Splunk에 ModSecurity 로그 연동하기
Universial Forwarder를 이용해 ModSecurity 로그를 연동해보자.
서버에 이미 Universial Forwarder 가 설치가 되어 있고 Splunk 서버와 연동 되어 있다는 전제로 작성되었다.
룩업 애드온 설치
ModSecurity 로그 양식에 맞게 필드를 정렬해주는 룩업 애드온을 받아 설치해준다.
https://splunkbase.splunk.com/app/3391/#/details
- 포워더 설정
이후 (Splunk 설치 위치)/etc/system/local/ 에서 inputs.conf 에 다음과 같이 적어준다.
inputs.conf 파일이 없는 경우 생성해준다.
[monitor:///var/log/nginx/modsec_audit.log]
sourcetype = modsec:audit
monitor에 ModSecurity 로그가 있는 위치를 절대경로로 입력해주고
Sourcetype에 modsec:audit 를 입력해서 룩업처리되어 나온다.
이후 추가로 인덱스를 설정한다면 index = (인덱스) 를 입력해준다.
설정이 끝났다면 Splunk Forwarder를 재시작 해준다.
./splunk restart 또는 init.d에 등록되어 있다면 systemctl로 재시작
- 로그 수신 확인
이후 문제가 없다면 정상적으로 로그가 수신되었고 룩업처리가 되어 있는 것을 확인할 수 있다.
Author And Source
이 문제에 관하여(Splunk에 ModSecurity 로그 연동하기), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@eriol72/Splunk에-ModSecurity-로그-연동하기저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)