Suricata

로그프레소 설정

Suricata 를 위한 로그 수집은 아래와 같이 설정하여 로그 수집을 할 수 있습니다.

SFTP 디렉토리 와처를 통한 로그 수집

eve.json 로그 파일 수집을 대상으로 합니다.

1. [시스템] - [접속 프로파일] 메뉴에서 아래와 같이 접속 프로파일을 생성합니다. 이름, 식별자, 호스트, 포트, 계정, 인증 유형, 암호 등 필수 입력 값을 입력하도록 합니다.

   

2. [수집] - [수집기] 에서 아래와 같이 설정 내용을 입력한 후 [확인] 버튼을 눌러 수집기를 추가합니다.

   • 디렉토리 경로는 suricata 로그 경로를 확인하여 입력. 기본) /var/log/suricata
   • 파일 이름 패턴 : ^eve.json(?:.\d{1,})?$

3. Suricata 수집기를 활성화 한 후 정상적으로 로그 수집이 되는지 확인합니다.

rsyslog 연동을 통한 로그 수집

1. /etc/suricata/suricata.yaml 파일을 열고 eve-log 항목을 아래와 같이 수정

   outputs:
     - eve-logs:
       enabled: yes
       filetype: syslog
       identity: "suricata"
       facility: local5
       types:
         - alert:
   

2. /etc/rsyslog.conf 에서 수집 서버 로그 설정

   local5.* @@<수집 서버 IP/hostname>:<통신 포트>
   

3. Suricata 및 rsyslog 서비스 재시작

4. [수집] - [수집기] 에서 원격지 IP, 원격지 Port 정보 등의 설정 내용을 입력한 후 [확인] 버튼을 눌러 수집기를 추가합니다.