2015年6月11日木曜日

[Splunk] iptablesのログを採って、Splunkで検索する #splunk


なのまるです!
iptablesでログを採って、サラッと検索したい時にもSplunkが便利なので、構築メモです!

今回は調査用に、一時的にiptablesからログを採る方法を取っています~


もくじ



流れ

  • iptables でログを取得するように設定
  • iptablesのログを Splunk Forwarderで転送する
  • Splunkで検索する

iptables でログを取得するように設定

早速iptablesを設定
今回は例として「Port 25に来る」通信をログ取得します。
/sbin/iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix '[iptables]:'
コマンド解説
/sbin/iptables -A INPUT -p [tcp,udpプロトコル] --dport [ポート番号] -j LOG --log-prefix '[ログ出力時の先頭文字列]'


今回は、ログファイルを既定の「/var/log/messages」に出力しています。

一時的な利用用途のためそのままとしました。

継続して取得する場合は、
  • ログファイルを分ける設定をする
  • logrotateの設定をする
など、必要になってくると思いますー

iptablesのログを Splunk Forwarderで転送する



SplunkのForwarderを入れてログを転送します!

手順は書いたからここらでw


設定

  • "/opt/splunkforwarder/etc/apps/search/local/inputs.conf"
[monitor:///var/log/messages]
disabled = false
#sourcetype = iptables_index ソースタイプを指定することも可能
crcSalt = 
Universal ForwarderとSplunkの接続設定が済んでいれば、これで転送ができていると思います!

参考:


Splunkで検索する

ちゃんと使ってないけど、これがあるとEvent types(sourcetype)設定にはかどるので入れておくといいですw

最終更新が、更新されていれば大丈夫!

フィールドも自動で取ってくれるので、あとで検索が便利です~


まとめ


  • iptablesのログをSplunkでサラッと検索できるようにしてみました~
  • リアルタイム検索も「Universal Forwarder」を使えば簡単です!
  • これでしばらくログをため込んで、後日調査してみたいと思います!


参考サイト

今回使わなかったけど、あると便利なApp

共有