선수로 산다, 때론 좋은 코치로

windows 10에서 redis 사용하기 - update 몇 년 전(2018년)에 windows 10에서 redis 사용하기라는 글을 올렸습니다. 제품 개발할 때 일반 DBMS 대신 elasticsearch를 사용하고 있었을 때였습니다. IDS에서 탐지한 이벤트를 엘라스틱서치에 입력하기 위해서 redis를 사용하려고 했을겁니다. 윈도우즈를 지원하지 않는 redis를 윈도우에서 사용하려면 어떻게 할까요? 세월이 흘렀으니 몇가지 상황을 정리해 보자면 레디스(현재 6.0.8)는 여전히 윈도우를 지원하지 않습니다. 윈도우는 WSL를 이용하여 cygwin 같은 도구 없이리눅스를 사용할 수 있습니다. 게다가 WSL2로 업그레이드 되었습니다. 윈도우 홈버전에서는 VirtualBox를 활용하여 docker(Dock..

suricata의 로그를 kibana로 모니터링하기 kibana로 모니터링하기 위해서는 데이터를 elasticsearch에 넣어야 한다. elasticsearch에 데이터를 넣으려면 logstash나 filebeat를 이용하면 되는데, pfSense에 포함된 suricata를 이용하면 logstash나 filebeat를 이용하기 어렵다. 어려운 이유는 pfSense에 있는 suricata의 alert log를 elastic stack으로 모니터링하기를 참고하기 바란다. suricata는 redis에 로그를 전송할 수 있다. 따라서 suricata + redis + logstash + elasticsearch + kibana 로 연결이 가능하다. suricata 설정(suricata.yaml) ...더보기..

pfSense에 있는 suricata의 alert log를 elastic stack으로 모니터링하기suricata + elastic stackLogstash Kibana and Suricata JSON outputSuricata 2.0rc1와 Kibana 3 버전을 이용한 방식suricata에서 eve.json 파일로 로그를 남기도록 설정한다.logstash에서 eve.json 파일을 json codec 으로 읽어들인다 Suricata + ELK5 + KTS5suricata에서 eve.json 파일로 로그를 남기도록 설정한다.filebeat를 설치하여 eve.json 파일을 logstash로 전송한다. pfsense + suricata + elastic stackpfsense는 OS가 BSD 기반입니다...

elasticsearch on docker - wsl(windows subsystem linux)에서 안됩니다.정확하게는 Windows 10 Home 버전, wsl로 ubuntu를 설치한 환경에서는 docker를 사용할 수 없습니다.wsl + ubuntu + docker 로 검색하면 찾을 수 있는 대부분의 문서는 docker client를 설치하는 방법을 설명하고 있습니다. 어렵지는 않지면 여러 절차를 따라해서 설치하고 나면 마지막에 docker server와 연결해야 한다고 합니다.wsl은 docker server를 지원하지 않습니다. docker server는 docker for windows를 설치해야 합니다. docker for windows는 windows 10 pro 버전에 설치할 수 있습니다..

logstash 6.2.3 + java 10 오류elastic이 6.2.3으로 업데이트되었습니다.java 10도 릴리즈 되었습니다.elastic에서 최근에 java 9을 지원했기 때문에 java 10도 지원될 수도 있겠다고 생각해서 설치했습니다.수정: elasticsearch-6.2.3은 java 9를 지원하지만 logstash-6.2.3은 지원하지 않습니다.java 9를 설치한 후에 logstash-6.2.3을 실행하면 아래와 같은 에러가 발생합니다. 정상적인 에러입니다. 이렇게 에러가 발생했다면 오류라고 생각하지 않았을테고, 아래와 같은 여러 시도를 하지 않았을겁니다. 아래 내용은 logstash-6.2.3과 java 9에서 정상적으로 동작하지 않아서 직접 테스트하면서 기록한 내용입니다. 그런데 삽질..

[elastic] 업그레이드 방법 - rolling upgrade elastic stack 6.2가 릴리즈됐습니다. 바로 6.2.1로 업그레이드 되었습니다.https://www.elastic.co/blog/elastic-stack-6-2-0-releasedhttps://www.elastic.co/blog/elasticsearch-6-2-1-released SAML Support - single sign onAudit FilteringSearch Quality and the New Ranking Evaluation APIWell Known Text Support Better Programmatic Access to the Task ManagerJava 9 Support 기존에 사용하던 6.0을 6.2로 업..

logstash에서 syslog 분석 elasticsearch에서 syslog를 분석하기 위해서 syslog 수집이 필요합니다. logstash에서 syslog를 수집하여 elasticsearch로 전송하는 방법을 사용하니, 몇 가지 궁금한 점이 있습니다.syslog 수집의 안정성 -> 별도 데몬을 두는 것이 좋은가?syslog의 원본 메시지 저장 -> logstash의 syslog input이 syslog를 파싱한 후에 넘겨줍니다. 엘라스틱 블로그 자료 중에 Ubuntu 14.04에서 log를 처리하는 방법에 관한 내용이 있습니다.https://www.elastic.co/blog/how-to-centralize-logs-with-rsyslog-logstash-and-elasticsearch-on-ubu..