1.Splunk에 대해

Splunk는 다양한 머신 데이터(로그)를 수집·인덱싱하여 데이터를 분석·시각화하기 위한 소프트웨어입니다. 또한 Splunk는 scikit-learn과 연계시킬 수 있기 때문에 기계 학습을 이용한 데이터 분석이나 이상 검지에 의한 경고 작성 등도 할 수 있습니다.

예로서 맬웨어에 감염된 PC가 있었다고 해서, 감염 전에 무엇을 하고 있었는지 로그로부터 확인한다고 합시다. 우선은 WEB 액세스 로그로부터 어떤 사이트를 열람하고 있었는지를 조사한다고 합니다. 통상, WEB 액세스 로그의 주키가 되는 정보는 타임 스탬프와 IP 주소가 되기 때문에, DHCP로 IP 주소를 지불하고 있는 환경하이면, DHCP 서버에 로그인해 dhcp 로그를 해당자의 PC의 MAC 주소로 grep하여 해당자의 IP 주소를 조사해, WEB 액세스 로그가 보존되고 있는 서버에 로그인해 또 grep 한다고 하는 순서가 될까 생각합니다. 아, 엔드포인트의 조작 로그도 확인하지 않으면, 그럼 다음의 서버는・・・이 되어 담당자의 부담은 커집니다.
이 일련의 작업은 시간도 걸리고, 각각의 서버 관리자도 따로 되기 때문에, 담당자간의 조정이 매우 귀찮게 되기 쉽습니다. 그래서 Splunk입니다. 필요한 로그를 미리 투입하는 구조 만들기를 해 두면, 인시던트 발생시에도 간편하게 로그 조사를 실시할 수 있습니다. 또한 Splunk를 사용하면 개별 로그를 개별적으로 검색하는 것도 가능하지만 여러 종류의 로그를 단번에 검색할 수 있습니다. 위의 예로 말하면 해당자의 ID로부터 WEB 액세스 로그, 엔드포인트 조작 로그를 단번에 검색이 가능합니다.

오랫동안 써 버렸습니다만, Splunk를 한마디로 말하면, 복수 종류의 로그에 대해서 강력한 grep 커멘드를 사용할 수 있어, 그 결과를 시각화하거나, 통계적인 처리를 실시할 수 있는 환경이라고 말한 곳에서 어쩌면.

2.Splunk의 이용에 대해서

Splunk는 1일당 캡처하는 로그의 용량에 따라 과금되는 Enterprise 버전과 1일당 캡처량이 500MB로 제한된 과금 없는 Free 버전이 있습니다. 이러한 차이에 대해서는 아래 링크에 상세가 기재되어 있습니다만, 사용자 계정을 구분하는 것이 가능하거나, 경고 기능이 있거나, 복수의 Splunk 서버에서 클러스터를 짜서 분산 검색이 가능하게 되는 등 매력 적인 기능이 많이 있습니다만, 정직 개인 유스라면 Free판에서도 충분할 정도입니다.
htps //w w. sp ㎅ k. 이 m / 그럼 _ jp / p 로즈cts / sp HTML

3.Splunk 설치

Splunk는 Windows판, Linux판, Mac판이 있으므로 PC를 가지고 있으면 환경을 만들 수 있습니다.
　에서는 Mac을 예로 Splunk를 설치해 봅시다. 그렇다고해도 패키지화되어 있기 때문에 매우 간단합니다.

① 사용자 등록 및 설치 프로그램 다운로드

다음 링크를 방문하여 사용자 등록 및 설치 프로그램을 다운로드하십시오.
htps //w w. sp ㎅ k. 코 m/엔_우 s/칭찬. HTML

②설치

일반적인 설치를 위해 자세한 내용은 생략합니다.

③ Splunk 액세스

Splunk는 웹 응용 프로그램이므로 브라우저에서 다음 URL에 액세스합니다.
http://localhost:8000/

④ 로그인

아래의 화면이 표시되므로, 기재되어 있는 대로의 유저명과 패스워드를 입력해 주세요.


이제 Mac에 Splunk 환경을 도입할 수 있었습니다. 그리고는 조사하고 싶은 로그를 받아 검색(검색) 하는 것뿐입니다.
　계속은 또 다음에 씁니다.