[보안] Wazuh+ELK(SIEM)를 활용한 위협헌팅(Threat Hunting) 시스템 구축 및 운영실습 (기초)

해당 내용은 수강생인 (Airman 님) 께서 트러블 슈팅 관련하여 내용을 공유해주셨습니다

트러블슈팅 요약 : 리눅스 설치시 '영문'으로 설치 (인코딩 등 여러 문제로 인해 unattended.sh (쉘스크립트)가 정상적으로 동작을 안함

수업 중간에 아래의 명령을 수행하여 unattended 설치를 수행하라고 하는데 "영어가 아닌 다른 언어로 우분투를 설치했다면" 오류가 발생하여 설치 중에 중단됩니다. curl -so ~/unattended-installation.sh https://packages.wazuh.com/resources/4.2/open-distro/unattended-installation/unattended-installation.sh && bash ~/unattended-installation.sh -i 터미널 output: 쉘 스크립트 내의 332번째 줄에 피연산자가 없다 ~ 문제의 원인: 쉘스크립트의 331번째 줄에서 free -g 명령을 수행하여 Mem이라는 문자열을 찾아서 거기서 2번째 인자의 값을 찾겠다는 내용이 있는데 "이는 시스템의 언어가 영어가 아닌 다른 언어로 설치 했을 시 찾을 수 없어서 오류가 나타납니다." 먼저 해결 책으로는 처음부터 Ubuntu를 설치 할때 영어로 설치하자 입니다. 만약 다른 언어로 우분투를 설치했다면 아래의 과정을 통해서 영어로 변경하고 curl ~~ 명령을 수행하는것을 권장 합니다. locale -a 명령을 통해 en_US.UTF-8 이 있는지 찾습니다.

있다면) sudo update-locale LANG=en_US.UTF-8

없다면) sudo locale-gen en_US.UTF-8 수행 후 sudo update-locale LANG=en_US.UTF-8 수행

재부팅 할 필요 없이 시스템 변경 사항 적용*

있든지 없든지 간에 마지막으로 다음의 명령을 수행합니다 ) source /etc/default/locale

물론 언어를 굳이 바꾸지 않고 스크립트의 내용을 free -g | awk 'NR==2{print $2}' 이렇게 바꿀 수도 있겠지만 번거롭게 쉘스크립트의 해당 내용을 찾아가고 싶지 않아서 입니다. 실패 오류가 나타나고 나서 bash ~/unattended-installation.sh -i —overwrite 이렇게 다시 overwrite 옵션만 추가해서 수행하면 되지 않는가? 라고 할 수 있는데 이 또한 "결국엔 클린 설치가 제대로 되지 않아 뭔가 설치가 되어 있지 않다고 오류가 자꾸 나타납니다."