Universial Forwarder를 이용해 ModSecurity 로그를 연동해보자.
서버에 이미 Universial Forwarder 가 설치가 되어 있고 Splunk 서버와 연동 되어 있다는 전제로 작성되었다.
룩업 애드온 설치
ModSecurity 로그 양식에 맞게 필드를 정렬해주는 룩업 애드온을 받아 설치해준다.
https://splunkbase.splunk.com/app/3391/#/details
- 포워더 설정
이후 (Splunk 설치 위치)/etc/system/local/ 에서 inputs.conf 에 다음과 같이 적어준다.
inputs.conf 파일이 없는 경우 생성해준다.
[monitor:///var/log/nginx/modsec_audit.log]
sourcetype = modsec:auditmonitor에 ModSecurity 로그가 있는 위치를 절대경로로 입력해주고
Sourcetype에 modsec:audit 를 입력해서 룩업처리되어 나온다.
이후 추가로 인덱스를 설정한다면 index = (인덱스) 를 입력해준다.
설정이 끝났다면 Splunk Forwarder를 재시작 해준다.
./splunk restart 또는 init.d에 등록되어 있다면 systemctl로 재시작
- 로그 수신 확인
이후 문제가 없다면 정상적으로 로그가 수신되었고 룩업처리가 되어 있는 것을 확인할 수 있다.
