IBM 의 Tail2Syslog 툴을 사용하여 특정 응용프로그램의 로그를 PLURA V5 에서 확인 가능하지만
다음과 같은 저작권에 대하여 반드시 확인하셔야 합니다.
“IBM의 Tail2Syslog 툴은 QRadar 구매 고객 및 라이센스 보유 하에서 사용이 허가되었습니다.
QRadar 구매에 대한 문의는 IBM 을 통해서 하시기 바랍니다.”
다음은 응용프로그램의 로그를 PLURA V5 로그콜렉터로 전송하여 PLURA V5 웹에서 확인할 수 있도록 설정하는 방법입니다.
설정 예시는 CentOS 7 기준으로 작성되었습니다.
1) Tail2Syslog 다운로드
– 공식 다운로드 출처
2) 설치 전 패키지 요구사항
Perl 5.8.8 이상
yum install -y Perl-Time-HiRes
3) 설치
다운로드 하신 tail2syslog.tar.gz 을 /opt 디렉토리에 복사합니다.
cd /opt
tar xvfz tail2syslog.tar.gz
cd tail2syslog
4) 설정
vi sample.cfg
Destinations=192.168.x.x (PLURA V5 로그콜렉터 IP주소)
Globs=/원본로그 full path
DeletionThreshold=0
5) 실행
./tail2syslog.pl -c sample.cfg -u -a
여기까지 진행하셨으면 위의 시스템은 PLURA V5 의 자식서버가 됩니다.
이제 부모서버를 설정해주시면 완료됩니다.
6) 부모서버 설정 (PLURA V5 로그콜렉터)
a) 방화벽에서 UDP 514 포트를 오픈
b) 다음 매뉴얼을 참고하여 자식서버 등록
http://blog.plura.io/?p=7186
* 2번과 3번만 진행해 주시면 됩니다.
▣ 참고자료
– Tail2Syslog 공식 매뉴얼
ftp://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/NAD/Technotes/Tail2Syslog.pdf
[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]