1. 설치 구성
Splunk에 네트워크 계층(Zeek), 엔드포인트 계층 로그(Sysmon)를 설치하여 분석할 예정이다.
2. Zeek 구축
네트워크 층 프로토콜을 모니터링할 수 있는 프로그램이다.
Connection정보, DNS, FTP, SSH,HTTP, SSL RDP, SMTP 등 다양한 프로토콜 로그를 수집한다.
설치는 Ubuntu에서 진행하였다.
1) Zeek 설치
Zeek를 설치하기 이전에 실행에 필요할 필수 라이브러리를 설치한다.
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev
git clone을 통해 zeek 소스코드를 내려받는다.
sudo git clone --recursive https://github.com/zeek/zeek
설치한 zeek 디렉토리로 이동 후 설치 대상 디렉토리를 /app/zeek로 설정한다. (default 경로는 /usr/local/zeek이다.)
sudo ./configure --prefix=app/zeek
3. Sysmon 구축
Sysmon은 윈도우 이벤트 로그를 보완하기 위한 도구이다.
설치는 Window10에서 진행 하였다.
1) Sysmon 다운로드 및 설치
다운로드 링크: https://download.sysinternals.com/files/Sysmon.zip
다운로드 후 cmd에서 명령어를 입력하여 설치한다. (x86, x64에 맞는 exe파일 실행)
Sysmon64.exe -accepteula -i
-accepteula 옵션은 자동으로 라이선스에 동의한다는 옵션이다.
a
2) Sysmon 설치 확인
이벤트 뷰어 → 응용프로그램 및 서비스 로그 → Microsofr → Windows → Sysmon → Operational
이벤트 저장 용량은 하루에 64MB 정도이므로 저장 용량을 임의로 조정도 가능하다.
Sysmon v9.0에서는 프로세스 생성, 삭제, 드라이버 로드 등 총 18개의 Event ID로 구분하고 있다.
Sysmon 생성 이벤트 목록: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
'Log Analysis > Splunk' 카테고리의 다른 글
Splunk 대시보드 구축 (0) | 2021.04.24 |
---|---|
Splunk 차트 시각화 (chart, timechart) (0) | 2021.04.24 |
Splunk 자주 사용하는 명령어 정리 (0) | 2020.09.11 |
Splunk 검색 - 필드(Field) 및 파이프라인(|) 이용하기 (2) | 2020.07.24 |
Splunk 검색 - 시간 연산자 이용하기 (0) | 2020.07.23 |
공부&일상 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요! 질문은 언제나 환영입니다😊