1. rsyslog 설정 파일 수정
zabbix서버 접속해서 rsyslog 설정 파일 수정한다.
/etc/rsyslog.conf rsyslog
# IPS 장비에서 오는 로그를 수신하기 위한 설정
# udp 수신 설정
module(load="imudp") # TCP 모듈 로드
input(type="imudp" port="514")
$template IPSLogFormat,"/var/log/zabbix/ips.log"
# Action to forward logs from the IPS device
action(type="omfwd"
Target="10.10.30.36" # IPS 장비의 IP
Port="514" # 기본 syslog 포트 (필요 시 변경)
Protocol="udp"
KeepAlive="on"
)
# 특정 IP에서 로그 수신
if ($fromhost-ip == '10.10.30.36') then ?IPSLogFormat
& stop
2. 방화벽 설정
firewall-cmd --add-port=514/udp --permanent
firewall-cmd --reload
#서비스 재시작
systemctl restart rsyslog.service
3. 보안장비 로그서버 등록
IPS 인터페이스에 접속해서 로그 보낼 서버를 등록해준다. 참고로 로그 종류 다 선택하면 로그가 너무 많이 들어오니까 필요한 로그만 선택하는 게 좋다.
4. 로그 수신 확인
tail -f /var/log/zabbix/ips.log
IPS 장비에서 전송된 로그가 정상적으로 /var/log/zabbix/ips.log 파일에 저장되는 것을 확인했다.
5. Zabbix에서 로그 아이템 생성
아이템의 설정을 정확히 입력하고 오류 없이 테스트가 완료되는지 확인한다.
IPS장비 로그를 제대로 가지고 오는 모습이다.
'Zabbix > log 연동' 카테고리의 다른 글
| Zabbix에서 시스템 로그 연동하기 (0) | 2024.09.29 |
|---|
