응용프로그램 로그 中 특별한 키워드를 실시간 탐지하고 싶은 경우 어떻게 하면 될까요?

예를 들어, 아래와 같은 응용프로그램 로그 中 2020010100037 키워드를 실시간 탐지할 경우입니다.

1. 수집되는 로그 확인하기


2. conf 설정하기(rsyslog 사용)
※ 80-application.conf → conf 파일 생성하기

# cd /etc/rsyslog.d/
# vi /etc/rsyslog.d/80-application.conf

3. conf 파일 생성
※ File = ” 로그 경로 “, Tag = ” 태그 “, Severity = ” 심각도 “, programname = “프로그램명”

## vi /etc/rsyslog.d/80-application.conf
input(type=”imfile”
File=”/var/log/application.log” ## [application log path]
Tag=”application” ## [application name]
Severity=”info
Facility=”local7″)

if ($programname == ‘application‘) then {
action(type=”omfile” File=”/var/log/messages” Template=”RSYSLOG_SyslogProtocol23Format”)
action(type=”omfile” File=”/var/log/plura/ceelog-127.0.0.1.log” Template=”CEETemplate”)
stop
}

4. rsyslog 데몬 재시작

# service rsyslog restart

5. PLURA 수집 로그 확인

전체로그 > 시스템 > 주요개체 컬럼에서 application 확인

6. PLURA 실시간 탐지 필터 등록하기

1) 2020010100037 키워드에 대한 실시간 탐지 등록 필터

2) 필터 > 필터관리 > 필터등록 선택

3) 필터등록 하단 > 정보입력 >  msg >  2020010100037 등록