<div id="readability-page-1" class="page"><div id="post-body-6278279398163587782" itemprop="articleBody">
<a href="https://kangmyounghun.blogspot.com/2021/01/sysmon-dns.html" target="_blank">sysmon</a> 이벤트 중 네트워크(3)와 DNS(22)&nbsp;이벤트는 가끔 프로세스명 추출에 실패한다.<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJp7G3H5Sk_4tRtPM1w_LLniptQrVwpRfYVs4FWdsLsrAheUN22YSBeksuVv8T_me2v7qOmVKXPGOqXVZgpoXg38754RdzG8-fmBRgS9tD-0UsSfhehHit_AWxOtiae0-1ObQ6T3uNdHv_7DpwFateTdb6h9df3WF8Yoz0jaf8fZOyGql1L2JBHYdkTCAp/s1280/sysmon_unknown.png"><img data-original-height="710" data-original-width="1280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJp7G3H5Sk_4tRtPM1w_LLniptQrVwpRfYVs4FWdsLsrAheUN22YSBeksuVv8T_me2v7qOmVKXPGOqXVZgpoXg38754RdzG8-fmBRgS9tD-0UsSfhehHit_AWxOtiae0-1ObQ6T3uNdHv_7DpwFateTdb6h9df3WF8Yoz0jaf8fZOyGql1L2JBHYdkTCAp/s16000/sysmon_unknown.png"></a><a name="more"></a>이때 기본 네트워크 이벤트(5156)와 pid를 대조하면 실제 사용된 프로세스를 확인할 수 있다. DNS 조회를 했다는 얘기는 네트워크를 사용했다는 뜻이니까.&nbsp;<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhM58olR4k5vgPeN4pGYvoikfzJBHyi4POaM-MoFpkVSjpQz6j51MSkEbbrsGsTNkQVYSBP8c9UgItphp7oJ8GqllQ_o6LnpuPEzAmIwuepEWM1OvVhu-FU-rHF3ocau4I4FR-VDBXU3KwXtrWcyAUy3CTwOlvEtBm2Tyy0YawjRPqfK31TwjKm8mb6kP7r/s1540/sysmon_unknown2.png"><img data-original-height="1125" data-original-width="1540" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhM58olR4k5vgPeN4pGYvoikfzJBHyi4POaM-MoFpkVSjpQz6j51MSkEbbrsGsTNkQVYSBP8c9UgItphp7oJ8GqllQ_o6LnpuPEzAmIwuepEWM1OvVhu-FU-rHF3ocau4I4FR-VDBXU3KwXtrWcyAUy3CTwOlvEtBm2Tyy0YawjRPqfK31TwjKm8mb6kP7r/s16000/sysmon_unknown2.png"></a>문제는 네트워크 이벤트가 워낙 대량이라 작업이 좀 번거로움. 이때 <a href="https://docs.splunk.com/Documentation/Splunk/9.3.1/SearchReference/Join" target="_blank">join</a>이 쉬운 해결책이 될 수 있다.&nbsp;<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjiiWhigPV96Ge_hyphenhyphenD374IF444M-DuJqIi14muVZRylK2wgRGLNDOeAoc_zyXuQoIlm_95oEvkZkNSLx1kLIU1vueCE1i2P1ISbhdc3KxAlXCnT0cUZAHtXKibNRUxJkcOCeSj-Mt31RJZ-ZgSEeO4Q9-9Q3CACwj1LasKA0Ael8Qby0KhiMNnb52HwN9i/s1176/splunk_join.png"><img data-original-height="720" data-original-width="1176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgjiiWhigPV96Ge_hyphenhyphenD374IF444M-DuJqIi14muVZRylK2wgRGLNDOeAoc_zyXuQoIlm_95oEvkZkNSLx1kLIU1vueCE1i2P1ISbhdc3KxAlXCnT0cUZAHtXKibNRUxJkcOCeSj-Mt31RJZ-ZgSEeO4Q9-9Q3CACwj1LasKA0Ael8Qby0KhiMNnb52HwN9i/s16000/splunk_join.png"></a>스플렁크 조인은 교집합이 존재하는 주 검색과 하위 검색 결과를 결합하는 방식.<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDSLUv3oDEXQ-9sy5KoMsF7sbrP5BPudNKH8WUshE5aqGhDWnSuj1LAhe9BAXTGDd3VKuC1waTq1O1TfLvAdE-oPGo9rwEfRCH_o_1264Ki_w1Dy7DWeSryFjnbH49gsTpPmYGBaYR5mwVYgBtPvouDaIh7gbHRO_8a-y5KHs-d5VZ1jn12ubo_Jym0lWy/s2000/splunk_join2.png"><img data-original-height="1087" data-original-width="2000" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDSLUv3oDEXQ-9sy5KoMsF7sbrP5BPudNKH8WUshE5aqGhDWnSuj1LAhe9BAXTGDd3VKuC1waTq1O1TfLvAdE-oPGo9rwEfRCH_o_1264Ki_w1Dy7DWeSryFjnbH49gsTpPmYGBaYR5mwVYgBtPvouDaIh7gbHRO_8a-y5KHs-d5VZ1jn12ubo_Jym0lWy/s16000/splunk_join2.png"></a>그런데 집계 작업은 하위 검색 결과만 보여준다. 원본 이벤트만 볼거라면 상관 없지만, 집계 작업 시엔 보고 싶은 데이터가 하위 검색 결과에 포함되어야 한다는 얘기.<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji72vXwrUGcyzZhFGn4VnOxxIdfTWFfDqNlib49DRA2kSfyY_TuoeDPt3bEe9nHo2Hotjeknnj6S6hyphenhyphen61A6bYrX134wLmkiSgAcd4G9qQcfkjrML7g1PRuwzz2lD6LRcJZ7mbWK3bJDijhnyHEuxEGKZ-2DKv4_LwUSv_0pSCAAcVU_hf9kxBWvowy4_vM/s1176/splunk_join3.png"><img data-original-height="720" data-original-width="1176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji72vXwrUGcyzZhFGn4VnOxxIdfTWFfDqNlib49DRA2kSfyY_TuoeDPt3bEe9nHo2Hotjeknnj6S6hyphenhyphen61A6bYrX134wLmkiSgAcd4G9qQcfkjrML7g1PRuwzz2lD6LRcJZ7mbWK3bJDijhnyHEuxEGKZ-2DKv4_LwUSv_0pSCAAcVU_hf9kxBWvowy4_vM/s16000/splunk_join3.png"></a>참고로 join 구문을 빼면 <a href="https://docs.splunk.com/Documentation/Splunk/9.3.1/Search/Aboutsubsearches#How_subsearches_work" target="_blank">하위 검색이 주 검색의 조건문으로 동작</a>하기 때문에 더 간편하게 원하는 결과를 얻을 수도 있다. 물론 조건을 명확히 지정해줘야 함.<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIG1acEaqj-AwLt8a_DRxE4y5IdovFoLRScNfQ7nzmiQOBnvRHObynMV8Dj4OpBvprGpGja-Inen7Hcy4s-vnlRNrAjygXtBRVPWdCh_SlxfdSYZc5K6mr3W9OgbMbXfWodDc-yDtrK1VayFpm-4kqfBTAcjYx5uhquO-E1zj03EIqDV-KWoSTaDgq4zET/s1132/subsearch_condition.png"><img data-original-height="720" data-original-width="1132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiIG1acEaqj-AwLt8a_DRxE4y5IdovFoLRScNfQ7nzmiQOBnvRHObynMV8Dj4OpBvprGpGja-Inen7Hcy4s-vnlRNrAjygXtBRVPWdCh_SlxfdSYZc5K6mr3W9OgbMbXfWodDc-yDtrK1VayFpm-4kqfBTAcjYx5uhquO-E1zj03EIqDV-KWoSTaDgq4zET/s16000/subsearch_condition.png"></a><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgm1ArB35buCmrHuQdyGKIDfS30hZgvBIgy6qqxiKIc4u4Hc9cQZz-8LW8BukamNX2d7PdtPC_YvzhAmIa7EzD_nfVxiDaS3P8_XfO6tSPImlqTgCUJrBcY-byvvfBD2HheQVY2UrTz_GxCWGO0PkvP12iOSUZSw7ZBM2sp4wefRNO2h4Uvgkrdev3m6DOt/s1006/splunk_transaction.png"><img data-original-height="720" data-original-width="1006" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgm1ArB35buCmrHuQdyGKIDfS30hZgvBIgy6qqxiKIc4u4Hc9cQZz-8LW8BukamNX2d7PdtPC_YvzhAmIa7EzD_nfVxiDaS3P8_XfO6tSPImlqTgCUJrBcY-byvvfBD2HheQVY2UrTz_GxCWGO0PkvP12iOSUZSw7ZBM2sp4wefRNO2h4Uvgkrdev3m6DOt/s16000/splunk_transaction.png"></a>한 눈에 두 이벤트를 확인할 수 있으니 가장 직관적이라고 할 수 있다. 문제는 두 이벤트의 발생 간격이 일정하지 않아서(..)<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyRTpWaqm-Dadx-wrNo_ih1oOXElmwY_4rltEIgTXMSCnpHV20FLowJ5LjLvV_KsVOYNk4bWNo5T15xxWjtn-bqvDTfjrJopBIlzkeetBQ2DMFvESuGeHyopew3vlYP6khRzMUCMCJQ9F_nRA83RbqWyRUylyOxZJJcMw2nnxYnTtr-LX5oxbwI0lt2rQH/s1178/splunk_transaction2.png"><img data-original-height="720" data-original-width="1178" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyRTpWaqm-Dadx-wrNo_ih1oOXElmwY_4rltEIgTXMSCnpHV20FLowJ5LjLvV_KsVOYNk4bWNo5T15xxWjtn-bqvDTfjrJopBIlzkeetBQ2DMFvESuGeHyopew3vlYP6khRzMUCMCJQ9F_nRA83RbqWyRUylyOxZJJcMw2nnxYnTtr-LX5oxbwI0lt2rQH/s16000/splunk_transaction2.png"></a>관련 글<div><ul><li><a href="https://kangmyounghun.blogspot.com/2021/05/splunk-join-3rd.html" target="">Splunk의 Join - 3rd</a></li><li><a href="https://kangmyounghun.blogspot.com/2021/03/splunk-join.html" target="">Splunk의 Join</a></li><li><a href="https://kangmyounghun.blogspot.com/2021/07/splunk-lookup.html" target="">Splunk의 lookup</a></li><li><a href="https://kangmyounghun.blogspot.com/2022/10/join.html" target="">엘라스틱의 Join</a></li></ul></div>

</div></div>

케세라세라

sysmon 이벤트 중 네트워크(3)와 DNS(22) 이벤트는 가끔 프로세스명 추출에 실패한다.
이때 기본 네트워크 이벤트(5156)와 pid를 대조하면 실제 사용된 프로세스를 확인할 수 있다. DNS 조회를 했다는 얘기는 네트워크를 사용했다는 뜻이니까. 
문제는 네트워크 이벤트가 워낙 대량이라 작업이 좀 번거로움. 이때 join이 쉬운 해결책이 될 수 있다. 
스플렁크 조인은 교집합이 존재하는 주 검색과 하위 검색 결과를 결합하는 방식.
그런데 집계 작업은 하위 검색 결과만 보여준다. 원본 이벤트만 볼거라면 상관 없지만, 집계 작업 시엔 보고 싶은 데이터가 하위 검색 결과에 포함되어야 한다는 얘기.
참고로 join 구문을 빼면 하위 검색이 주 검색의 조건문으로 동작하기 때문에 더 간편하게 원하는 결과를 얻을 수도 있다. 물론 조건을 명확히 지정해줘야 함.
22와 5156 이벤트를 같이 보고 싶다면 transaction 명령 추천.
한 눈에 두 이벤트를 확인할 수 있으니 가장 직관적이라고 할 수 있다. 문제는 두 이벤트의 발생 간격이 일정하지 않아서(..)
관련 글
Splunk의 Join - 3rd
Splunk의 Join
Splunk의 lookup
엘라스틱의 Join

Splunk의 Join - 4th

댓글