속) 등을 모니터링 대상으로 지정했습니다. * **인덱스 관리:** 데이터의 성격에 따라 `waf`, `web`, `main` 등 서로 다른 인덱스에 저장하여 검색 속도와 보안성을 높였습니다. ---