케세라세라 - mysetting

2:47 5/30

kangmyounghun.blogspot.kr

mobile screenshot relative

2:47

kangmyounghun.blogspot.kr

mobile screenshot

케세라세라
https://kangmyounghun.blogspot.kr/

Easy to analyze if you can cleaning data

저작도구: Blogger

최종 피드 수집: 2025-07-08 21:48

전체 (229)

11d

Filebeat의 multi path

filebeat 설정.
filebeat.inputs:
- type: filestream
id: my-filestream-id
enabled: true
paths:
- d:\firewall.log
prospec

tech

000

17d

Elasticsearch 9.0의 변화 - 4th

엘라스틱은 30일 간의 유료 라이센스 체험 기능을 제공한다.
기간 지나면 만료 메시지가 뜨고, 이후엔 베이직 라이센스로 되돌리면 됨.
[2025-06-21T22:45:30,839][INFO ][o.e.x.s.a.Realms

tech

001

23d

CentOS의 Splunk - 2nd

스플렁크 RPM 설치 실패.
[root@Splunk ~]# rpm -ivh splunk-9.4.3-237ebbd22314.x86_64.rpm
error: splunk-9.4.3-237ebbd22314.x86_64.rpm: head

tech

000

25d

Splunk의 데이터 전처리 - 3rd

스플렁크는 3단계의 윈도우 이벤트 전처리 과정을 제공한다. 이중 wel-eq-kv를 제외한 나머지는 모두 정규표현식으로 동작.
wel-message
이중 wel-col-kv는 'key:value' 구조의 데이터만을 처리한다.
we

tech

000

1M

데이터 노가다 실수담 - 11th

3개의 필드로 이루어진 테이블. a가 있으면 c가 없고, c가 있으면 a가 없는 구조.
이때 a, c는 b와 연결해야 정확한 의미를 갖는다.
case 조건문으로 바꾸면 이런 식.
b만 존재하는 상태도 추가하려면?
다음 조건 로

tech

000

1M

Elasticsearch 9.0의 변화 - 3rd

On master node
클러스터 마스터 노드 설정(elasticsearch.yml).
# Enable encryption and mutual authentication between cluster nodes
xpack.secu

tech

000

1M

Elasticsearch 9.0의 변화 - 2nd

stack mornitoring 실행하니 이런 에러가 뜬다. 개체 암호화키가 필요하다고?
까라면 까야지(..) 암호화키 생성.
PS D:\ELK\kibana-9.0.1\bin> .\kibana-encryption-keys.bat

tech

001

1M

엘라스틱 Runtime field - 12th

잘 동작하는 정규표현식.
url 필드 추출.
PUT sample/_mapping
{
"runtime": {
"url": {
"type": "keyword",
"scr

tech

000

1M

Splunk의 날짜 계산

최근 30일 데이터의 주간 단위 발생 통계. '월~일요일' 단위 집계 결과를 보여준다.
4월 데이터의 주간 단위 발생 통계. '화~월요일' 단위 집계 결과.
주간 단위 집계 범위가 달라지는 이유는 선택 범위에 따라 시작일이 달라지

tech

000

1M

Splunk의 unix time

audit.log 연동. 소스타입 선택과 관계 없이 unix time을 잘 인식한다.
연동 결과. 나머지 필드 추출도 완벽.
props.conf에 필드 추출 유형이 정의되어 있지 않음에도 문제가 없는 이유는 원본 데이터가 key=

tech

001

2M

지금 경계선에서

저자 레베카 코스타. 예전에 읽다 용두사미 결론에 실망하며 덮었던 기억이 나는데 오랫만에 다시 읽어봄.
마야, 로마 등 사라진 문명은 그 복잡도가 인간의 인지 능력 한계까지 발전했을 때 망조가 들었다는 초반부는 재미있다. 관료제하

book

001

2M

Beat processors - 7th

audit.log 연동.
processors:
- include_fields:
fields: "message"
- copy_fields:
fields:
- from: message

tech

001

2M

Filebeat 9.0의 변화

audit.log 연동.
filebeat.inputs:
- type: filestream
id: my-filestream-id
enabled: true
paths:
- d:\test.log
output.conso

tech

001

2M

Logstash 필터 ruby - 8th

audit.log 연동.
filter {
mutate {
remove_field => ["@timestamp", "@version", "path", "host"]
}
kv {}
dissect {
mapping =>

tech

001

2M

LogParser의 문자열 처리

이벤트 전체 현황을 보고 싶다. 첫 번째 문장만 추출하면 되겠는데?
.을 기준으로 첫 번째 문장 추출. 그런데 .이 없는 이벤트가 있다.
첫 번째 문장 추출 조건에 : 추가. 그런데 . 기준 첫 번째 문장에서 : 존재를 확인하는

tech

001

2M

Elasticsearch 9.0의 변화

지난주에 무슨 일이 있었는지 8.18과 9.0 버전이 동시에 릴리즈됐다. 8.18 지못미 다른 건 잘 모르겠고, ESQL에 LOOKUP JOIN 기능이 추가됨. ENRICH 기능과의 차이점은 정책 생성 및 실행 과정이 필요없다는

tech

001

2M

Splunk의 Join - 5th

inner join.
left join.
교집합 제외한 left join.
full join.
교집합 제외한 full join.
관련 글
Splunk의 Join - 4th
Splunk의 Join
Splunk의 lookup
엘라스틱

tech

000

3M

데이터 노가다 실수담 - 10th

url 중 파일 정보 비교. file과 file2의 차이가 크다. file은 파일과 디렉토리를 구분하지 않고 저장하기 때문.
추이 변화는 비슷.
. 존재만을 검사하는 file2는 경로 정보를 저장할 가능성이 있다. 파일 존재만을

tech

001

3M

Logstash 필터 ruby - 7th

ruby 필터를 이용한 숫자 검사.
filter {
mutate {
remove_field => ["@timestamp", "@version", "path", "host"]
}
dissect {
mapping => {

tech

001

3M

Logstash 필터 geoip - 2nd

geoip 필터를 이용하면 위경도를 포함한 ip 주소의 다양한 지리 정보를 사용할 수 있다.
{
"message" => "122.213.34.56",
"geoip" => {
"longit

tech

000