응용프로그램 로그 中 특별한 키워드를 실시간 탐지하고 싶은 경우 어떻게 하면 될까요?

예를 들어, 아래와 같은 응용프로그램 로그 中 2020010100037 키워드를 실시간 탐지할 경우입니다.

1. 수집되는 로그 확인하기


2. conf 설정하기(rsyslog 사용)
※ 80-application.conf → conf 파일 생성하기

# cd /etc/rsyslog.d/
# vi /etc/rsyslog.d/80-application.conf

3. conf 파일 생성 예시
※ InputFileName = “로그 경로”, InputFileTag = ” 로그 태그 “, InputFileSeverity = ” 심각도 ”
※ 파일명에 와일드카드를 사용해야 하는 경우는 rsyslog 버전 8.25 이상을 사용하셔야 합니다.
최신 rsyslog 설치하기 바로가기

#variables required for non-syslog log file forwarding – application log file
#edit on your location

$InputFileName /var/log/application.log
$InputFileTag application:
$InputFileStateFile stat-application

$InputFileSeverity info
$InputFileFacility local7
$InputRunFileMonitor

###### Creates a template for each log file in the Logentries UI
### logic to apply the relevant templates to the different log files

if $programname == ‘application‘ then /var/log/plura/ceelog-127.0.0.1.log;CEETemplate
:programname , isequal, “application” ~

4. rsyslog 데몬 재시작

# service rsyslog restart

5. PLURA 수집 로그 확인

전체로그 > 시스템 > 주요개체 컬럼에서 application 확인

6. PLURA 실시간 탐지 필터 등록하기

1) 2020010100037 키워드에 대한 실시간 탐지 등록 필터

2) 필터 > 등록필터 > 시스템/웹/웹방화벽 > 등록

3) 필터등록 하단 > 정보입력 >  msg >  2020010100037 등록

 

내부 블로그