debe configurar el registro y monitoreo de NGINX para permitir que el complemento Splunk para NGINX recopile datos del Servidor NGINX, incluidos el registro de acceso, el registro de errores y las métricas de rendimiento.
Configure NGINX access log
NGINX escribe información sobre las solicitudes de los clientes en el registro de acceso justo después de procesar la solicitud. De forma predeterminada, el registro de acceso se encuentra en /var/log/nginx/access.log, y la información se escribe en el registro en el formato combinado predefinido., Puede anular la configuración predeterminada y cambiar el formato de los mensajes registrados editando el archivo de configuración de NGINX (/etc/nginx/nginx.conf de forma predeterminada).
El complemento Splunk para NGINX puede ingerir el registro de acceso NGINX tanto en el formato combinado predefinido como en el formato de par clave-valor personalizado. Splunk recomienda usar el formato de par clave-valor personalizado, que contiene información más detallada y es más fácil de analizar.,
registro de acceso NGINX predeterminado
registro de acceso NGINX personalizado
edite el archivo de configuración NGINX (/etc/nginx/nginx.conf de forma predeterminada) y utilice la directiva log_format para definir el formato de los mensajes registrados en función de sus requisitos.
Aquí hay un ejemplo de registro en formato raw para nginx:plus:access tipo de fuente:
Aquí hay un ejemplo de registro en formato kv para nginx:plus:kv tipo de fuente:
Nota: Se recomienda usar el formato kV en lugar de un formato raw para el registro de acceso.,
vea la lista completa de variables que puede capturar en el registro.
para obtener más información sobre la configuración de ngx_http_log_module, consulte la documentación oficial de NGINX.
configurar el registro de errores de NGINX
NGINX escribe información sobre los problemas encontrados de diferentes niveles de gravedad en el registro de errores. Para obtener información sobre cómo configurar el registro de errores de NGINX, consulte https://www.nginx.com/resources/admin-guide/logging-and-monitoring/#error_log.,
configure NGINX Live activity monitoring
NGINX Plus proporciona una interfaz de monitoreo de actividad en tiempo real que muestra las métricas clave de carga y rendimiento de su infraestructura de servidor. Estas métricas se pueden representar como una interfaz JSON RESTful y los datos JSON en vivo se pueden ingerir en Splunk. Debe habilitar la recopilación de Estadísticas en el archivo de configuración de NGINX Plus. Para obtener información sobre cómo configurar el monitoreo de actividad en vivo, consulte https://www.nginx.com/resources/admin-guide/Monitoring/.,
configurar el registro de seguridad de NGINX App Protect
los registros de seguridad (también conocidos como registros de solicitudes o registros de tráfico) contienen información sobre las solicitudes y respuestas HTTP, cómo las procesa App Protect y la decisión final tomada en función de los parámetros de directiva configurados.La configuración de la directiva define la información contenida en el registro de seguridad, como si las solicitudes se pasan, bloquean o alertan debido a infracciones, firmas de ataque y otros criterios.
para obtener información sobre cómo configurar el registro de seguridad predeterminado de NGINX App Protect, consulte la documentación de NGINX.,
edite el archivo/etc/app_protect/conf/log_default.json y cambie el formato de predeterminado a splunk.
Por ejemplo:
Deja una respuesta