Splunk의 Depends 패널을 사용하여 편리한 드릴다운 생성하기

이전 기사에서는 드릴다운을 사용하여 외부 웹 리소스와의 간단한 통합을 살펴보았습니다. 놓쳤다면 링크를 따라가세요: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/오늘 우리는 Splunk에서 드릴다운의 또 다른 흥미로운 변형인 종속 패널을 알아볼 것입니다.

Splunk의 종속 패널: 대시보드에서 드릴다운을 사용하는 흥미로운 방법

대시보드 테이블에서 이벤트에 대한 더 자세한 정보를 얻기 위해 다른 이벤트로 드릴다운해야 할 때가 자주 있습니다.

예를 들어, 우리는 서비스에 대한 잠재적인 무차별 암호 공격을 보여주는 이벤트 테이블을 가지고 있습니다.

그 이벤트에 대한 검색은 다음과 같습니다:

대시보드의 테이블에서 누군가가 한 호스트에서 Splunk 서버로 인증을 시도하였으나 11번 인증에 실패한 것을 볼 수 있습니다. 호스트 10.10.30.30에서 누군가가 Splunk 서버의 사용자 자격 증명을 무차별 암호 공격으로 시도한 것처럼 보입니다.

좋습니다, 이 호스트에 대한 추가 조사를 위해 네트워크 통계를 살펴보겠습니다. 이 경우, 이 테이블에서 소스 토큰을 사용하여 다른 테이블로 드릴다운하는 것이 편리합니다. 검색을 클릭하면 오른쪽에 나타날 테이블, 즉 종속 패널을 사용합니다. 오른쪽에는 해당 호스트에서의 모든 연결을 볼 수 있습니다 (이는 종속 패널의 예입니다).

따라서 연결에 대한 정보를 담은 두 번째 테이블 패널을 만들어 대시보드에 저장해야 합니다:

index=* tag=network src_ip=10.10.30.30 | table _time src_ip dest_ip dest_port

이제 대시보드에 독립적인 검색이 있는 두 개의 독립 패널이 있습니다:

대시보드의 소스 코드는 다음과 같습니다:

이제 첫 번째 테이블의 src 필드를 클릭하여 두 번째 테이블이 나타나도록 만들고, 첫 번째 테이블의 값을 두 번째 테이블로 대체하겠습니다.

첫 번째 패널에서 “src_ip_brute” 토큰으로 드릴다운을 선언합니다:

    <drilldown>

      <set token=”src_ip_brute”>$row.src$</set>

    </drilldown>

두 번째 테이블에서 이 토큰의 값을 사용할 것입니다:

index=* tag=network src_ip=$src_ip_brute$ | table _time src_ip dest_ip dest_port

이제 패널 태그에 ‘depends’ 옵션을 추가해야 합니다. 대시보드의 소스는 다음과 같습니다:

결과적으로 첫 번째 패널에서 검색을 클릭할 때만 표시되는, 첫 번째 패널의 값이 대체된 두 번째 패널을 가지게 됩니다:

이 기사에서는 이벤트의 세부 사항에 집중하고 다른 이벤트에서 추가 정보를 획득할 수 있는 패널과 대시보드 구축의 또 다른 흥미로운 기능을 공부했습니다. 드릴다운 생성을 위한 특정 사례를 설명했으며, 이 방법을 사용하여 모든 대시보드와 그래프를 더욱 정보가 풍부하게 만들어 모든 사건의 조사를 용이하고 신속하게 할 수 있습니다.