[Splunk - SIEM] Splunk 로그 수집(syslog)
- Forti 방화벽, Opnsense IPS에서 syslog로 로그를 송신하는 건 아래 게시물 참고
[Fortigate - 방화벽] syslog 설정
1. syslog 설정 Log & Report - Log Settings - Send logs to syslog: syslog 전송 활성화 여부 - IP Address/FQDN: syslog를 전송할 IP (보통 Siem IP가 될듯) - Event log, Local Traffic Log는 필요한 로그 항목을 선택하면 된다. - Siem
cyong.tistory.com
[Opnsense - IPS] syslog 설정
1. IPS syslog output 설정 Services - Intrusion Detection - Administration - Enable eve syslog output 체크 - eve는 json을 통해 알람, 이상징후, 메타데이터 등을 출력하는 기능- 해당 log의 Level은 info 2. Opnsense syslog 송신
cyong.tistory.com
1. syslog를 이용한 로그 수집
스플렁크 우측 상단 메뉴 탭 - 설정 - 데이터 입력
UDP 항목 '+ 새로 추가'
프로토콜 및 포트 지정 후 다음 버튼 클릭
- 프로토콜: UDP
- 포트: 514(다른 서비스에 영향주지 않는 선에서 다른 Port 사용도 가능하나 Syslog는 기본적으로 514 Port 사용)
Source type, host, index 설정
=> 새로 만들어도 되고 기존의 것을 써도 되는데 이번엔 새로 만드는 것을 선택했다.
=> Source type은 범주를 적절하게 "네트워크 및 보안"에 넣어서 Forti_FW로 만들었다.
* Source type은 로그 파싱 규칙과 index에서 데이터를 검색하는 조건이 된다.
=> Index는 이름만 정의하고 다른 항목은 기본 값을 유지한 채 생성
* 인덱스(Index)는 로그를 저장하는 저장소 이름이라곳 생각하자
검토를 누르고 내용을 한 번 확인한 후에 제출하면 생성된다.
- 방화벽 로그 정상 수집 확인
'내 웹 서버 > SIEM' 카테고리의 다른 글
| [Splunk - SIEM] Splunk 로그 수집(SplunkForwarder) (0) | 2023.12.31 |
|---|---|
| [Splunk - SIEM] Splunk 설치 (0) | 2023.12.27 |