cribl-mcp

크리블 MCP 서버

Cribl API와 AI의 상호작용을 가능하게 하는 MCP(모델 컨텍스트 프로토콜) 서버입니다.

이 서버를 사용하면 AI 클라이언트가 표준화된 MCP 툴을 사용하여 Cribl 배포에서 데이터 작업을 검색하고 호출할 수 있습니다.

자세한 내용은 docs/ 디렉토리를 참조하세요. 문서 파일 목록은 다음과 같습니다.

• README.md (이 파일): 가장 높은 수준의 소개, 빠른 시작 지침, 매우 기본적인 예제 및 docs 디렉토리에 대한 링크를 제공합니다.
• docs/configuration.md : 구성에 필요한 환경 변수에 중점을 두고 인증 모드를 설명합니다. 순전히 설정에 관한 내용입니다.
• docs/usage.md : npx 또는 로컬 개발 명령을 통해 서버를 실행하는 방법과 MCP 클라이언트를 구성하여 서버에 연결하는 방법을 중점적으로 설명합니다. 도구를 호출하는 개념적인 예시를 제공합니다.
• docs/overview.md : README 파일과 특정 구성/사용법 문서 사이에 위치합니다. 서버가 제공하는 인증 관련 기능을 자세히 설명하고, 가장 중요한 것은 사용 가능한 도구와 해당 도구의 매개변수/출력, 그리고 향후 도구에 대한 자세한 참조 가이드를 제공한다는 점입니다.

시작하기

로컬에 설치하여 실행하거나 npx 통해 즉시 실행할 수 있습니다. npx 사용하면 Git, 종속성 또는 기타 빌드 도구를 설치할 필요가 없습니다. 두 가지 경우 모두 Node.js 16 이상 버전이 설치되어 있어야 합니다.

필수 조건

이 서버를 실행하려면 다음 사항을 확인하세요.

• Node.js가 설치되어 있습니다(버전 16 이상 권장)
• 인터넷 접속이 가능합니다(npm에서 MCP 서버 패키지를 가져오기 위해)

https://nodejs.org 에서 Node.js를 설치할 수 있습니다.

설정을 확인하려면:

지엑스피1

npx 로 빠르게 시작하기

참고: npx 실행하려면 서버가 성공적으로 연결될 수 있도록 필수 환경 변수(예: CRIBL_BASE_URL 및 인증 세부 정보)를 사용자 환경에서 설정하거나 명령줄에 직접 전달해야 합니다.

MCP 클라이언트에 맞는 JSON과 필수 변수를 포함한 고급 npx 사용 구성에 대해서는 docs/usage.md 참조하세요.

지역 개발

1. 코드 베이스를 저장할 상위 폴더로 이동합니다(복제하면 해당 폴더가 생성됩니다). 저장소를 복제합니다.
   git clone https://github.com/pebbletek/cribl-mcp.git cd cribl-mcp
2. 종속성 설치:
   npm install
3. .env.example 파일을 복사하고 필요한 값을 채웁니다.
   cp .env.example .env
4. mcp 서버를 실행, 빌드 및 시작하려면 usage.md > 로컬 개발을 참조하세요.

환경 변수와 인증에 대한 자세한 내용은 docs/configuration.md 참조하고, 서버 실행에 대한 자세한 내용은 docs/usage.md 참조하세요.

사용 가능한 도구

이 서버는 다음을 포함하여 Cribl과 상호 작용할 수 있는 도구를 제공합니다.

• 작업자 그룹/차량 목록
• 파이프라인 구성 가져오기/설정
• 소스 구성 가져오기
• 작업자 그룹 다시 시작
• 시스템 메트릭 쿼리(필터링 포함)

자세한 목록과 사용 지침은 docs/usage.md 참조하세요.

예시 사용(프롬프트)

MCP 클라이언트(예: Claude Desktop )를 통해 연결하면 사용 가능한 도구를 활용하는 자연어 프롬프트를 사용하여 Cribl 인스턴스와 상호 작용할 수 있습니다. 다음은 몇 가지 예입니다.

• 프롬프트: what sources are we ingesting?
  (MCP 클라이언트가 도구에 액세스할 수 있도록 허용해야 합니다)
  • 응답은 다음과 같습니다.
    수집된 소스에 대한 질문에 답변드리자면, Cribl Stream 환경에서 사용 가능한 데이터 소스를 확인해 보겠습니다.
    <Cribl(로컬)의 cribl_getSources에서 결과 보기>또한 Cribl Stream 환경에 어떤 파이프라인이 구성되어 있는지 확인해 보겠습니다.
    <Cribl(로컬)의 cribl_getPipelines에서 결과 보기>귀하의 Cribl Stream 환경에서 검색한 정보를 기반으로 귀하가 수집하는 소스는 다음과 같습니다.
    활성 데이터 소스
    Cribl Stream 인스턴스에는 여러 개의 구성된 데이터 소스가 있으며, 주요 데이터 소스는 다음과 같습니다.
    1. HTTP/HTTPS 소스:
       HTTP 소스(포트 10080)
       크리블 HTTP(포트 10200)
       Splunk HEC(포트 8088)...
    2. <기타>

    파이프라인 구성
    사용자 환경에는 특정 데이터 유형을 처리하기 위해 구성된 여러 파이프라인도 있습니다.

    1. Cisco ASA 이벤트 - Cisco ASA 보안 로그 필터링 및 샘플링
    2. Cisco eStreamer 데이터 - Cisco eStreamer 데이터를 처리합니다.
    3. Palo Alto 교통 이벤트 - Palo Alto 교통 로그 필터 및 샘플
    4. Windows 이벤트 로그 - Windows 보안 이벤트 로그를 처리합니다.

    이러한 파이프라인은 Cisco ASA 방화벽, Cisco eStreamer(Firepower/FTD 장치에서 발생할 가능성이 높음), Palo Alto Networks 방화벽 및 Windows 보안 이벤트에서 네트워크 보안 로그를 수집하고 있음을 나타냅니다.
    특정 소스나 파이프라인 구성에 대한 더 자세한 정보를 원하십니까?

• 프롬프트: what functions are processing the palo alto traffic?
  • 응답:
    "Palo Alto 트래픽을 처리하는 기능을 더 자세히 살펴보겠습니다.
    <Cribl(로컬)에서 cribl_getPipelineConfig의 결과 보기>다음은 Cribl Stream 환경에서 Palo Alto 트래픽 데이터가 처리되는 방식에 대한 자세한 분석입니다.
    팔로 알토 교통 파이프라인 기능
    1. 초기 필터(Eval):
    • 필터: sourcetype!='pan'
    • 설명: 소스 유형이 'pan'이 아닌 모든 이벤트를 단락(건너뜁니다)합니다.
    • 이는 최종 기능으로 설정됩니다. 즉, 조건이 참이면 해당 이벤트에 대한 처리가 중지됩니다.

    2. 필드 추출(정규식 추출):

    • 정규식 패턴 매칭을 사용하여 원시 이벤트에서 여러 주요 필드를 추출합니다.
      • __log_subtype: 로그가 시작/종료 레코드인지 식별합니다.
      • __src_zone 및 __dest_zone: 소스 및 대상 보안 영역
      • __transport: 전송 프로토콜
      • __action: 수행된 작업(허용, 거부 등)
      • __bytes_in: 수신된 바이트

    3. 이벤트 필터링(삭제):

    • 필터: __log_subtype=='start'
    • 설명: 로그 하위 유형이 '시작'인 모든 이벤트를 삭제합니다.
    • 근거(주석에서): "log_subtype=start 이벤트는 종종 잘못된 앱 할당을 포함하므로 삭제하세요. Log_subtype=end에 더 많은 정보가 들어 있습니다."
    • 등."
• 프롬프트: please update the pipeline to include start events as well as end events.
  • 응답:
    "Palo Alto 트래픽 파이프라인을 업데이트하여 "시작" 및 "종료" 이벤트를 모두 포함하도록 구성을 수정하겠습니다. 다음과 같이 변경해 보겠습니다.
    <Cribl(로컬)에서 cribl_getPipelineConfig의 결과 보기>이제 삭제 기능을 비활성화하고 주석을 업데이트하여 "시작" 및 "종료" 이벤트를 모두 유지하도록 파이프라인 구성을 업데이트하겠습니다.
    <Cribl(로컬)의 cribl_setPipelineConfig에서 결과 보기>이제 이러한 변경 사항을 적용하기 위해 작업자 그룹을 다시 시작해 보겠습니다. <Cribl(로컬)의 cribl_restartWorkerGroup에서 결과 보기>Palo Alto 트래픽 파이프라인이 "시작" 및 "종료" 이벤트를 모두 포함하도록 성공적으로 업데이트되었습니다. 수정한 내용은 다음과 같습니다.
    1. 삭제 기능 비활성화:
       • __log_subtype=='start' 이벤트를 필터링하는 기능이 비활성화되었습니다.
       • 이는 이제 "시작" 및 "종료" 세션 이벤트가 모두 처리됨을 의미합니다.
    2. 댓글을 업데이트했습니다:
       • "시작" 이벤트가 삭제된 이유를 설명하는 주석을 이제 완전한 트래픽 가시성을 위해 두 이벤트 유형이 모두 유지된다는 내용으로 변경했습니다.
    3. 작업자 그룹을 다시 시작했습니다.
       • Cribl Stream 작업자 그룹을 다시 시작하여 변경 사항을 적용했습니다.

    업데이트된 파이프라인은 이제 Palo Alto 방화벽의 "시작" 및 "종료" 이벤트를 모두 처리하여 트래픽 세션의 시작부터 완료까지 완벽한 가시성을 제공합니다. 다음을 포함한 다른 모든 처리 기능은 그대로 유지됩니다.

    • 주요 트래픽 속성에 대한 필드 추출
    • 0바이트 트래픽 및 신뢰할 수 있는 영역 트래픽에 대한 샘플링
    • 신뢰할 수 없는 날짜 필드 제거

    이제 Palo Alto 트래픽 데이터에는 샘플링 규칙의 효율성 이점이 유지되는 동시에 네트워크 연결의 전체 수명 주기가 포함됩니다.

특허

MIT