여러 목격 검색 구성 기록을 생성하고 여러 로그 저장소를 쿼리하거나 검색 매개변수를 변경하는 동안 사용합니다.
시작하기 전에
필요한 역할: sn_si.admin
Splunk 인스턴스에 CIM 추가 기능을 설치해야 합니다.
저장된 검색 및 현재 위치 쿼리는 Splunk 통합에 대해서만 지원됩니다.
이 태스크 정보
또한 사이팅 검색 구성 기록을 생성하여 Splunk 엔터프라이즈 로그 저장소에 저장된 검색을 호출할 수 있습니다.
주:
검색 구성 쿼리는 Splunk CIM(공통 정보 모델)을 준수하기 위해 Splunk 로그 데이터를 사용합니다.
저장된 검색 구성을 사용하여 다음을 수행할 수 있습니다.
여러 이벤트 기록을 결합하는 사용자 지정 검색을 생성합니다.
디자인 효율적이고 효과적인 검색.
Splunk 저장된 검색에서 매개변수형 입력을 사용합니다.
기본 시스템에는 다음 이미지에 표시된 샘플 컨피그레이션이 포함되어 있습니다.
그림 1. 저장된 검색 구성
저장된 검색 및 Inplace 구성 쿼리는 예제 쿼리이며 사용자 환경에 적합한 매개 변수로 대체할 수 있습니다. 필요한 경우 저장된 검색 구성을 추가로 생성합니다. 저장된 검색 구성을 정의할 때 검색 쿼리의 이름과 매개변수는 Splunk 인스턴스에 정의된 저장된 구성과 일치해야 합니다. 이름과 매개변수가 동일하지 않으면 사이팅 검색을 수행할 때 정확한 결과가 표시되지 않을 수 있습니다.
주:
Splunk 인스턴스에서 검색, 보고서 및 경보 페이지로 이동하여 저장된 검색 쿼리를 찾습니다. Permissions( 권한 ) 링크를 클릭하여 Permissions(권한) 페이지로 이동합니다. All Apps(모든 앱) 라디오 버튼을 선택하고 Everyone(모두)에 대해 Read Permission(읽기 권한) 옵션을 활성화합니다. 이렇게 하면 저장된 검색어에 대해 공유 열 값이 비공개에서 앱으로 변경됩니다. 이 옵션을 설정하지 않으면 저장된 검색 쿼리가 결과를 반환하지 않을 수 있습니다.
저장된 검색 구성이 Splunk 인스턴스에 정의된 구성과 일치하는지 확인하려면 다음을 수행합니다.
다음으로 이동 설정 > 검색, 보고서 및 경보레이블이 표시됩니다.
앱 컨텍스트를모두로 변경합니다.
검색 보고서 목록이 표시됩니다.
저장된 검색 쿼리가 목록에 있는지 확인합니다.
예를 들어, 사이팅 검색 구성 양식에는 이메일 주소와 이메일 보낸 사람이 검색 매개변수로 포함되어 있습니다.그림 2. 사이팅 검색 구성 양식
Splunk 인스턴스에서 동일한 이름, 기본 저장된 검색 - 이메일, 이메일 주소 및 이메일 제목에 대한 동일한 검색 매개변수를 사용하여 저장된 검색을 정의합니다. 이름과 검색 매개변수가 동일하지 않으면 사이팅 검색에서 정확한 결과를 생성하지 않습니다.
프로시저
다음으로 이동 Security Operations > 통합 > 사이팅 검색 구성 을 클릭하고 새 기록을 만듭니다(필드 설명은 표 참조).
표 1. 사이팅 검색 구성 양식
필드
설명
이름
구성의 이름입니다.
저장된 검색 여부
이 옵션을 선택하면 저장된 검색 구성이 생성됩니다.
관찰 검색 소스
사이팅 검색의 소스입니다. Splunk 로그 저장소를 소스로 선택합니다.
활성
저장된 검색 상태에 대한 옵션입니다. 활성 검색 구성만 사이팅 검색을 수행하는 데 사용할 수 있습니다.
옵저버블 유형
옵저버블 유형은 IP, 해시 값, URL, 도메인 이름 등의 옵저버블 유형일 수 있습니다.
검색당 최대 옵저버블
검색에서 반환될 최대 옵저버블 수입니다.
검색
기본 검색 문자열은 $(observable)이지만 Splunk 로그 저장소에서 지원하는 매개 변수를 지정하여 고유한 검색 쿼리를 정의할 수 있습니다.
제출을 클릭합니다.
결과
목격 검색 구성 기록을 생성했습니다.
다음에 수행할 작업
검색 쿼리를 정의한 후 사이팅 검색 테스트 쿼리 생성을 클릭하고 옵저버블 값 목록을 지정하여 저장된 검색 구성을 기반으로 테스트 쿼리를 생성합니다.
