현재 운용하는 pfsense 방화벽 로그를 Splunk에서 확인하고자 한다.
포워더로 받아볼 수도 있지만 설치하는 번거로움이 있어 syslog를 이용하여 받아보자
AhnLab의 TrusGuard나 Secui의 MF2, 주니퍼등의 장비를 이용하는 현업에서도 syslog를 이용하여 로그를 받아온다.
(장비에 shell 접속은 가능하지만 벤더사 장비는 보안상(?) 포워더를 설치가 안된다.)
먼저 Splunk 서버에 접속 후 pfsense 필드가 정리된 룩업 앱을 이용하면 잘 정리가 되어있기에 설치해준다.
이후 pfsense에 접속해서 시스템 로그 페이지에 접속한다.
이후 상단 메뉴에서 설정을 클릭 후 페이지를 내리면 “원격 로깅 사용”에 체크를 하면 아래와 같이 설정 할 수 있다.
Splunk 아이피와 보낼 때 사용할 포트를 설정해 주고 “저장”을 누르면 바로 로그를 송신을 시작한다.
이후 Splunk로 돌아와서 설정에서 “데이터 입력” 페이지로 간다.
로컬 입력에서 UDP 새로 추가 클릭한다.
작성한 수신 받을 포트를 입력한다.
전에 pfsense TA 앱을 받았다면 Source Type에서 pfsense가 추가되어 선택해준다.
앱 컨텍스트는 특별한 경우가 아니라면 검색(Search & Reporting) 으로 설정해준다.
내용 확인 후 제출 클릭
검색 또는 인덱스를 설정했다면 인덱스 관리 페이지에서 종료 이벤트란으로 데이터가 들어오는지 확인할 수 있다.
