300x250
ELK를 통해 pfsense 방화벽 로그를 수집하고 파싱하여 Kibana에서 로그를 확인하는 방법에 대해 간략하게 정리하였다.
ELK 버전 및 구축 환경
- Version : 7.8
- OS : Ubuntu 16.04
pfsense syslog 설정
1. 방화벽 정책에서 traffic 로그 수집 On
2. 방화벽에 원격지 로그 서버를 설정하여 syslog 전송
(Ex. 원격지 로그 서버 : 192.168.219.171 / 포트 : 514)
grok pattern 설정
1. Kibana - Dev Tools - Grok Debugger 이용하여 Sample Data에 대한 Grok Pattern을 작성
(Structured Data 정상 출력 확인)
* Grok 패턴 방식을 참고하거나 정규표현식을 이용하여 작성
RegExr: Learn, Build, & Test RegEx
RegExr is an online tool to learn, build, & test Regular Expressions (RegEx / RegExp).
regexr.com
Logstash 설정
1. Grok Debugger를 통해 검증된 Grok Pattern을 logstash.conf 에 등록
2. logstash.conf 수정 후 logstash 시작 (아래 명령어 실행)
Ex) /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/logstash.conf --path.settings /etc/logstash &
3. logstash 시작 후 정상 파싱되는지 확인
Kibana Dashboard 확인
반응형
'IT Info' 카테고리의 다른 글
| Visual Studio 2019와 Github 연동하기 (0) | 2020.12.28 |
|---|---|
| Chrome 안전하지 않은 정보를 제출하려 함 (0) | 2020.12.17 |
| Intellij) error: unmappable character (0xEC) for encoding x-windows-949 (0) | 2020.10.04 |
| Virtualbox) 어댑터에 브리지 - 잘못된 설정 감지됨 (0) | 2020.08.05 |
| Windows) 윈도우 프록시(Proxy) 설정 (0) | 2020.08.02 |