Graylog 설정

Graylog 설치 편에 이은 설정 부분이다

예제는 fortigate로 하였지만 아래 방법을 숙지 한다면 타 장비로그 분석도 활용히 가능하다

 

수집시스템 : Fortigate 펌웨어 5부터 6정도까지

목표 : Fortigate 로그 수집후 로그를 적절하게 분류하여 엘라스틱 서치로 분석 가능하게끔 설정

 

ㅁ Input 설정

Input은 로그가 들어오는 통로를 설정하는 것임

1. "System/Inputs" 메뉴에서 "Raw/Plaintext UDP" 선택후 "Launch new input" 설정

2. 아래와 같이 설정

  1) Node : 다중으로 사용하지 않으면 1개만 선택됨

  2) Title : 원하는 이름으로 설정

  3) Bind address : 특별한거 없으면 0.0.0.0 으로 설정

  4) Port : 원하는 포트로 설정(여기서는 15514)

 나머지 설정은 그대로 두어도 상관없음

 

ㅁ Fortigate 설정

1. Syslog 설정

  1) IP Address/FQDN : Graylog 서버 IP 설정

  2) Log Setting 부분을 아래와 같이 셋팅

2. CLI에서 Port 설정

Test # config log syslogd setting

Test(config) # set port 15514

Test(config) # end

설정 결과

 

ㅁ Graylog 패킷 분석 및 필터

** 구글에 Fortigate Contents Pack 검색후 이미 만들어진걸 사용해되 되지만 자신 사이트에 맞게끔 셋팅하고 싶으면

수동으로 진행하는것을 권고 한다

1. 패킷 수집 내역 확인

2. 패킷수집내역 클릭후 message 부분 클릭후 "Create extractor" 선택후 "Regular expressin" 클릭

<수집된 패킷내역에서 메시지 부분을 필터>

<일반적인 형태의 메시지 필터>

3. Store field 만들기

** 스토어 필드란 엘라스틱 서치를 위해서 항목을 만드는것을 의미한다

수집된 내역은 초기에 항목이 없기때문에 수동으로 만들어 줘야 한다

단. Timestamp같이 기본으로 설정된 내역도 있으므로 관련 항목은 살펴보고 진행해야 된다

 

 1) devname="WESC_FW"  >>  원본로그에서 추출하고 싶은 필드를 선정

 2) Regular expressin : ^.+\sdevname=(\S+)\s    >> 정규식을 통하여 추출하는 과정이다. "devname=" 과 동일하면 추출

 3) Try : 정규식을 테스트 해보는 단계이다. 실제로 어떤식으로 추출이 이루어지는지

 4) Store as Field  >> 스토어 필드 이름을 정하는 것이다. 여기서 이름이 메시지상에서 필터후 제목이 되는것이다

 5) Extractor title >> Extractor Title 이름이다. 

<Input Extractor Manager 화면>

 

완료후 이후 들어오는 로그(이전 로그는 적용이 되지 않는다)에 대해서는

위 필터대로 Store Field 부분에 추가 되어서 나오 게 된다.

관련 작업후 다수 장비의 로그를 종합하여 데이터 테이블 및 차트형태로 구현이 가능하다

 

4. 결과 확인

 1) 로그 확인후 "source" 필드가 생성된걸 확인할수 있다

2) 해당 필드를 클릭하게 되면 화면과 같이 여러 형태로 확인이 가능하다

3) "Show top values"를 선태할 경우 아래와 같이 해당 필드에 속한

데이터 값에 대해서 많은순으로 보여질수 있으며 Edit를 통해 다양한 형태의 그래프로 구현이 가능하다

 

4) 최종적으로 여러 값을 필터하여 다음과 같은 대시보드 구성도 가능하다