È necessario impostare NGINX logging and monitoring per abilitare il componente aggiuntivo Splunk per NGINX per raccogliere dati dal server NGINX, inclusi log di accesso, log degli errori e metriche delle prestazioni.
Configura log di accesso NGINX
NGINX scrive informazioni sulle richieste del client nel log di accesso subito dopo l’elaborazione della richiesta. Per impostazione predefinita, il registro di accesso si trova in /var/log/nginx/access.log e le informazioni vengono scritte nel registro nel formato combinato predefinito., È possibile ignorare le impostazioni predefinite e modificare il formato dei messaggi registrati modificando il file di configurazione NGINX (/etc/nginx/nginx.conf per impostazione predefinita).
Il componente aggiuntivo Splunk per NGINX può ingerire il log di accesso NGINX sia nel formato combinato predefinito che nel formato di coppia chiave-valore personalizzato. Splunk consiglia di utilizzare il formato di coppia chiave-valore personalizzato, che contiene informazioni più dettagliate ed è più facile da analizzare.,
Log di accesso NGINX predefinito
Log di accesso NGINX personalizzato
Modificare il file di configurazione NGINX (/etc/nginx/nginx.conf per impostazione predefinita) e utilizzare la direttivalog_format per definire il formato dei messaggi registrati in base alle proprie esigenze.
Ecco un esempio di registrazione in formato raw per nginx:plus:access tipo di sorgente:
Ecco un esempio di registrazione in kv formato nginx:plus:kv tipo di sorgente:
Nota: si consiglia di utilizzare kV formato invece di un formato raw per il log di accesso.,
Vedi l’elenco completo delle variabili che puoi catturare nel registro.
Per ulteriori informazioni sulla configurazione di ngx_http_log_module, fare riferimento alla documentazione ufficiale di NGINX.
Configura il log degli errori NGINX
NGINX scrive informazioni sui problemi riscontrati con diversi livelli di gravità nel log degli errori. Per informazioni sull’impostazione del log degli errori NGINX, fare riferimento a https://www.nginx.com/resources/admin-guide/logging-and-monitoring/#error_log .,
Configura NGINX live activity monitoring
NGINX Plus fornisce un’interfaccia di monitoraggio delle attività live in tempo reale che mostra le principali metriche di carico e prestazioni dell’infrastruttura server. Queste metriche possono essere rappresentate come un’interfaccia JSON RESTful e i dati JSON live possono essere ingeriti in Splunk. È necessario abilitare la raccolta di statistiche nel file di configurazione NGINX Plus. Per informazioni sull’impostazione del monitoraggio delle attività in tempo reale, vedere https://www.nginx.com/resources/admin-guide/Monitoring/ .,
Configura il log di sicurezza NGINX App Protect
I log di sicurezza (noti anche come log delle richieste o log del traffico) contengono informazioni sulle richieste HTTP e sulle risposte, sul modo in cui App Protect li elabora e sulla decisione finale presa in base ai parametri dei criteri configurati.La configurazione dei criteri definisce le informazioni contenute nel registro di sicurezza, ad esempio se le richieste vengono passate, bloccate o avvisate, a causa di violazioni, firme di attacchi e altri criteri.
Per informazioni sull’impostazione predefinita del registro di protezione NGINX App Protect, fare riferimento alla documentazione NGINX.,
Modifica il file/etc/app_protect/conf/log_default.json e cambia il formato da predefinito a splunk.
Per esempio:
Lascia un commento