[Opnsense - WAF] Splunk Universal Forwarder 설치
1. Splunk Universal Forwarder 다운로드
- 아래 사이트에서 로그인 후 설치 파일 다운로드
https://www.splunk.com/en_us/download/universal-forwarder.html
2. Opnsense에 파일 전송
- SSH, FTP 등 가능한 방법을 통해 Opnsense로 파일 전송
=> 저같은 경우는 Opnsense에서 SSH를 활성화하고 MobaXterm이라는 도구를 사용하여 옮겼습니다.
3. 설치
- tar xJfP splunkforwarder-최신 버전.txz
- sudo /opt/splunkforwarder/bin/splunk add forward-server <Splunk 서버 IP>:9997
- sudo vi /opt/splunkforwarder/etc/system/local/inputs.conf
- host: 로그 수집의 출처 IP로 Opnsense IP가 적절
- monitor 이후 경로는 각자 설정한 내용에 따라 다름 // Opnsense에서 /var/log/nginx/ 경로에서 생성되는 로그 파일명으로 작성
- index: 로그를 저장하는 저장소 이름이라고 생각하자 // Splunk에서 index를 미리 설정해둬야 한다.
- sourcetype: 로그 파싱 규칙과 index에서 데이터를 검색하는 조건이 된다.
- sudo /opt/splunkforwarder/bin/splunk restart
- 중간에 Invalid key 라면서 키가 유효하지 않다고 하는데 로그 수집에는 큰 문제가 없으니 걱정 안해도 된다.
=> Splunk Universal Forwarder와 Opnsense의 Free BSD 버전이 달라서 생기는 것으로 판단
4. 로그 수집 확인됨
참고 사이트:
Installing Splunk Forwarder on pfSense | Karim's Blog
I wanted to ship my suricata alerts to my splunk instance. You could probably use syslog but the json won’t show up nicely in splunk: Consuming JSON With Splunk In Two Simple Steps, Is it possible to parse an extracted field as json if the whole log line
elatov.github.io
https://slice2.com/2022/04/24/howto-install-the-splunk-universal-forwarder-on-freebsd/
HOWTO Install the Splunk Universal Forwarder on FreeBSD
The following steps were tested on FreeBSD x64 11.4, 12.3, 13.0 and 13.1. 1) There are a few required adjustments before installing the forwarder on FreeBSD. This ensures the forwarder functions pr…
slice2.com
'내 웹 서버 > IPS & WAF' 카테고리의 다른 글
| [Opnsense - IPS] 출발지 IP 탐지 예외처리 (0) | 2023.12.31 |
|---|---|
| [Opnsense - WAF] Splunk Universal Forwarder 부팅 시 자동실행 (1) | 2023.12.31 |
| [Opnsense - IPS] syslog 설정 (0) | 2023.12.28 |
| [장애 대응][Opnsense - WAF] Nginx 리버스 프록시 bypass (0) | 2023.12.28 |
| [Opnsense - WAF] 사용자 정의 룰 생성 (0) | 2023.12.24 |