보안/SOC

빅데이터 솔루션 스플렁크(Splunk) syslog 수집 및 분석

realforce111 2016. 5. 25. 10:08

스플렁크(Splunk)는 각종 디바이스, 센서 애플리케이션 등에서 발생하는 대용량의 로그 데이터를 수집 및 분석하여 시각화할 수 있는 빅데이터 분석 도구입니다.


FortiGate 방화벽에 대한 syslog를 스플렁크를 이용하여 수집하고 분석해보겠습니다.


스플렁크 사이트에 접속하여 Splunk Enterprise 평가판 다운로드를 선택합니다. 평가판은 60일간 사용 가능합니다. 


https://www.splunk.com/en_us/download.html


설치하는 운영체제 환경에 해당하는 파일을 다운로드합니다. 윈도우 운영체제에 설치하므로 Windows 설치 파일을 다운로드합니다.


스플렁크 설치를 진행합니다. Local System 설치를 선택합니다.


스플렁크에서 사용할 계정의 ID, 패스워드를 설정합니다.


설치 완료 후 웹브라우저에서 localhost 또는 서버 IP 주소와 8000번 포트를 입력하여 스플렁크에 접속합니다. 설치 시 생성한 ID, 패스워드를 입력하고 로그인합니다.


http://localhost:8000


스플렁크는 앱 기능을 이용하여 부가기능을 설치할 수 있습니다. 추가 앱 찾기를 선택합니다.


FortiGate를 검색하여 FortiGate Add-On for Splunk와 FortiGate App for Splunk 설치를 선택합니다.


스플렁크 사이트 계정으로 로그인하여 설치를 진행합니다.


홈 화면으로 이동하면 메뉴에서 FortiGate App을 선택이 가능합니다.


아직 syslog 연동 전이기 때문에 데이터가 0으로 표시됩니다.


설정 -> 데이터 입력 메뉴로 이동합니다. 로컬 입력 항목에 UDP를 선택합니다.


새 로컬 UDP 생성을 선택하고 포트 번호를 입력합니다. syslog의 기본 포트 번호인 514를 입력하고 다음을 선택합니다.


입력 설정에서 Source Type에 fgt_log를 검색하여 입력하고, 앱 컨텍스트에 FortiGate App을 선택합니다.


설정 내역을 검토하고 제출을 선택합니다.


FortiGate 방화벽에서 스플렁크 서버로 syslog를 전송하는 설정을 추가합니다. 방화벽의 Log&Report -> Log Setting -> Send Logs to Syslog 메뉴에서 전송할 서버의 IP 주소를 입력합니다.


FortiGate App 메뉴에서 데이터가 정상적으로 표시되는지 확인합니다.


FortiGate App의 Traffic 대시보드 메뉴에서는 데이터가 정상적으로 표시되지 않을 수 있습니다. 편집을 선택합니다.


검색 편집을 선택합니다.


검색 문자열에서 summariesonly=true 부분을 삭제하고 적용을 선택합니다.


다른 항목도 동일하게 summariesonly=true 문자열을 삭제하면 데이터가 정상적으로 표시됩니다.