반응형 Splunk3 Splunk - 검색 결과에서 공유 데이터 확인하기 Splunk를 이용할 때 다수의 중복 값들중에 고유간 값들만 남기고 확인하는 구조로 가져갈 수 있는 방법에 대해서 간단하게 사용할 수 있는 기능이 존재하는데, 바로 dedup 이다. dedup은 검색 결과에서 중복되는 내용을 삭제해주는 역활을 진행한다. 아래와 같이 특정 필드명을 지정하면, 해당 필드를 기준으로 중복되는 내용들을 삭제해준다. | dedup id . 위와 같이 하나의 필드 뿐만 아니라 여러 필드를 지정하게 되면, 해당 필드가 모두 동일한 경우에만 중복으로 보기 때문에 유용하다. | dedup id host 2024. 2. 21. Splunk - Install in Ubuntu 데이터 분석 시스템으로 유명한 Splunk 설치를 진행해보고자 한다. 설치 방법은 크게 어렵지 않기 때문에 쉽게 따라할 수 있을 것이라 생각된다. 먼저 splunk 사이트에 접근하여 로그인을 하자. 만약 계정이 아직 없다면 무료로 만들기 바란다. 로그인을 하고 Free Splunk를 누르면, 무료로 사용할 수 있는 제품이 다운로드 가능하다. 우리는 Ubuntu에 설치를 할 것으로 Splunk Enterprise를 선택하도록 하자. 다운로드 종류가 나타나면, Linux를 선택하고 .deb 패키지를 선택하도록 하자. 패키지를 다운로드하면 Linux의 wget을 이용해서 바로 다운로드 할 수 있는 링크를 제공하는데 wget을 눌려서 확인할 수 있다. 현재 8.2.5버전을 사용할 수 있는 것으로 확인된다. wg.. 2022. 3. 16. Splunk Phantom REST API 기본 사용 최근 Splunk를 사용하는 회사가 늘고 있다. 여기에 Splunk회사에서 인수한 Phantom이라는 SOAR(Security Orchestration, Automation, and Response) 솔류션이 있는데, 사용법이 초반에 익숙해 지는데 시간이 좀 필요하다. 기본적인 개념은 Container라는 것이 하나의 인스턴스이고 여기에 Artifact(인스턴스 관련증적)을 넣은 사전에 만들어 놓은 App등을 통해 조사를 진행하는 방식이 기본 구조라 할 수 있다. 여기에 최근 필자가 REST API를 사용할 일이 있어 여기에 정리해 본다. 기본적으로는 https://docs.splunk.com/Documentation/Phantom/4.10.4/PlatformAPI/Using 에 어떻게 활용할 수 있는지.. 2021. 8. 19. 반응형
