# 웹 Access 로그

이 시나리오는 클라이언트(Web Server)에서 생성된 웹 액세스 로그를  [PLURA Log Collector 서버](https://docs.plura.io/ko/agents/siem/plc)로 전송하는 방법을 설명합니다.

PLURA Log Collector 서버를 사용하면 클라이언트에서 별도의 암호화 또는 압축 없이 `syslog`를 통해 로그를 전송할 수 있어, CPU와 메모리 등 시스템 리소스 사용량을 최소화할 수 있습니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/logcol/1.png" alt=""><figcaption></figcaption></figure>

***

### 1. 클라이언트 설정: Apache Httpd 웹 접속 로그 생성 <a href="#id-1" id="id-1"></a>

* **환경**: CentOS 7 (64비트), Rsyslog 8.24.0-57.el7\_9.1
* Apache 웹서버에서 생성된 접속 로그를 `rsyslog`를 통해 PLURA Log Collector 서버로 전송합니다.

**1-1.** Rsyslog 설정 파일 생성 및 수정

Rsyslog 설정 파일을 생성하여 원격 로그 수집 서버로 로그를 전송하도록 설정합니다.

```bash
vi /etc/rsyslog.d/80-httpd-remote.conf
```

```
 #variables required for non-syslog log file forwarding – plura weblog
 #edit on your location

 input(type=”imfile”
 File=”/var/log/plura/weblog.log”
 Tag=”httpd”
 Severity=”info”
 Facility=”local7″)

 ###### Creates a template for each log file in the Logentries UI
 ### logic to apply the relevant templates to the different log files

 if $programname == ‘httpd’ then @PLURA_Log_Collector_Server:514 #UDP
 :programname, isequal, “httpd” stop
```

* **PLURA V5 웹 로그 경로**: `/var/log/plura/weblog.log`

{% hint style="warning" %}
**주의**: PLURA 웹로그 수집이 **OFF** 상태여야 합니다.
{% endhint %}

**1-2.** Rsyslog 서비스 재시작

```bash
service rsyslog restart
```

**1-3.** 서버 연결 테스트 (디버깅)

```bash
nc -zu PLURA_Log_Collector_Server 514
```

```
 Connection to PLURA_Log_Collector_Server 514 port [udp/syslog] succeeded!
```

### 2. 서버 설정: Log Collector 서버 구성 <a href="#id-2" id="id-2"></a>

* **환경**: CentOS 7, Rsyslog 8.2010.0
* 클라이언트에서 전송한 `syslog` 로그를 수집하기 위한 PLURA Log Collector 서버를 설정합니다.

**2-1.** PLURA Log Collector 서버 설치

> <https://docs.plura.io/ko/agents/siem/plc>

**2-2.** 방화벽 설정: syslog 포트 열기

```bash
firewall-cmd –add-port 514/udp
```

```bash
firewall-cmd –reload
```

**2-3.** Rsyslog 수신 설정 파일 수정 (`77-plura.conf`)

```bash
vi /etc/rsyslog.d/77-plura.conf
```

```
 $template CEETemplate, “%msg:2:$:%\n”

 # Provides UDP syslog reception
 $ModLoad imudp
 $UDPServerRun 514
```

**2-4.** Rsyslog 로그 파일 경로 설정 (`99-plura.conf`)

```bash
vi /etc/rsyslog.d/99-plura.conf
```

```
 $template DynaFile, “/var/log/plura/weblog-%FROMHOST-IP%.log”
 *.* -?DynaFile;CEETemplate
```

**2-5.** Rsyslog 서비스 재시작

```bash
service rsyslog restart
```

**2-6.** 로그 수신 확인

```bash
ls -al /var/log/plura/
```

* `/var/log/plura/` 디렉터리에 로그 파일이 생성되어 있으면 로그 수집이 정상적으로 이루어지고 있는 것입니다.

**2-7.** Log Collector 서버 등록

* 경로: [시스템 > 시스템 관리](https://docs.plura.io/ko/function/common/system/management) **> 로그 취합 호스트(부모) 선택 > 수집 환경 선택**

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/logcol/03.png" alt="" width="563"><figcaption></figcaption></figure>

### 참고 자료 <a href="#id-3" id="id-3"></a>

> <https://rsyslog.readthedocs.io/en/latest/configuration/modules/imfile.html>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/faq/siem/syslog/access.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.