'|' 기호를 이용해서 발생시간, 출발지, 목적지, 출발지포트, 목적지포트, 공격명, 원본로그 필드를 구분하는 로그가 있다.

자고로 로그는 테이블 구조에 우겨 넣어서 분석해야 제 맛.

그런데 원본로그 필드가 3개로 나눠졌네?

첫번째 필드

두번째 필드

세번째 필드

로그를 다시 보니 OR 연산자로 사용된 '||' 기호가 확인된다. 결과적으로 원본로그가 3개 필드로 쪼개짐.

옛날 생각이 난다

처음 로그를 필드별로 쪼개려는 시도를 했을 때, 사용했던 구분기호가 '|'. 그런데 해당 기호가 기존 로그에 이미 쓰여진 경우가 너무 잦더라. '@', '#' 등으로 바꿔봐도 마찬가지.

미국이 만든 컴퓨터가 영문 키보드 배열에서 가능한 조합으로 로그를 기록하니 생기는 당연한 결과. 중복되지 않는 구분기호를 찾아 잠깐 고민했었는데 의외로 해결책은 간단했다. 한글 자음 'ㅋ'으로 해결. 문득 영어권에서는 IDS 로그 어떻게 분석하나 궁금해지더라.

"수동으로 로그를 읽는 작업은 지옥에서 천벌을 받을 때나 하는 작업" - 실전 로그 분석과 체계적인 관리 가이드 (181페이지)

저런 얘기 하는 거 보면 안 봐도 비디오긴 하다만, 결론은 세종대왕님 만세. 해당 로그 역시 VIM 치환 명령어 '%s/|/ㅋ/'을 이용해서 구분기호로 사용된 '|'만을 'ㅋ'으로 바꾸면 된다. 참고로 VIM 치환 명령은 ② 문자열 검색 후 ③ 문자열로 치환하는데, 이때 ③ 영역 끝에 g(lobal) 옵션이 없으면 각 줄 단위로 처음 일치하는 문자열만을 치환한다.

구분기호가 최초 '|' 기호부터 연속되는 6개이니 해당 명령을 6번 반복하면 줄이 몇 개이든, 각 줄 단위로 6개의 '|' 기호가 'ㅋ'으로 바뀐다는 얘기.

 하지만 귀찮다

찬란한 인류문명 발전의 원동력은 귀차니즘. 더 편한 방법을 찾아보자. 해당 명령어를 반복하지 않고 한방에 끝내는 방법은 없을까? 구글신께 물어보니 가능하단다. 세상에나, 텍스트 편집기에서 스크립트가 실행됨. 다음은 for 제어문을 이용한 스크립트 실행 결과.

다음은 while 제어문을 이용한 스크립트 실행 결과.

더 자세한 내용은 ':help vim-script' 입력.

이런 기능이 있으면 좋겠다 싶어서 구글링을 해보면 VIM은 반드시 그 기능을 가지고 있더라. 정말 신기하다.