Splunk DB Connect
재시작하면 추가된거 확인가능
jdk가 설치된 경로를 작성하고 저장 버튼 클릭
에러가 뜨는게 정상적?이다.
설정>서버 컨트롤 로 이동해서 스플렁크 다시 시작 버튼으로 재시작 한다.
재시작 후에 다시 splunk db connect로 이동하면?
정상적으로 작동하는 것을 볼 수 있다.
mysql connector 드라이버 설치
설정>Settings>Drivers
현재는 mysql 드라이버가 설정되어 있지 않다.
위 폴더에 해당 파일 붙여넣고
다시로드 클릭
MySQL 연동 완료
DB 계정 정보 등록
설정>Databases>Idnetites>New Identity>Basic Identity
Identity Name: snort_id
사용자 이름: root
암호: no1ids
DB 연결 정보 등록
이제는 연결 정책 만들거임
ssl 통신을 이용하지 않기 때문에 JDBC URL을 편집해서 useSSL 값을 false로 변경한다.
DB 연동 설정
Input > DB 연동 설정 > Batch 유형(전체 연동)
select a.cid, a.timestamp, b.sig_name, inet_ntoa(c.ip_src), inet_ntoa(c.ip_dst), unhex(d.data_payload)
from event a, signature b, iphdr c, data d
where a.signature = b.sig_id
and a.sid = c.sid and a.cid = c.cid
and a.sid = d.sid and a.cid = d.cid
인덱스를 먼저 만들고
barnyard와 snort 실행 후에 핑을 보내면 로그가 추가되는 것을 확인할 수 있다.
Input > DB 연동 설정 > Rising 유형(증분 연동)
기존 snort_db 인덱스와 input 정책 삭제하고 다시 설정함.
snortdb 인덱스 만들고 input 정책은 위와 같이 설정
'Security' 카테고리의 다른 글
| [Docker] 컨테이너 기반의 로드밸런싱 구축 (0) | 2025.04.15 |
|---|---|
| [Docker] 도커 컨테이너 자원 제한(보안 관점에서의 최적화) (0) | 2025.04.14 |
| [Docker] 도커 컨테이너 전체 삭제 방법 (0) | 2025.04.14 |
| [Docker] 도커 이미지를 생성해서 배포 (보안 고려) (0) | 2025.04.14 |
| [Splunk] Splunk 설치 및 Splunk Forwarder와 Indexer 연동 (0) | 2025.04.02 |