PLC ユーザー定義

PLURA Log Collector for User Defined

事前登録及び点検事項

  • 管理 > リスト > アプリケーションタグ登録

  • 収集するアプリケーションログのパス確認

Logstashを利用したアプリケーションログファッシング

  • Logstashは、様々なソースからデータを収集·切り替え、希望する対象に転送できる軽量のオープンソースで、主にサーバ側のデータ処理パイプラインとして使用できます。

  • Logstashを使用すると、サーバ、Webサーバへのアクセス、アプリケーション、情報セキュリティ製品(ファイアウォール、Webファイアウォールなど)ログなど、さまざまなデータソースから非定型データを便利に収集できます。


1. Logstash設定方法

1-1. Install Logstash

Install Guide

https://github.com/QubitSecurity/Logstash

1-2. Confファイルダウンロード

  • アプリケーション例 : postfix

cd /etc/logstash/conf.d/

curl -O "https://raw.githubusercontent.com/QubitSecurity/Logstash/main/conf.d/70-postfix-plura.conf"

1-3. Postfix ログ 経路修正

vi /etc/logstash/conf.d/70-postfix-plura.conf

https://github.com/QubitSecurity/Logstash/blob/main/conf.d/70-postfix-plura.conf

mkdir /etc/logstash/patterns.d
cd /etc/logstash/patterns.d
curl -O "https://raw.githubusercontent.com/QubitSecurity/Logstash/main/patterns.d/grok-postfix"

2. PLURA-Agentを利用してアップロード設定

テスト環境

  • リモートサーバー(子) : CentOS Linux release 7.9.2009 (Core), Postfix, Logstashインストール

  • ログ取り込みサーバー(親) : CentOS Linux release 7.9.2009 (Core),ライセンス登録及び実行

Install Guide

https://docs.plura.io/ja/agents/siem/uplc

2-1. Logstashが設定されたリモート(子)サーバー登録

2-2. アプリケーションサーバー登録

  • システム > システム管理 > ログ取り込みサーバー(親)選択 > アプリケーションボタンをクリックします。

2-3. システム登録ポップアップ > リモート(子)サーバー情報入力

  • アプリケーションのカスタマイズログ収集パスに“/var/log/plura/app-logstash-postfix.log”を入力します。

2-4. Logstash実行

  • システム管理でパス設定まで完了した後、Logstashを実行します。

/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/70-postfix-plura.conf

3. PLURA ウェブで確認

  • パス : 全ログ > アプリケーション > カスタマイズ > postfix

  • 管理 > 使用 > アプリケーション > カスタマイズ設定がON状態の場合、メニューが出ます。[4]

  • "修正"ボタンをクリックした後、postfix項目を選択

4. 参考サイト

[1] アプリケーションログアップロード設定

[2] Logstash定義

動画案内

1. Postfix 映像

Last updated