Kwing

과부하 테스트를 위해서 어제 펄 스크립트를 작성하여 실행하고 잤더니 결과는 대만족입니다.

소스포트를 1씩 늘려가면서 오펜스를 소스포트 기반으로 뜨게 만들었습니다.

use strict;
use warnings;
my $srcpt;
my $content;

for(my $i = 0; $i < 500000; $i++) {
	open (TEXT, "+<offense500k.log");
	chomp($content = <TEXT>);
	if($content =~ /srcport=(\d+)/){
		$srcpt = $1 + 1;
	};
	$content =~ s/srcport=(\d+)/srcport=$srcpt/;
	seek(TEXT,0,0);
	print "TEST log: ", $content, "!\n";
	print TEXT $content;
	close TEXT;
	system '/opt/qradar/bin/logrun.pl -u 192.168.0.10 -f offense500k.log 1';
	print "Success number", $i, "!\n";
};

일단 50만개를 만들어줄거라서 for문을 열었습니다.

open 함수로 샘플 로그파일을 입출력모드로 열고

샘플 로그파일이 한줄짜리라서 chomp로 변수 $content에 할당했습니다.

로그파일에 있는 소스포트를 받기위해 if문을 작성하여 변수 $srcpt에 1을 더해 저장했습니다.

$content 내용에서 srcport를 정규식으로 찾은 후, 아까 if문에서 1을 더한 $srcpt로 치환했습니다.

seek 함수는 입력 포인트를 처음으로 이동하게 하였습니다. (맨 끝에 추가가 아닌 덮어쓰기를 위해서)

로그가 제대로 바뀌었는지 터미널에 바뀐 로그를 출력하고

print TEXT $content; 에서 샘플 로그 파일에 바뀐 로그를 덮어씌우게 됩니다.

close로 파일을 닫고

system으로 QRadar의 logrun.pl 명령어를 작성해주면 끝입니다.

펄 스크립트는 처음 써봤는데 요즘은 덜 쓰는 언어이지만 간단한 명령을 실행할때 편합니다.

카뱅이후로 공모주 할 생각이 없는데
자꾸 카톡이 와서 짜증나게 만들어 수신거부를 하려니까
저런식으로 설명을 해놓아서 열불받았는데요.

1대1 문의를 받아보니 이렇게하면 된다고합니다.

카카오톡 > 하단 제일 오른쪽 더보기(… ) > Pay클릭 > 상단 서비스클릭 > 첫번째메뉴 설정 클릭 > 가장 아래의 서비스 해지 및 탈퇴>공모주알리미서비스 해지

이렇게 설명하니 엄청 쉽게 따라가는데
대체 누가 저런 식으로 표현을 해놓았을까요..

참고로 카카오페이 알림톡을 차단하면 업비트같은 페이 인증을 통하는 서비스가 작동안합니다.
불편하더라도 직접 해당 서비스를 해지하는게 좋아요.

1. 설치하려는 서버의 RAID 구성

위 표는 IBM에서 권장하는 RAID 구성이고, 사용자의 니즈에 맞춰 구성하면 됩니다.

RAID설명: https://raisonde.tistory.com/entry/RAID0부터-RAID7까지-모든-RAID구성을-알아보자 [지식잡식]

2. IBM에서 다운로드 받는 파일이 QRFULL ISO인지 확인

QRFULL 이미지 파일 하나만 다운로드 받아두면 APP host, QNI, collector, processor, data node, aio console 아무거나 설치가 가능하니 QRFULL 이미지 파일과 해쉬 파일에 해당하는 sha256 파일을 꼭 다운로드하시길 권장합니다.

3. 서버 자원 할당

QRadar installation Guide를 살펴보면, 리눅스 버젼, 비트버젼, 최소 RAM, 최소 CPU, 최소 Storage 등

다양한 조건을 맞춰야 정상적으로 작동합니다.

7.4부터는 리눅스 버젼 7.7이상, 7.3.3은 리눅스 7.2 64bit

App Host의 최소 RAM은 12GB, All-in-One Console 3199 (5000 EPS and 200,000 FPM)의 최소 RAM은 32GB

App Host의 최소 CPU코어는 4개, All-in-One Console 3199 (5000 EPS and 200,000 FPM)의 최소 CPU코어는 16개

저장공간은 최소 256GB이상 들어가야합니다.

이벤트와 플로우를 저장하는 서버면 테라단위로 있어야 /store 파티션을 넉넉하게 사용할 수 있습니다.

위 정보는 구글에 검색하면 나오기 때문에

자주 설치하다보면 자연스럽게 외워집니다.

https://www.ibm.com/docs/en/SS42VS_7.3.3/com.ibm.qradar.doc/b_siem_inst.pdf

4. 설정할 Hostname, IP, DNS 적어놓기

레드햇 리눅스의 설치와 QRadar 설치를 마치면 네트워크 설정으로 넘어가게 됩니다.

QRadar의 구조는 단순합니다.

올인원 콘솔이 있고

콘솔에 연결된 이벤트 프로세서 또는 플로우 프로세서

콘솔 또는 프로세서에 연결된 이벤트 콜렉터 또는 플로우 콜렉터(비슷하지만 다른 말로 QNI)

데이터 노드가 각 지점마다 연결될 수 있습니다.

콘솔과 프로세서는 HA 고가용성으로 Primary, Secondary로 이중화를 할 수 있습니다.

HA를 뺀 구조도는 대충 이렇게 그려집니다.

데이터노드를 프로세서에 붙일 수도, 콘솔에 붙일 수 있습니다.

QRadar는 라이센스만 지원한다면 최대 96TB까지 이벤트를 실시간 분석할 수 있습니다.

그리고 CVE 기반의 취약점을 자동으로 진단하고 거의 모든 기능을 UI로만 관리할 수 있습니다.

이제 그림에 나온 각 장비의 역할을 알아볼까요?

• Event Collector: 이벤트 로그 수집, 전달
• Event Processor: 수집된 이벤트 로그를 받아서 분석, 파싱, 정규화
• QFlow 또는 QRadar Network Insight: 트래픽 수집, 전달
• Flow Processor: 수집된 트래픽을 받아서 파싱, 정규화
• Data Node: 이벤트나 트래픽을 저장만 해두는 공간
• All-in-one Console: 사용자 인터페이스와 실시간 이벤트 로그 및 트래픽 뷰 제공, Report, Offense, Asset 등 기능제공

장비를 알아봤으니 Daemon 서비스도 알아봅시다.

• tomcat: httpd 서비스, GUI에 내용 표시 (웹이 말썽이면 tomcat 재시작)
• hostcontext: 콘솔 및 관리 대상 호스트에서 실행되는 기본 프로세스, 모든 핵심 QRadar 프로세스 제어(tomcat, postgres, ariel, qflow 등)
• hostservices: 데몬 동작, 메세지 큐, QRadar 구성요소와 PostgreSQL 사이의 통신 지원
• ariel: DB 검색, 검색 ID 및 결과 조회
• ariel_proxy_server: 프로세스 검색
• ariel_query_server: sql cursor 포맷을 사용해 ariel_proxy_server에 결과 반환, 호스트 요청 수집
• ecs-ec-ingress: 이벤트 데이터 수집
• ecs-ec: 이벤트 데이터의 파싱 및 정규화
• ecs-ep: Rules, Routing, 이벤트 저장 및 분석

이 구조를 알아야 OSI 7 layer처럼 엉뚱한 곳에 시간낭비를 하는 일이 줄어듭니다.

초보인 제가 더 알아야하는 구조인 것이지요..

1관문 파랑, 빨강, 검은 늑대

먼저 1시, 2시, 4시, 5시, 7시, 8시, 10시, 11시 자리를 정하고 입장한다.

1시부터 무력화가 젤 쌘 워로드부터 자리를 정한다.

12시랑 6시를 제외한 나머지 자리는 구슬을 먹는자(1,2,4,5)와 안 먹는자(7,8,10,11)의 자리이다.

1관문 배틀아이템

[1] 체력물약 / [2] 만능물약 / [3] 회오리수류탄(회폭) / [4] 자유

보스 체력 45줄: 빨강과 파랑 장판

모든 공대원들은 9시나 한곳으로 집합

빨강 늑대의 할큄에 맞으면 출혈 이상걸림. 2스택이면 [2] 만능물약으로 해제

보스 체력 40줄: 늑대 난입

자신 캐릭터 머리위에 빨강/파랑 에임사이트 뜨는거보고

빨강이면 12시쪽으로 파랑이면 6시 방향으로 이동

금색구슬 버프가 생겼으면 난입한 늑대를 공격

보스 체력 35줄: 암흑 디버프

4중첩이면 [2] 만능 물약 사용

보스 체력 30줄: 결속의 구슬

처음에 정했던 구슬 자리에서

1시는 파랑색 구슬 -> 2시는 빨간색 구슬 -> 4시는 파랑색 구슬 -> 5시는 빨강색 구슬

차례대로 먹어줌. (먹은 사람은 보스한테 가서 회오리수류탄 + 무력화 스킬 사용)

순서가 안 왔는데 중간에 먹으면 안됨. 구슬을 번갈아가며 2쌍 먹어야함.

7시 8시 10시 11시는 구슬을 먹지않고 주변을 빙빙 돌며 피하기

※ 절대 보스에게 구슬 주면 안됨!!!

30줄 밑에서 파랑 늑대로 나오면

파랑 늑대가 초록색 손일 때 장판 조심

다른 늑대 난입시, 12시, 6시 동일하게 피하고 개패기

보스 체력 10줄: 공포

검은 안개 후 공포에 걸리면 Ctrl+왼쪽클릭 으로 핑을 찍어서 알리기

나머지 인원은 보스를 빠르게 무력화

이 게시판에는 제가 배웠던 큐레이더 내용.

어려워했던 내용들을 잘 정리해서 간결하게 설명할 것입니다.

왜냐하면 미래의 제가 큐레이더에 관련해서 다 잊어버려도 쉽게 따라할 수 있어야하거든요.

대신 민감한 정보들은 암호를 걸고 작성할 것입니다. (그 암호는 저를 알면 알 수 있어요.)

틀린 내용은 댓글로 수정해주시면 감사하겠습니다.

이제 1달차를 지나서 복잡하네요 ㅠㅠ

안냐세요!!

4년동안 못본 친구를 만나는데

적당한 음식 및 술집이 없더라구여

그래서 #스시아키라 를 다녀왔습니다!

친구가 결정한 곳이긴 한데 깔끔하고 맛있어요.

이게 외관입니다.

무언가 프라이빗하게 잘 꾸며놓지 않았나요?

실내도 엄청 간소해요.

예약제로 시끄럽지않게 10명이내로 받는거 같더라구요.

디너는 디너고

술이 빠질 수 없죠!

쉐프님의 추천을 받아서 #준마이다이긴쇼39를 주문했답니다.

39의 의미는 쌀을 39%만 갈아냈다는 의미에요.
다이긴죠 50(45)도 있었는데 그보다 상위 버젼이라고 할 수 있죠 엣헴..
도수는 17%이랍니다!

병당 15만원!
(주류백화점가면 9~10만원..)

향도 좋고 맛도 좋은데
반병 마시니까 취해서 그 뒤에는 잘 모르겠당..

전채요리가 좀 나왔는데
정신없이 먹다보니 사진을 안 찍었어요 ㅠㅠ

사진은 계란찜위에 샥스핀 올려져있었는데
샥스핀 처음먹어보지만 다 먹고 옆에서 설명하기 전까진 아예 몰랏고.. (존재감 조차 없었음)

계란찜이 이게 맞나? 너무 부드럽더라구요

그냥 살..살하기도 전에 녹아서 입맛만 다시게 됩니다

참치 뱃살 구운거였나?..

전 회 중에서 참치가 가장 좋아서요!

참치가 정말 다양하게 나왔는데 참치뱃살이랑 저 사진에 있는 참치 스테이크? ㅋㅋ 가장 맛있었어요.

아니 이건 뭐지..
요리가 수십가지는 나와서
대체 뭐가 뭔지 모르겠어요
적으면서 먹을 수도 없고

무슨 머릿고기였는데
와.. 미친듯이 맛있었어요

생선 조리를 이렇게 잘해도 되는건지?
특제 소스가 발라져있던데 그래도 너무 부드럽더라구요.

아무튼 젤 맛있었던 것 3가지를 골라보라고 한다면!

1. 참치 구운 뱃살
솨르르르 녹아내리는 참치..!
2. 준마이 다이긴죠 39
향이 무쳣다. 대신 다음날 머리 깨질 각오해야함
3. 머릿고기
부드러운 치즈빵을 씹는듯한 느낌
달달한 살
정말 신기한 맛

2시간이 훌쩍 지나갔네요.

다음에는 정식당이나 임프레션 노려보고 있어요.