스플렁크 이벤트 수집 시 host 정의하기
페이지 정보
작성자 조선제일검 작성일 22-04-16 22:33 조회 3,098 댓글 1본문
개념
수신 받는 데이터들의 host를 재정의하는 과정을 기술합니다.
데이터 입력
설정 > 데이터 > 데이터 입력 - 설정 > 로컬 입력 > 유형 > UDP
UDPPort 10514
Sourcetype kiwisyslog
설정 파일(inputs.conf)
위 '데이터 입력' 설정 시 설정되는 inputs.conf 파일의 내용입니다.
Kiwi Syslog Generator
Kiwi Syslog 생성기에서 Syslog 전송 설정을 합니다.
Target IP address는 스플렁크 IP이며, Transport는 Syslog UDP로 Destination port는 10514입니다.
Message text to send는 MultiLine text message를 선택하고 입력 내용은 firewall입니다.
전달된 로그 내용
실제 전달된 raw 데이터는 아래와 같습니다.
UDP 수신 설정 시 index는 main이며 sourcetype은 kiwisyslog로 설정했기 데이터가 미분류되어 있습니다.
전달되는 Kiwi Syslog 형식 : Sep 28 01:13:43 DESKTOP-2M36PUN SyslogGen Original Address=224.220.161.119 firewall
host 재정의 하기
첫 번째로는 transforms.conf 파일에서 정규 표현식을 사용하여 호스트를 재정의 합니다.
transforms.conf
[DESKTOP_2M36PUN_host]
REGEX = ^\w\w\w\s\d\d\s\d\d:\d\d:\d\d\s\w*-\w*\s\w*\s\w*\s\w*=([0-9]?[0-9]?[0-9]\.[0-9]?[0-9]?[0-9]\.[0-9]?[0-9]?[0-9]\.[0-9]?[0-9]?[0-9])
FORMAT = host::$1
DEST_KEY = MetaData:Host
props.conf
[source::udp:10514]
TRANSFORMS-DESKTOP_2M36PUN_host = DESKTOP_2M36PUN_host
위 Color는 반드시 transforms.conf의 스탠자가 props.conf와 반드시 일치해야 설정이 적용됩니다.
10514로 수신되는 raw 데이터에 대해 정규 표현식을 사용하여 Address 필드의 IP를 스플렁크의 기본 필드인 "host"로 분류할 수 있게 됩니다.
☆☆☆ source:: ☆☆☆
1. "source::"는 기본적으로 수신되는 로그의 기본필드인 "source"를 참조한다.
2. 수신되는 로그의 "source"를 지정해줄 때 참조되는 변수값은 변할 수 있다.
앱 재시작
브라우저에서 URL에 이와 같이 입력 후 https://IP:Port/ko-KR/debug/refresh, 앱을 재기동합니다.
재기동 후에 Kiwi Syslog를 통해 데이터를 수신받습니다.
재정의 된 host 확인하기
최고관리자님의 댓글
최고관리자 작성일좋은글 감사합니다. ^^