Syslog-ng log redirect
syslog-ng 를 이용하여 log redirect 를 처리하고자 한다.
- log 중계 및 수신 포트 변경 설정 가능.
ex) 방화벽 > AWS EC2 (syslog-ng) > splunk
(UDP_514 > UDP_5144)
syslog-ng conf 경로
/etc/syslog-ng/syslog-ng.conf
log redirect 설정
#source
source s_pfsense { udp(port(514)); };
> 리스닝할 출발지 Port 설정
#destination
destination d_splunk { udp("목적지IP" port(5144)); };
> 리다이렉트할 목적지 IP 및 Port 설정
#rules
log
{
source(s_pfsense);
destination(d_splunk);
};
> 모든 IP에서 UDP_514 로 들어오는 로그를 목적지 IP / UDP_5144로 Redirect 처리.
TEST
pfSense, Splunk 는 VM으로 같은 네트워크 구성 및 같은 공인IP 사용.
* AWS Security Group
- 방화벽 허용 정책 추가 (방화벽 IP 및 Syslog-ng 수신 포트)
- tcpdump (UDP_514로 수신한 로그를 UDP_5144로 리다이렉트)
* pfSense Remote log servers 설정 - (AWS EC2 IP 및 Syslog-ng 포트)
* splunk log Redirect 확인
- tcpdump (UDP_514로 전송한 로그가 UDP_5144로 수신)
- GUI Monitoring (pfSense 방화벽 raw data 확인)
'C & Docker & LINUX' 카테고리의 다른 글
| Linux) 시작 프로그램 등록 (0) | 2021.11.10 |
|---|---|
| nginx) NGINX reverse proxy 설정 (0) | 2021.11.08 |
| LINUX) AWS EC2 Centos7 syslog-ng install (0) | 2021.03.18 |
| Docker) MariaDB utf-8 설정 (0) | 2020.12.29 |
| Docker) WSL2 설치 및 업데이트 방법 (0) | 2020.09.22 |