Vous devez configurer la journalisation et la surveillance Nginx pour permettre au module complémentaire Splunk pour NGINX de collecter des données à partir du serveur NGINX, y compris le journal d’accès, le journal des erreurs et les mesures de performance.
configurer le journal d’accès NGINX
NGINX écrit des informations sur les demandes des clients dans le journal d’accès juste après le traitement de la demande. Par défaut, le journal d’accès se trouve à /var/log/nginx/access.log, et les informations sont écrites dans le journal dans le format combiné prédéfini., Vous pouvez remplacer les paramètres par défaut et modifier le format des messages enregistrés en modifiant le fichier de configuration NGINX (/etc/nginx/nginx.conf par défaut).
L’Add-on Splunk pour NGINX peut ingérer le journal d’accès NGINX dans le format combiné prédéfini et le format de paire clé-valeur personnalisée. Splunk recommande d’utiliser le format de paire clé-valeur personnalisé, qui contient des informations plus détaillées et est plus facile à analyser.,
journal D’accès Nginx par défaut
journal D’accès Nginx personnalisé
éditez le fichier de configuration NGINX (/etc/nginx/nginx.conf par défaut) et utilisez la directivelog_format pour définir le format des messages enregistrés en fonction de vos besoins.
Voici un exemple de l’exploitation forestière dans le format raw pour les nginx:plus:access type de source:
Voici un exemple de l’exploitation forestière dans kv format nginx:plus:kv type de source:
Note: Il est recommandé d’utiliser kV format au lieu d’un format raw pour le journal des accès.,
Voir la liste complète des variables que vous pouvez capturer dans le journal.
pour plus d’informations sur la configuration de ngx_http_log_module, reportez-vous à la documentation officielle de NGINX.
configurer le journal des erreurs NGINX
NGINX écrit des informations sur les problèmes rencontrés de différents niveaux de gravité dans le journal des erreurs. Pour plus d’informations sur la configuration du journal des erreurs NGINX, reportez-vous à https://www.nginx.com/resources/admin-guide/logging-and-monitoring/#error_log .,
configurer Nginx live activity monitoring
NGINX Plus fournit une interface de surveillance d’activité en temps réel qui affiche les principales mesures de charge et de performance de votre infrastructure serveur. Ces métriques peuvent être représentées sous la forme d’une interface JSON RESTful et des données JSON en direct peuvent être ingérées dans Splunk. Vous devez activer la collecte de statistiques dans le fichier de configuration NGINX Plus. Pour plus d’informations sur la définition de la surveillance de l’activité en direct, consultez https://www.nginx.com/resources/admin-guide/Monitoring/ .,
configurer le journal de sécurité Nginx App Protect
Les Journaux de sécurité (également appelés journaux de demande ou journaux de trafic) contiennent des informations sur les requêtes et réponses HTTP, la manière dont App Protect les traite et la décision finale prise en fonction des paramètres de stratégie configurés.La configuration de stratégie définit les informations contenues dans le journal de sécurité, telles que si les demandes sont transmises, bloquées ou alertées, en raison de violations, de signatures d’attaque et d’autres critères.
pour plus d’informations sur la configuration du journal de sécurité Nginx app Protect par défaut, reportez-vous à la documentation NGINX.,
modifiez le fichier /etc/app_protect/conf/log_default.json et changez le format par défaut en splunk.
Par exemple:
Laisser un commentaire