IBM의 Tail2Syslog 툴을 사용하여 특정 응용프로그램의 로그를 PLURA 에서 확인할 수 있습니다.
다음은 응용프로그램의 로그를 PLURA 로그콜렉터로 전송하여 PLURA 웹에서 확인할 수 있도록 설정하는 방법입니다.
설정 예시는 CentOS 7 기준으로 작성되었습니다.

1) Tail2Syslog 다운로드

– 공식 다운로드 출처

– PLURA 와 연동하여 사용하기 위해서는 위 파일의 일부를 수정할 필요가 있어 아래의 파일을 이용하시면 편리합니다.

 

2) 설치 전 패키지 요구사항

Perl 5.8.8 이상
yum install -y Perl-Time-HiRes

 

3) 설치

다운로드 하신 tail2syslog.tar.gz을 /opt 디렉토리에 복사합니다.

cd /opt
tar xvfz tail2syslog.tar.gz
cd tail2syslog

 

4) 설정

vi sample.cfg

Destinations=192.168.x.x(PLURA 로그콜렉터 IP주소)
Globs=/원본로그 full path
DeletionThreshold=0

 

5) 실행

./tail2syslog.pl -c sample.cfg -u -a

 

여기까지 진행하셨으면 위의 시스템은 PLURA 의 자식서버가 됩니다.
이제 부모서버를 설정해주시면 완료됩니다.

 

6) 부모서버 설정(PLURA 로그콜렉터)

a) 방화벽에서 UDP 514 포트를 오픈

b) 다음 매뉴얼을 참고하여 자식서버 등록
http://blog.plura.io/?p=7186
* 2번과 3번만 진행 해주시면 됩니다.

 

 

▣ 참고자료
– Tail2Syslog 공식 매뉴얼
ftp://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/NAD/Technotes/Tail2Syslog.pdf