なのまるです!
iptablesでログを採って、サラッと検索したい時にもSplunkが便利なので、構築メモです!
今回は調査用に、一時的にiptablesからログを採る方法を取っています~
もくじ
流れ
- iptables でログを取得するように設定
- iptablesのログを Splunk Forwarderで転送する
- Splunkで検索する
iptables でログを取得するように設定
早速iptablesを設定今回は例として「Port 25に来る」通信をログ取得します。
/sbin/iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix '[iptables]:'コマンド解説
/sbin/iptables -A INPUT -p [tcp,udpプロトコル] --dport [ポート番号] -j LOG --log-prefix '[ログ出力時の先頭文字列]'
今回は、ログファイルを既定の「/var/log/messages」に出力しています。
一時的な利用用途のためそのままとしました。
継続して取得する場合は、
- ログファイルを分ける設定をする
- logrotateの設定をする
iptablesのログを Splunk Forwarderで転送する
SplunkのForwarderを入れてログを転送します!
手順は書いたからここらでw
設定
- "/opt/splunkforwarder/etc/apps/search/local/inputs.conf"
[monitor:///var/log/messages] disabled = false #sourcetype = iptables_index ソースタイプを指定することも可能 crcSalt =Universal ForwarderとSplunkの接続設定が済んでいれば、これで転送ができていると思います!
参考:
Splunkで検索する
ちゃんと使ってないけど、これがあるとEvent types(sourcetype)設定にはかどるので入れておくといいですw最終更新が、更新されていれば大丈夫!
フィールドも自動で取ってくれるので、あとで検索が便利です~
まとめ
- iptablesのログをSplunkでサラッと検索できるようにしてみました~
- リアルタイム検索も「Universal Forwarder」を使えば簡単です!
- これでしばらくログをため込んで、後日調査してみたいと思います!
