보안/프로젝트

스플렁크 설치하기

ispini 2026. 1. 31. 05:41

먼저 스플렁크가 어떤 시스템인지를 설명하자면, 

스플렁크는 ESM(Enterprise Security Management) 시스템에 속하는 솔루션으로, ESM을 전사적 보안 관리 시스템이라고도 부른다고 한다.

방화벽이나 IDS/IPS 등 여러 보안 솔루션들의 로그와 운영을 통합해 관리하는 솔루션으로 로그 중앙 집중 관리 및 로그를 이용한 통합분석과 연관분석을 지원하는 것이 특징이다.

보안 관제의 효율성 높이기 등 다양한 이유로 ESM이 쓰인다.

 

그럼 스플렁크(Splunk)는?

위에서 말한 ESM 솔루션 중 하나로, AI 바탕의 통합 보안 및 능동적 모니터링(옵저버빌리티) 기능을 제공하는 것이 특징인 보안 솔루션이다.

로그 수집 및 분석, 실시간 모니터링 및 경보, 관리 및 인증 기능 등을 같이 제공한다고 한다.

 

전 게시글에서 기록한 로그들을 스플렁크에 연동 및 커스텀화하기 위해 먼저 스플렁크를 구축하는 작업을 진행할 예정이다.

 

먼저 Splunk 홈페이지에 들어가 회원가입을 해 준다.

 

정보 입력 뒤 아래와 같은 화면이 나오면 이메일이 왔는지 확인해 인증을 진행한다.

근데 본인은 안 왔다. 이메일을 여러 개 제공해 봤지만 단 한 번도 인증 메일이 오지 않아서, 팀원의 도움을 받아 간신히 로그인할 수 있었고, 로그인 한 뒤 Enterprise 다운로드에 들어가면 나오는 wget 링크를 이용하여 서버에 스플렁크를 설치하였다.

wget -O splunk-10.0.2-e2d18b4767e9-linux-amd64.deb "[https://download.splunk.com/products/splunk/releases/10.0.2/linux/splunk-10.0.2-e2d18b4767e9-linux-amd64.deb](https://download.splunk.com/products/splunk/releases/10.0.2/linux/splunk-10.0.2-e2d18b4767e9-linux-amd64.deb)"

 

그 다음엔 아래 명령어를 입력해 패키지를 설치한다.

dpkg -i splunk-10.0.2-e2d18b4767e9-linux-amd64.deb

 

설치가 끝났으면, 아래 명령어로 스플렁크를 실행해 준다.

/opt/splunk/bin/splunk start

 

이후 아래와 같은 화면이 뜨면, 무사히 접속에 성공한 것이다.

 

이후 방화벽에서 포트포워딩 기능을 이용해 스플렁크 웹 페이지에 들어갈 수 있도록 포트를 열어준다.

(위 사진에서 8000번 포트를 이용해 웹 페이지가 열렸으므로 똑같이 8000번 포트와 매칭시키기)

 

잘 연결이 되었다면 위와 같이 메인 페이지가 뜰 것이다.

 

설치 과정에서 입력한 ID/PW를 입력한 뒤, 아래와 같이 관리 페이지가 뜨면 준비는 끝났다.

다음 게시글에선 프록시SQL 로그와의 연동 등을 작성할 예정이다.