elasticsearch elktail script 활용 TIP

현재 아래와 같이 구성하여 운영중 몇 가지 불편한점에 대한 개선책 구성보안 이벤트 로그(F/W, IPS, WAF, 중요 보안장비) -> Arcsight -> ELK Stack (일일 평균 약 400G) 불편한점1. kibana 검색 화면으로 특정 Query에 대한 결과를 볼때 스크롤에 대한 압박 (row 수가 많을때) 특정 시간대를 기준으로 검색시 (예: 1시간 이전 부터, 5분 전부터) 2. 결과 값에 대한 text 형태로 file 저장이 필요할때가 많음 3. 특정 Query에 대해 저장 후 불러오기는 가능하나, 스케쥴 등록 기능으로 지속적으로 특정 쿼리를 실행하고 결과를 보고 싶을때 (무료 버전은 불가) 위와 같이 몇 가지 불편한 사항에 대하여 리눅스 스크립트 + elktail 을 활용하면 개선책을 ..