스플렁크 이벤트 수집 시 host 정의하기 > Splunk 자료실

본문 바로가기
사이트 내 전체검색

Splunk 자료실

스플렁크 이벤트 수집 시 host 정의하기

페이지 정보

profile_image
작성자 조선제일검
댓글 1건 조회 2,128회 작성일 22-04-16 22:33

본문

개념

수신 받는 데이터들의 host를 재정의하는 과정을 기술합니다.

데이터 입력

설정 > 데이터 > 데이터 입력 - 설정 > 로컬 입력 > 유형 > UDP

UDPPort 10514

Sourcetype kiwisyslog

image.png

설정 파일(inputs.conf)

위 '데이터 입력' 설정 시 설정되는 inputs.conf 파일의 내용입니다.

image (1).png

Kiwi Syslog Generator

Kiwi Syslog 생성기에서 Syslog 전송 설정을 합니다.

Target IP address는 스플렁크 IP이며, Transport는 Syslog UDP로 Destination port는 10514입니다.

Message text to send는 MultiLine text message를 선택하고 입력 내용은 firewall입니다.

전달된 로그 내용

실제 전달된 raw 데이터는 아래와 같습니다.

UDP 수신 설정 시 index는 main이며 sourcetype은 kiwisyslog로 설정했기 데이터가 미분류되어 있습니다.

전달되는 Kiwi Syslog 형식 : Sep 28 01:13:43 DESKTOP-2M36PUN SyslogGen Original Address=224.220.161.119 firewall

 

image (2).png

host 재정의 하기

첫 번째로는 transforms.conf 파일에서 정규 표현식을 사용하여 호스트를 재정의 합니다.

transforms.conf

[DESKTOP_2M36PUN_host]

REGEX = ^\w\w\w\s\d\d\s\d\d:\d\d:\d\d\s\w*-\w*\s\w*\s\w*\s\w*=([0-9]?[0-9]?[0-9]\.[0-9]?[0-9]?[0-9]\.[0-9]?[0-9]?[0-9]\.[0-9]?[0-9]?[0-9])

FORMAT = host::$1

DEST_KEY = MetaData:Host

props.conf

[source::udp:10514]

TRANSFORMS-DESKTOP_2M36PUN_host = DESKTOP_2M36PUN_host

위 Color는 반드시 transforms.conf의 스탠자가 props.conf와 반드시 일치해야 설정이 적용됩니다.

10514로 수신되는 raw 데이터에 대해 정규 표현식을 사용하여 Address 필드의 IP를 스플렁크의 기본 필드인 "host"로 분류할 수 있게 됩니다.

☆☆☆ source:: ☆☆☆

1. "source::"는 기본적으로 수신되는 로그의 기본필드인 "source"를 참조한다.

2. 수신되는 로그의 "source"를 지정해줄 때 참조되는 변수값은 변할 수 있다.

앱 재시작

브라우저에서 URL에 이와 같이 입력 후 https://IP:Port/ko-KR/debug/refresh, 앱을 재기동합니다.

재기동 후에 Kiwi Syslog를 통해 데이터를 수신받습니다.

재정의 된 host 확인하기

image (3).png

 

댓글목록

profile_image

최고관리자님의 댓글

최고관리자 작성일

좋은글 감사합니다. ^^

회원로그인

회원가입

사이트 정보

회사명 : (주)리눅스데이타시스템 / 대표 : 정정모
서울본사 : 서울특별시 강남구 봉은사로 114길 40 홍선빌딩 2층 / tel : 02-6207-1160
대전지사 : 대전광역시 유성구 노은로174 도원프라자 5층 / tel : 042-331-1161

접속자집계

오늘
1,413
어제
1,438
최대
3,935
전체
756,611
Copyright © www.linuxdata.org All rights reserved.