[Splunk] Splunk DB Connect 추가 방법

Security

[Splunk] Splunk DB Connect 추가 방법

min8282 2025. 4. 11. 22:51

Splunk DB Connect

재시작하면 추가된거 확인가능

jdk가 설치된 경로를 작성하고 저장 버튼 클릭

에러가 뜨는게 정상적?이다.

설정>서버 컨트롤 로 이동해서 스플렁크 다시 시작 버튼으로 재시작 한다.

재시작 후에 다시 splunk db connect로 이동하면?

정상적으로 작동하는 것을 볼 수 있다.

mysql connector 드라이버 설치

설정>Settings>Drivers

현재는 mysql 드라이버가 설정되어 있지 않다.

위 폴더에 해당 파일 붙여넣고

다시로드 클릭

MySQL 연동 완료

DB 계정 정보 등록

설정>Databases>Idnetites>New Identity>Basic Identity

Identity Name: snort_id

사용자 이름: root

암호: no1ids

DB 연결 정보 등록

이제는 연결 정책 만들거임

ssl 통신을 이용하지 않기 때문에 JDBC URL을 편집해서 useSSL 값을 false로 변경한다.

DB 연동 설정

Input > DB 연동 설정 > Batch 유형(전체 연동)

select a.cid, a.timestamp, b.sig_name, inet_ntoa(c.ip_src), inet_ntoa(c.ip_dst), unhex(d.data_payload)
from event a, signature b, iphdr c, data d
where a.signature = b.sig_id
and a.sid = c.sid and a.cid = c.cid
and a.sid = d.sid and a.cid = d.cid

인덱스를 먼저 만들고

barnyard와 snort 실행 후에 핑을 보내면 로그가 추가되는 것을 확인할 수 있다.

Input > DB 연동 설정 > Rising 유형(증분 연동)

기존 snort_db 인덱스와 input 정책 삭제하고 다시 설정함.

snortdb 인덱스 만들고 input 정책은 위와 같이 설정