Sysmon + ELK 연동 방법

쉬운 방안 : sysmon – nxlog – logstash – elasticsearch – kibana

장점 : 쉽게 설정 가능하다.

단점 : SPOF 문제 발생(logstash)에 대응하기 힘들다.

 

복잡하지만 안정적인 방안 : sysmon – winlogbeat – elasticsearch(ingest node) – kibana

장점 : 안정적인 서비스 가능(ingest 노드에 1대에 장애가 생겨도 클러스터링 구성에 의해 서비스 중단 없음)

단점 : 클러스터 구성에서 가능한 구조이기 때문에 서버 비용 발생

 

분석 서버가 1대인 곳은 당연히 logstash를 사용하는게 맞고, 분석 서버가 10대 이상 둘 수 있는 곳은 당연히 ingest node로 전송하는게 맞다.