logstash filter

엘라스틱서치를 이용하여 전사 보안 장비들의 모든 로그를 수집중에 있습니다. 이기종 다양한 벤더들의 로그를 엘라스틱 스택에 저장하기 위해서는 로그 수집 전처리 과정에서 filter를 통해 중요한 필드들이 누락되지 않도록 커스터마이징을 해야합니다.   상단 보안 장비중 APT, WAF, IPS등 다양한 보안 장비를 운영중입니다.  다양한 이기종 벤더 보안 장비를 통해 발생하는 로그는 하루에도 수천~수만 건 발생합니다. 정말 중요한 보안 … 더 읽기

현재 재직 중인 회사에서는 수많은 보안장비와 보안 솔루션의 전체 로그를 Elastic Stack 으로 저장하여 보관중입니다. Elastic을 SIEM 으로 활용하고있습니다. 다양한 여러 이기종 벤더이 보안 로그를 Elasticsearch 플랫폼으로 통합 저장 시 전처리 부분 Logstash 서버에서 Parsing이 정상적으로 되야 보안로그가 최종적으로 엘라스틱 스택에 저장 보관되는것입니다.   벤더별 수많은 보안 장비 Syslog 형태는 모두 다르며, logstash 서버에서 filter … 더 읽기