Logstashを利用したアプリケーションログファッシング

• Logstashは、様々なソースからデータを収集·切り替え、希望する対象に転送できる軽量のオープンソースで、主にサーバ側のデータ処理パイプラインとして使用できます。

• Logstashを使用すると、サーバ、Webサーバへのアクセス、アプリケーション、情報セキュリティ製品（ファイアウォール、Webファイアウォールなど）ログなど、さまざまなデータソースから非定型データを便利に収集できます。

1. Logstash設定方法

1-1. Install Logstash

Install Guide

https://github.com/QubitSecurity/Logstash

1-2. Confファイルダウンロード

• アプリケーション例 : postfix

cd /etc/logstash/conf.d/

curl -O "https://raw.githubusercontent.com/QubitSecurity/Logstash/main/conf.d/70-postfix-plura.conf"

1-3. Postfix ログ 経路修正

vi /etc/logstash/conf.d/70-postfix-plura.conf

https://github.com/QubitSecurity/Logstash/blob/main/conf.d/70-postfix-plura.conf

mkdir /etc/logstash/patterns.d
cd /etc/logstash/patterns.d
curl -O "https://raw.githubusercontent.com/QubitSecurity/Logstash/main/patterns.d/grok-postfix"

2. PLURA-Agentを利用してアップロード設定

Install Guide

https://docs.plura.io/ja/agents/siem/uplc

2-1. Logstashが設定されたリモート(子)サーバー登録

2-2. アプリケーションサーバー登録

• システム > システム管理 > ログ取り込みサーバー(親)選択 > アプリケーションボタンをクリックします。

2-3. システム登録ポップアップ > リモート(子)サーバー情報入力

• アプリケーションのカスタマイズログ収集パスに“/var/log/plura/app-logstash-postfix.log”を入力します。

2-4. Logstash実行

• システム管理でパス設定まで完了した後、Logstashを実行します。

/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/70-postfix-plura.conf

3. PLURA V5ウェブで確認

• パス : 全ログ > アプリケーション > カスタマイズ > postfix

• 管理 > 使用 > アプリケーション > カスタマイズ設定がON状態の場合、メニューが出ます。[4]

• "修正"ボタンをクリックした後、postfix項目を選択

• Postfixログが生成されるとPLURA V5全ログ(アプリケーション)で確認出来ます。

4. 参考サイト

[1] アプリケーションログアップロード設定

[2] Logstash定義

動画案内

1. Postfix 映像