Active Directory 이해하기 [win7] WINMAnager > 어댑터에 브릿지 설정 192.168.0.109 255.255.255.0 192.168.0.1 (dhcp 대신 할당받은 ip 고정ip로 넣기) DNS 192.168.0.103 nslookup st.kr > .103 확인 *산특 그룹에 넣기 컴퓨터>오른쪽마우스>속성>작업그룹 소속그룹>도메인>st.kr (administrator/p@ssw0rd!@123) st.kr 도메인 그룹 시작 => Active Directory 그룹에 소속됨! REBOOT => 로그인 하는 창 바뀜! 사용자 추가 이름 이니셜 추가 정 유빈 jyb 사용자 로그온 이름 : jyb@st.kr 윈도우 2000 이전 버전 사용자 로그온 이름 ST\jyb PC109\manager(관리자) => 로그인 할 수 없음 처음 로그온 시 사용자가 반드시 암호를 변경해야 함 체크 =>p@ssw0rd123456 사용자 전환 jyb@st.kr p@ssw0rd 계정관리 시 로그인 로그아웃 시간 확인 가능, 락 설정(게임 설치 불가능, 악성파일 설치 불가능, 아이피 변경 불가능) [WIN2025] 호스트 전용 어댑터 .101 DNS .101 [WIN7] 가상시스템 가져오기 > ADCLIENT 이름 변경 호스트 전용 어댑터 192.168.56.102 255.255.255.0 DNS192.168.56.101 게이트웨이 없음 PC102 이름 바꾸기 REBOOT [WIN2025] 1. 네트워크 고정 192.168.56.101 2. 호스트 이름 설정 WIN2025 3. AD 설치 후 설정하기 [ADCLIENT] cmd nslookup st.kr 반응 없음 확인 [WIN2025] 서버 관리자 > 역할 및 기능 추가 다음 > 다음 > 고정아이피 확인 후 다음(고정아이피가 아닐 경우 에러!) > ACTIVE DIRECTORY DOMAIN SERVICES > 필요한 경우 설치하기 체크 > 설치 이 서버를 도메인 컨트롤러로 승격 > 새 포리스트를 추가합니다(Forest;숲) / 루트 도메인 이름 : st.kr > 다음 > 암호 : p@ssw0rd > 설치 REBOOT 그룹 변경 st.kr (administrator/p@ssw0rd!@123) (액티브 디렉토리 > 랜섬웨어 예방!!) REBOOT 도구 > AD 사용자 및 컴퓨터 > USERS > 새로 만들기 > 사용자 사용자 추가 이름 이니셜 추가 정 유빈 jyb@st.kr (p@ssw0rd) [ADCLIENT] 로그인 해보기(jyb@st.kr/p@ssw0rd) free ftpd (취약한 파일) 설치하려면 관리자 로그인이 필요 !! 도구 > AD 도메인 및 트러스트 > ? 미션!! 특정 날짜에 컴퓨터 접근 못하도록 하기 유저 이름 > 속성 > 계정 > 로그온 시간 설정 오후 수업 내용 물어보기 !!
새로운 우분투 불러와서 splunk 설치.
설치방법 링크
(https://docs.splunk.com/Documentation/Forwarder/7.2.4/Forwarder/Installanixuniversalforwarder?_gl=1*zihjho*_gcl_au*MTYzMjQ2MTcyOC4xNzM4Mjk5MjY2*FPAU*MTYzMjQ2MTcyOC4xNzM4Mjk5MjY2*_ga*OTEzMzQ5MTE2LjE3MzgyOTc0MDc.*_ga_5EPM2P39FV*MTczODMwMTMxMi4yLjEuMTczODMwMTQzMC4wLjAuODk5ODYzMTQ1*_fplc*ViUyRnhLTFZHVEZOR211aFRGVFJyVVBrQ0x5NHRGTDVvUWNSZGl1aXV4QnNNZUdTZzhBbjVocXpyVGJoSlZsYUpLc2tFNmxuZkhGWGdpSHFrZ2JCMWNGQ3VMa2RPZno1aWdkJTJCenpWRSUyRldpUmZzNFNuWkslMkZPa0l2dUVZcGhYRnclM0QlM0Q.)
dpkg -i splunk_package_name.deb
> cd /opt/splunk/bin
./splunk start
admin
12345678
http://localhost:8000 접속 가능하다.
splunk 서버 호스트 전용 어댑터로 변경
> nano /etc/netplan/50-clould-init.yaml
dhcp4: no
addresses: [192.168.56.103/24]
nameservers:
addresses: [192.168.56.101]
> netplan apply
> cd /opt/splunk/etc/system/local
> nano server.conf
[diskUsage]
minFresSpace=50
[queue]
maxSize=1024MB
[win2025]
http://192.168.56.103:8000으로 접속.
ko-KR로 변경
상단 메뉴 > 설정 > 전달 및 수신 > 수신 설정 - 새로추가 > 9997
설정 > 서버 설정 > 일반 설정 > 인덱스 설정 - 디스크 여유공간이 다음 크기(MB) 이하가 되면 인덱싱 중지 : 500으로 수정
[Win7]
splunkforwarder 설치
customise options 경로 체크
next
localsystem 체크
next
log 전부 체크
next
username : admin
password : 12345678
next
192.168.56.103, 8089
192.168.56.103, 9997
설치 권한
administrater
p@ssw0rd!@123
cmd > netstat -ant | find "9997"
Win11
http://192.168.56.103:8000
설정 > 데이터 입력 > 전달된 입력 > windows 이벤트 로그 > 새 원격 windows 이벤트 로그
PC102
모두추가
새 인덱스 만들기
인덱스 선택
검토
제출
검색시작