PLC 사용자정의

PLURA Log Collector for User Defined

사전 등록 및 점검 사항

관리 > 목록 > 응용프로그램 태그 등록
수집할 응용프로그램 로그의 경로 확인

Logstash를 이용한 응용프로그램 로그 파싱

Logstash는 다양한 소스로부터 데이터를 수집하고 전환하여 원하는 대상에 전송할 수 있도록 하는 경량의 오픈 소스로 주로 서버측 데이터 처리 파이프라인으로 사용할 수 있습니다.
Logstash를 사용하면 서버, 웹 서버의 액세스, 응용프로그램, 정보보안제품(방화벽, 웹방화벽 등) 로그 등 다양한 데이터 원본에서 비정형 데이터를 편리하게 수집할 수 있습니다.

1. Logstash 설정 방법

1-1. Logstash 설치

Install Guide

https://github.com/QubitSecurity/Logstash

1-2. Conf 파일 다운로드

응용프로그램 예제 : postfix

cd /etc/logstash/conf.d/

curl -O "https://raw.githubusercontent.com/QubitSecurity/Logstash/main/conf.d/70-postfix-plura.conf"

1-3. Postfix 로그 경로 수정

vi /etc/logstash/conf.d/70-postfix-plura.conf

https://github.com/QubitSecurity/Logstash/blob/main/conf.d/70-postfix-plura.conf

mkdir /etc/logstash/patterns.d
cd /etc/logstash/patterns.d
curl -O "https://raw.githubusercontent.com/QubitSecurity/Logstash/main/patterns.d/grok-postfix"

2. PLURA-Agent를 이용하여 업로드 설정

테스트 환경

원격지 서버(자식) : CentOS Linux release 7.9.2009 (Core), Postfix, Logstash 설치
로그 취합 서버(부모) : CentOS Linux release 7.9.2009 (Core), 라이선스 키 등록 및 실행

Install Guide

https://docs.plura.io/ko/agents/siem/plc

2-1. Logstash가 설정된 원격지(자식) 서버 등록

2-2. 응용프로그램 서버 등록

시스템 > 시스템 관리 > 로그 취합서버(부모) 선택 > 응용프로그램 버튼을 클릭합니다.

2-3. 호스트 등록 팝업 > 원격지(자식) 서버 정보 입력

응용프로그램 사용자정의 로그 수집 경로에 "/var/log/plura/app-logstash-postfix.log"를 입력합니다.

2-4. Logstash 실행

시스템 관리에서 경로 설정까지 완료된 後 Logstash를 실행

/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/70-postfix-plura.conf

3. PLURA 웹에서 확인

경로 : 전체로그 > 응용프로그램 > 사용자정의 > postfix
관리 > 사용 > 응용프로그램 > 사용자정의 설정이 ON 상태인 경우에만 메뉴가 노출됩니다.[4]

"수정" 버튼을 클릭한 後, postfix 항목 선택

Postfix 로그가 생성되면 PLURA 전체로그(응용프로그램)에서 확인할 수 있습니다.

4. 참고 사이트

[1] 응용프로그램 로그 업로드 설정하기

[2] Logstash 정의

동영상 안내

1. Postfix 영상

PreviousPLC NextApache httpd error

Last updated 3 months ago