pfsense Suricata 탐지로그 Splunk연동하기.

지금 운영하고있는 방화벽(pfsense)에서 suricata(IPS)를 운영하고있는데 여기 탐지된 suricata로그를 Splunk를 통해서 보고자 한다.

pfSense에 Splunk Forwarder 설치해서 진행할 예정이므로 pfSense에 ssh접근도 미리해놓자.

구축 환경

pfSense 2.4.4
Splunk 8.0.2

SplunkForwader 설치(pfSense 서버에)

2.4.4-p3 버전은 FreeBSD 11.2버전이다.

https://www.splunk.com/en_us/download/universal-forwarder.html#tabs/freebsd

다운로드 받아서 pfSense 서버로 옮기도록하자.

tar xJfP splunkforwarder-8.0.2-a7f645ddaf91-freebsd-11.1-amd64.txz

로 splunkforwarder 설치

SplunkForwarder 구성

Splunk에 데이터를 전달하기 위해서는 Forwarder에서도 아웃풋 설정이 필요하다.

vi /opt/splunkforwarder/etc/system/local/outputs.conf

[tcpout]
defaultGroup=my_indexers

[tcpout:my_indexers]
server=192.168.x.x:9999 //pfsense outputip와 받을 포트 임의지정

이제 전달할 데이터(Suricata) 구성

pfSense > Services > Suricata 의 WAN configure로 들어가서

체크

설정후 Save

수리카타 재시작을하면 아래와같이 eve.json 파일이 생성되는걸 확인할 수 있다.

이제 보낼 데이터 input.conf 생성

vi /opt/splunkforwarder/etc/system/local/inputs.conf

[monitor:///var/log/suricata/suricata_em047481/eve.json]
sourcetype=suricata

이렇게 하면 Suricata 데이터를 전송할 pfsense 셋팅은 완료된다.

이제 Splunk 서버설정

Splunk Forwarder의 데이터 수신을 위한 Splunk 서버 / 인덱서 ​​구성

vi /opt/splunk/etc/system/local/inputs.conf

[splunktcp://:9999]
disabled = false
sourcetype = suricata
connection_host = none
compressed = true

json 파일을 읽을수 있도록 셋팅

vi /opt/splunk/etc/system/local/props.conf

[suricata]
KV_MODE = json
NO_BINARY_CHECK = 1
TRUNCATE = 0

이제 스플렁크를 재 시작 후 9999포트가 열리는지 확인해보자.

/opt/splunk/bin/splunk restart

netstat -lntp 로 포트 확인

확인 완료

이제 방화벽도 오픈

firewall-cmd --zone=public --permanent --add-port=9999/tcp
firewall-cmd --reload

이제 pfsense 에서 Splunk로 통신이 되는지 확인해보자.

telnet 스플렁크ip 포트

Splunk Forwarder 실행(pfSense)

다시 pfSense 터미널 접근 후

/opt/splunkforwarder/bin/splunk list forward-server

splunk 계정이랑 pw넣으면 된다. 그리고 이제 시작

/opt/splunkforwarder/bin/splunk start

시작하고 tail -f /opt/splunkforwarder/var/log/splunk/splunkd.log 로 로그를 확인해주자

warning이 없으면 성공적..

스플렁크 웹 SplunkForwarder 활성화

웹 접근 후 로그인 > 앱 > 앱관리 > SplunkForwarder 활성화

활성화 후 포워더 인스턴스를 보고있으면 아까 등록한 pfSense가 나오는걸 확인할 수 있다.

 

————————————————–

사이트 리뉴얼중입니다~

서버(Linux, ESXi), NAS(헤놀로지, ESXi 및 IT관련 정보, 기타 등등을 공유하는 커뮤니티 SVRFORUM을 새로 만들었습니다.
많은 가입(?) 부탁드립니다~
https://svrforum.com

이전글들은 모두 상단 메뉴의 Blog 글 모음에있습니다!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

홈서버 IT 커뮤니티 SVRFORUM
Link