[Opnsense - WAF] Splunk Universal Forwarder 설치

C-Dragon 2023. 12. 29. 00:49

1. Splunk Universal Forwarder 다운로드

- 아래 사이트에서 로그인 후 설치 파일 다운로드



2. Opnsense에 파일 전송

- SSH, FTP 등 가능한 방법을 통해 Opnsense로 파일 전송

  => 저같은 경우는 Opnsense에서 SSH를 활성화하고 MobaXterm이라는 도구를 사용하여 옮겼습니다.


3. 설치

- tar xJfP splunkforwarder-최신 버전.txz
- sudo /opt/splunkforwarder/bin/splunk add forward-server <Splunk 서버 IP>:9997


- sudo vi /opt/splunkforwarder/etc/system/local/inputs.conf

- host: 로그 수집의 출처 IP로 Opnsense IP가 적절

- monitor 이후 경로는 각자 설정한 내용에 따라 다름 // Opnsense에서 /var/log/nginx/ 경로에서 생성되는 로그 파일명으로 작성

- index: 로그를 저장하는 저장소 이름이라고 생각하자 // Splunk에서 index를 미리 설정해둬야 한다.

- sourcetype: 로그 파싱 규칙과 index에서 데이터를 검색하는 조건이 된다.


- sudo /opt/splunkforwarder/bin/splunk restart

- 중간에 Invalid key 라면서 키가 유효하지 않다고 하는데 로그 수집에는 큰 문제가 없으니 걱정 안해도 된다.

  => Splunk Universal Forwarder와 Opnsense의 Free BSD 버전이 달라서 생기는 것으로 판단


4. 로그 수집 확인됨



