반응형 filebeat1 Wazuh SIEM에서 Syslog 연동 실습 (2편) - Rule 작성부터 대시보드까지 🔹 들어가며지난번, Wazuh SIEM에서 KMS 로그를 수집하고 Decoder로 파싱하는 과정을 다뤘습니다.1편 핵심 요약:archives.log: 모든 원본 로그 저장 (Rule 무관)alerts.log: Rule 매칭된 로그만 저장Decoder: 로그 파싱(이해/구조화) 역할log_format: syslog 선택wazuh-logtest: 즉시 테스트 도구이번에는 Decoder로 파싱한 로그를 실제 Alert로 만들고, 대시보드를 통해 확인하는 파이프라인을 구현해보았습니다. 🔹 3단계: Rule 작성 - 첫 번째 함정Rule의 역할 복습1편에서 배웠듯이:Decoder: 로그 파싱 (이해/구조화)Rule: 위협 탐지 (조건 검사/Alert 생성)* Decoder가 파싱한 로그에 Rule을 적용해서 .. 2025. 12. 14. 이전 1 다음 반응형