Custom

アプリケーション分析 – Postfix


PLURA V5はアプリケーションに対するログをアップロード設定を使用して収集出来ます。

 1. アプリケーション原本ログのアップロードのためには管理 > リスト > アプリケーションタグを登録する必要があります。
 2. 収集するパスを把握する必要があります。


アプリケーションログアップロード設定[1]

https://qubitsec.github.io/ja_set_app_log_up.html


アプリケーションログは“LogStash”を使用してカラムを分離出来ます。

  • Logstashには多様なソースからデータを収集、転換して目標の腕先へ転送出来るようにする軽量のオープンソースサーバー側のデータ処理パイプラインです。

  • Logstashを使用するとシステムログ, ウェブサイトログ, アプリケーションサーバーログなど多様なデータ原本から非定型データを簡単に収集出来ます。[2]


1. Logstash設定方法


1-1. Install Logstash

https://github.com/QubitSecurity/Logstash


1-2. Confファイルダウンロード

# cd /etc/logstash/conf.d/

# wget “https://raw.githubusercontent.com/QubitSecurity/Logstash/main/conf.d/70-postfix-plura.conf”


1-3. Postfixログパス修正

# vi /etc/logstash/conf.d/70-postfix-plura.conf

https://github.com/QubitSecurity/Logstash/blob/main/conf.d/70-postfix-plura.conf

image

# mkdir /etc/logstash/patterns.d

# cd /etc/logstash/patterns.d

# wget “https://raw.githubusercontent.com/QubitSecurity/Logstash/main/patterns.d/grok-postfix”


2. PLURA-Agentを使用してアップロード設定

上記から説明したLogstashを使用してLinux : PostfixログをPLURA V5で収集します。

  • テスト環境
    • リモートサーバー(子) : CentOS Linux release 7.9.2009 (Core), Postfix, Logstashインストール
    • ログ取り込みサーバー(親) : CentOS Linux release 7.9.2009 (Core),ライセンス登録及び実行


[Install Guide > SIEM > PLURA Log Collector (PLC) > Application[3] : https://qubitsec.github.io/ja_logcol_application.html


2-1. Logstashが設定されたリモート(子)サーバー登録


2-2. アプリケーションサーバー登録

  • システム > システム管理 > ログ取り込みサーバー(親)選択 > アプリケーションボタンをクリックします。 image


2-3. システム登録ポップアップ > リモート(子)サーバー情報入力

  • アプリケーションのカスタマイズログ収集パスに“/var/log/plura/app-logstash-postfix.log”を入力します。 image –>


2-4. Logstash実行

  • システム管理でパス設定まで完了した後、Logstashを実行します。

RUN Logstash(foreground)

image


3. PLURA V5ウェブで確認

  • パス : 全ログ > アプリケーション > カスタマイズ > postfix

  • 管理 > 使用 > アプリケーション > カスタマイズ設定がON状態の場合、メニューが出ます。[4] image


  • “修正”ボタンをクリックした後, postfix項目にチェックすればカスタマイズアプリケーションでpostfixログが確認出来ます。 image


  • Postfixログが生成されるとPLURA V5全ログ(アプリケーション)で確認出来ます。


4. 参考サイト

[1] アプリケーションログアップロード設定 : https://qubitsec.github.io/ja_set_app_log_up.html

[2] Logstash定義 : https://aws.amazon.com/ko/opensearch-service/the-elk-stack/logstash/

[3] Install Guide > SIEM > PLC > Application : https://qubitsec.github.io/ja_logcol_application.html

[4] Manual > Common > 管理 > 使用 : https://qubitsec.github.io/ja_manage_use.html

Copyright © Qubit Security Inc. All Rights Reserved.