짱뚱짱.log

join을 사용해보면, 작업 검사에서 검색에 걸린 시간이 약 13초라고 쓰여있었다. 하지만 transaction을 사용하면 같은 결과에 6초 정도로 성능이 좋아진 걸 알 수 있다.Oracle VirtualBox – 가상 시스템 가져오기를 통해, 교육용으로 제공받은 snort.ova 파일을 불러온다. 참고로, *.ova 파일은 가상머신 이미지 파일이다. VirtualBox나 VMware 같은 가상머신 툴에서 이걸 불러오기만 하면, 이미 준비된 환경을 바로 띄워서 사용할 수 있다. 리눅스 가상머신이 하나 만들어 졌다.우선 스냅샷 하나 찍어놓기 설정- Expert 이 일반 메뉴에서 자원 관리가 가능하다. putty 실행 Appearance - change클릭해서 폰트설정을 바꿔준다. Appearance -..

익숙해지려면 계속해서 사용해보는 수밖에 없다. splunk접속정보는 localhost:8000설정 -> 서버 설정 -> 검색 기본 설정에서 검색 관련 설정도 변경이 가능하다. Search & Reporting - 작업을 눌러 검색에 걸린 시간도 알 수 있다.기본적으로 index=apachelog만 입력하면 모든 필드를 보여주고index=apachelog| fields uri 이렇게 원하는 필드를 볼수도 있다. index=apachelog| timechart count by methodsql의 groupby와 비슷한 문법. 메소드별로 보겠다는 뜻.시각화-차트에서 보고싶은 차트 종류(라인, 스택 등등) 선택 가능이래서 내가 만든 데이터는 분석하기가 쉬운데, 남이 만든 데이터는 분석하기가 어렵다. url고..

제공받은 secure.log 파일을 열어 정제할 정보만 추출해보기.새로운 vim파일을 열어 복붙하고, 정규표현식 치환을 이용해 필요한 정보만 남겨줬다.undo / redo 명령어로 되돌리며 실습 진행u: undoctrl+r: redo같은방법으로 /\W.*해서 process정보만 남긴 후 엑셀에 추가/\W.*:%s///undo 후 콜론만 지우기:%s/://알파벳만 검사(내가 찾고 싶은 문자만 검사 범위 지정)여기서 \v는 매직모드다./\v[a-z]+ :%s///pid값만 남겨놓으려면 대괄호가 남는데, 대괄호도 지우기:%s/\[//:%s/\]//이런식으로 pid만 남겨놓을 수 있다.다시 undo해서 etc필드만 남겨놓은 후 /\v^.{-0,}\s 해서 내가 원하는 범위만 검사.그리고 지워버리기 /\v^(\S..