바이너리XML 포맷의 윈도우이벤트 파일을 splunk를 이용하여 파싱하기..

바이너리XML 포맷의 윈도우 이벤트 파일을 분석해야하는 경우, 일반적으로 윈도우 이벤트 뷰어, logparser 및 python-evt 라이브러리 등등 사용하여, 가독 가능한 포맷으로 변환한 후 분석을 수행합니다

최근에는 빅데이터 솔루션, 대표적으로, splunk등을 사용하여, 윈도우 이벤트 로그에 대해서도 분석을 수행합니다. 빅데이터 솔루션을 활용하면, 다양한 이기종 로그 간의 상관관계분석 및 대량의 윈도우 이벤트 로그 분석하는데 있어서 강점이 있습니다.

splunk 솔루션을 이용하여 윈도우 이벤트 로그 파일을 파싱할때, 바이너리 xml 파일 자체를 업로드하면, 자동으로 ascii로 파싱이 안되고, 바이너리 xml 자체를 인덱싱하게 됩니다. 바이너리 xml 파일을 splunk에 파일 업로드 하여 ascii 포맷으로 인덱싱하는 방법을 찾던 중, 아래 링크 사이트에서 제가 원하는 것을 포스팅한 글을 찾았습니다.

http://undernexus.com/2014/07/10/windows-eventlogs/

아래 캡쳐한 것은 위 링크 글을 참조하여, 맥북에 설치되어 있는 splunk에서 바이너리 xml 파일을 업로드하여, ascsii xml로 파싱하여 인덱싱한 것을 캡쳐한 것입니다.

Screen Shot 2015-10-31 at 11.16.57 AM

Screen Shot 2015-10-31 at 11.18.41 AM Screen Shot 2015-10-31 at 11.07.53 AM Screen Shot 2015-10-31 at 11.07.09 AM

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: