Suricata

다운로드 19
업데이트 2024. 4. 30.

설치 매뉴얼

로그프레소 설정

Suricata 를 위한 로그 수집은 아래와 같이 설정하여 로그 수집을 할 수 있습니다.

SFTP 디렉토리 와처를 통한 로그 수집

eve.json 로그 파일 수집을 대상으로 합니다.

  1. [시스템] - [접속 프로파일] 메뉴에서 아래와 같이 접속 프로파일을 생성합니다. 이름, 식별자, 호스트, 포트, 계정, 인증 유형, 암호 등 필수 입력 값을 입력하도록 합니다.

    프로파일 설정

  2. [수집] - [수집기] 에서 아래와 같이 설정 내용을 입력한 후 [확인] 버튼을 눌러 수집기를 추가합니다.

    • 디렉토리 경로는 suricata 로그 경로를 확인하여 입력. 기본) /var/log/suricata
    • 파일 이름 패턴 : ^eve.json(?:.\d{1,})?$ 수집기
  3. Suricata 수집기를 활성화 한 후 정상적으로 로그 수집이 되는지 확인합니다. 정상 수집 확인

rsyslog 연동을 통한 로그 수집

  1. /etc/suricata/suricata.yaml 파일을 열고 eve-log 항목을 아래와 같이 수정

    outputs:
      - eve-logs:
        enabled: yes
        filetype: syslog
        identity: "suricata"
        facility: local5
        types:
          - alert:
    
  2. /etc/rsyslog.conf 에서 수집 서버 로그 설정

    local5.* @@<수집 서버 IP/hostname>:<통신 포트>
    
  3. Suricata 및 rsyslog 서비스 재시작

  4. [수집] - [수집기] 에서 원격지 IP, 원격지 Port 정보 등의 설정 내용을 입력한 후 [확인] 버튼을 눌러 수집기를 추가합니다.

    수집기 설정