케세라세라 - mysetting

2:47 5/30

kangmyounghun.blogspot.kr

mobile screenshot relative

2:47

kangmyounghun.blogspot.kr

mobile screenshot

케세라세라
https://kangmyounghun.blogspot.kr/

Easy to analyze if you can cleaning data

저작도구: Blogger

최종 피드 수집: 2024-11-22 04:47

전체 (193)

5d

구글 북 계정 중지

구글 콘텐츠 정책 위반으로 북 파트너 계정이 중지됐다.
내용을 보면 알 수 있지만 중지된 원인이 명확하지 않다. 납작 업드려 담당자(인지 봇인지)에게 제발 이유를 알려달라 읍소 중이지만 돌아오는 건 정책 위반이라는 답변뿐.
좀

book

000

12d

VirtualBox 네트워크

집에서 잘 되는 브리지 모드가 밖에만 나가면 안 돼서 NAT 모드를 쓰는데 VM 복제 시 IP가 바뀌지 않는다. 맥어드레스를 바꿔도 안 됨. machine-id가 같아서 그런가?
[root@Snort ~]# ifconfig eth

tech

000

24d

Splunk의 stats와 eventstats

stats를 이용한 ip별 url 접속 추이.
집계 결과를 다른 필드로 쪼개면? 실패.
데이터셋이 원본에서 중첩된 계산 결과로 바뀌었기 때문에 별도의 집계 분할 기준을 제시할 수 없다.
eventstats를 사용하면?
ip별 u

tech

000

1M

데이터 노가다 실수담 - 7th

1시간 동안 발생한 로그는 1,959개.
이중 변수가 존재하는 로그는 373개.
변수 길이 합산 추이.

엑셀로 집계한 변수 길이 합산 추이. 스플렁크와 거의 같은 결과를 보여준다.
변수가 없는, 즉 변수 길이값이 없는 필드를

tech

000

1M

VIM 꼼수의 발견 - 11th

문자열 길이를 측정해보자. 어떻게?
vim은 strlen 함수도 지원한다. 전체 검색 결과인 submatch(0)에 strlen 함수 적용 후 치환.
원본을 보존하면서 측정값을 추가하고 싶다면?
\zs의 검색 결과는 선행하는

tech

000

1M

시리즈 완결 후기

elastic
Data Anomaly Detection (20.01.09)
Deep dive into web log (21.01.07)
Deep dive into system log (21.04.20)
Deep dive into

book

im thinking

000

1M

Splunk의 Join - 4th

sysmon 이벤트 중 네트워크(3)와 DNS(22) 이벤트는 가끔 프로세스명 추출에 실패한다.
이때 기본 네트워크 이벤트(5156)와 pid를 대조하면 실제 사용된 프로세스를 확인할 수 있다. DNS 조회를 했다는 얘기는 네트워

tech

000

1M

Splunk의 데이터 전처리 자동화 - 2nd

스플렁크의 기본 (정규표현식 기반) 데이터 전처리 결과가 마음에 들지 않을 때 정규표현식을 이용하면 커스터마이징이 그리 어렵지 않다. 그런데 정규표현식이 어렵다면?
스플렁크의 필드 추출 기능을 사용해보자. 사람 읽으라고 만들어진

tech

001

2M

내가 처음이 아니다

하나의 로그스태시 파이프라인에서 서로 다른 데이터를 수집, 서로 다른 인덱스에 저장하는 구성에 대한 질문을 받았다. 방법은 input 구간에서 출처별로 수집 플러그인을 분리한 후, output 구간에서 조건에 따라 저장명을 달리하

im thinking

tech

002

2M

ping

목적지가 localhost면 트래픽은 당연히 루프백 인터페이스에서 발생한다.
목적지가 외부면 외부 연결 인터페이스에서
그런데 목적지가 자기 자신이면
해당 IP가 할당된 인터페이스가 아닌 루프백에서 발생한다. 왜죠?
관련 글
ca

tech

000

3M

비율 계산

프로세스 단위별 합산 구하고,
총합 필드 추가 후,
비율 계산.
아니면 이벤트 단위로 총합, 단위별 합산 추가 후, 계산.
그냥 top 쓰자.
관련 글
Splunk의 eval과 rex

tech

000

3M

데이터 시인성 - 8th

해시 변화를 보여주는 차트.
숫자가 무량대수급으로 커지면 스플렁크는 좀 헤메는 것 같다. 버그? 측정은 했는데 차트가 안 보임.
그럴 땐 Y축 기준점을 바꾸던가,
차트 유형을 바꾸던가.
관련 글
데이터 시인성 - 7th
데이터 시

tech

000

3M

Splunk의 dedup

이름에서 짐작이 가지만 dedup은 최초 검색 결과 이후 중복을 제거해준다.

중복 제거라는 결과 때문에 동작 방식을 정확히 이해하지 못하면 집계 명령과 헷갈릴 수 있음. 다음은 두 필드가 쌍을 이루는 'process_name:C

tech

000

3M

데이터 노가다 실수담 - 6th

프로세스 집계 결과는 35개.
집계 분할 기준에 제작사를 추가하면 36개? 프로세스 제작사가 다 달라도 35개를 넘으면 안 되는데?
제작사 정보만 집계해봤다. 네이버가 두 개네.
왜 두 개지? 프로세스 원본을 보니 실행 파일이 다

tech

000

3M

정규표현식 테스트할 때

애용하는 regex101.com은 g(lobal)과 m(ultiline) 수정자 사용이 디폴트.
문자 하나 검사하는 데 195개 매치?
정규표현식 기본 동작은 최초 매칭 성공 후 중지. 하지만 g 옵션을 사용하면 가능한 모든 매칭

tech

000

3M

스플렁크 위주로 해주세요

교육기획 담당자에게서 가장 많이 듣는 얘기. 담당자 입장에선 스플렁크 교육으로 결재 받았는데 계획서만 보면 고작 반나절 정도 시간만 할당되어 있으니 답답할만 하다.
그래서 각 단위는 스플렁크 필수 기반 기술이거나, 단위 주제 모두

im thinking

000

3M

Defender 이벤트

윈도우 Defender는 이벤트 로그를 기록한다. 이벤트 로그명은 Microsoft-Windows-Windows Defender/Operational.
로그명에 중복이 있다. 큰 따옴표는 인식 불가.
작은 따옴표는 인식한다. 그런

tech

000

3M

windows event 계정 정보

윈도우 주요 이벤트 몇몇은 작업 주관자를 의미하는 subject와 작업 대상인 target 정보를 제공한다. 다음은 윈도우 기본 이벤트 4688. 정보 누락이 발생하는 target보다 subject의 신뢰도가 높아보인다.

다음

tech

000

4M

for loop test

확장자 추출.
root@MHKANG:~# echo -e "a.txt\nb.php"|grep -oP "[^.]+$"
txt
php
윈도우는 파이프를 이용한 리다이렉션이 안 된다.
D:\>echo a.txt & echo.b.php
a

tech

000

4M

푸른 산호초

알 수 없는 유튜브 알고리즘이 들려준 노래. 세간을 떠들썩하게 했던 '하이브 사태'로 알게 된 뉴진스의 멤버 하니가 일본 공연에서 부른 푸른 산호초.
원곡.
일본 버블 시대 풍요를 상징하는 노래라고 하는데 원곡도, 마츠다 세이코라

etc

000