웹 Access 로그

이 시나리오는 클라이언트(Web Server)에서 생성된 웹 액세스 로그를 PLURA Log Collector 서버로 전송하는 방법을 설명합니다.

PLURA Log Collector 서버를 사용하면 클라이언트에서 별도의 암호화 또는 압축 없이 syslog를 통해 로그를 전송할 수 있어, CPU와 메모리 등 시스템 리소스 사용량을 최소화할 수 있습니다.

1. 클라이언트 설정: Apache Httpd 웹 접속 로그 생성

환경: CentOS 7 (64비트), Rsyslog 8.24.0-57.el7_9.1
Apache 웹서버에서 생성된 접속 로그를 rsyslog를 통해 PLURA Log Collector 서버로 전송합니다.

1-1. Rsyslog 설정 파일 생성 및 수정

Rsyslog 설정 파일을 생성하여 원격 로그 수집 서버로 로그를 전송하도록 설정합니다.

vi /etc/rsyslog.d/80-httpd-remote.conf

 #variables required for non-syslog log file forwarding – plura weblog
 #edit on your location

 input(type=”imfile”
 File=”/var/log/plura/weblog.log”
 Tag=”httpd”
 Severity=”info”
 Facility=”local7″)

 ###### Creates a template for each log file in the Logentries UI
 ### logic to apply the relevant templates to the different log files

 if $programname == ‘httpd’ then @PLURA_Log_Collector_Server:514 #UDP
 :programname, isequal, “httpd” stop

PLURA V5 웹 로그 경로: /var/log/plura/weblog.log

주의: PLURA 웹로그 수집이 OFF 상태여야 합니다.

1-2. Rsyslog 서비스 재시작

service rsyslog restart

1-3. 서버 연결 테스트 (디버깅)

nc -zu PLURA_Log_Collector_Server 514

 Connection to PLURA_Log_Collector_Server 514 port [udp/syslog] succeeded!

2. 서버 설정: Log Collector 서버 구성

환경: CentOS 7, Rsyslog 8.2010.0
클라이언트에서 전송한 syslog 로그를 수집하기 위한 PLURA Log Collector 서버를 설정합니다.

2-1. PLURA Log Collector 서버 설치

https://docs.plura.io/ko/agents/siem/plc

2-2. 방화벽 설정: syslog 포트 열기

firewall-cmd –add-port 514/udp

firewall-cmd –reload

2-3. Rsyslog 수신 설정 파일 수정 (77-plura.conf)

vi /etc/rsyslog.d/77-plura.conf

 $template CEETemplate, “%msg:2:$:%\n”

 # Provides UDP syslog reception
 $ModLoad imudp
 $UDPServerRun 514

2-4. Rsyslog 로그 파일 경로 설정 (99-plura.conf)

vi /etc/rsyslog.d/99-plura.conf

 $template DynaFile, “/var/log/plura/weblog-%FROMHOST-IP%.log”
 *.* -?DynaFile;CEETemplate

2-5. Rsyslog 서비스 재시작

service rsyslog restart

2-6. 로그 수신 확인

ls -al /var/log/plura/

/var/log/plura/ 디렉터리에 로그 파일이 생성되어 있으면 로그 수집이 정상적으로 이루어지고 있는 것입니다.

2-7. Log Collector 서버 등록

경로: 시스템 > 시스템 관리 > 로그 취합 호스트(부모) 선택 > 수집 환경 선택

참고 자료

https://rsyslog.readthedocs.io/en/latest/configuration/modules/imfile.html

PreviousSyslog 전송 NextTomcat Catalina.out 로그

Last updated 1 month ago

#variables required for non-syslog log file forwarding – plura weblog #edit on your location input(type=”imfile” File=”/var/log/plura/weblog.log” Tag=”httpd” Severity=”info” Facility=”local7″) ###### Creates a template for each log file in the Logentries UI ### logic to apply the relevant templates to the different log files if $programname == ‘httpd’ then @PLURA_Log_Collector_Server:514 #UDP :programname, isequal, “httpd” stop