splunk란?
데이터를 제약 없이 수집, 저장, 통합분석, 시각화할 수 있는 빅데이터 분석 플랫폼이다. SIEM이다.
Splunk vs ELK
잘 설명한 곳
Splunk vs. ELK Stack Log 분석툴의 최강자는 누구일까?
Reference: This post is translated content from this page.Techopedia.com은 시스템 로그 파일을 "다양한 통신 소프트웨어 응용 프로그램과 운영 체제 간의 이벤트, 프로세스, 메시지 및 통신 레지스트리를 유지하
velog.io
둘다 SIEM으로 비슷하지만
ELK는 무료 오픈소스 / Splunk는 상용
ELK는 구축하기 어려움 / splunk는 쉬움
개발이 메인인 회사가 ELK를 추가적으로 개발하여 사용해서 ELK를 사용하기도..
Splunk 구성
크게 포워더, 서치헤드, 인덱서가 있다.
간단하게 포워더는 데이터를 수집하고 인덱서로 전송하며 인덱서는 데이터를 저장하고 서치헤드에서 데이터를 검색한다.
Splunk 설치
가상환경에서 할거라 리눅스 환경에 설치
https://www.splunk.com/en_us/download/splunk-enterprise.html
sudo tar xvzf splunk.tgz -C /opt : opt파일에 압축해제
/opt/splunk/bin파일에 들어가서
sudo ./splunk start --accept로 시작
진행되면 아이디, 비밀번호 입력이 나오는데 splunk 프로그램 로그를 볼때 사용(기억하기)
가상환경 말고 내 컴퓨터에
splunk설치한 환경의 ip:8000 입력
아까 splunk 설치할 때 입력했던 id, pw입력
재부팅하면 다시 sudo start명령을 쳐야하므로 해당 명령으로 자동실행.
이제 데이터를 인덱싱하고 search & reporting에서 쿼리를 이용해 데이터를 분석한다.
참고
https://velog.io/@euisuk-chung/Splunk-SPL-language
'교육 및 자격증 > 빅데이터 기반 보안로그분석[splunk]' 카테고리의 다른 글
| EDR 구축 (osquery설치, sysmon 설치) (0) | 2023.10.04 |
|---|---|
| 웹 해킹 로그 분석(sql, 파일 다운로드/업로드 ..) (0) | 2023.10.04 |
| SPL(Splunk Procedure Language) (0) | 2023.10.01 |
| splunk 데이터 인덱싱 및 로그 분석[palo alto, v3] (0) | 2023.09.30 |
| 빅데이터 기반 보안 로그 분석 (0) | 2023.09.30 |
