Sie müssen die NGINX-Protokollierung und-Überwachung einrichten, damit das Splunk-Add-On für NGINX Daten vom NGINX-Server einschließlich Zugriffsprotokoll, Fehlerprotokoll und Leistungsmetriken erfassen kann.
Konfigurieren des NGINX-Zugriffsprotokolls
NGINX schreibt Informationen über Clientanforderungen direkt nach der Verarbeitung der Anforderung in das Zugriffsprotokoll. Standardmäßig befindet sich das Zugriffsprotokoll unter /var/log/nginx/access.log und die Informationen werden im vordefinierten kombinierten Format in das Protokoll geschrieben., Sie können die Standardeinstellungen überschreiben und das Format der protokollierten Nachrichten ändern, indem Sie die NGINX-Konfigurationsdatei bearbeiten (/etc/nginx/nginx.conf standardmäßig).
Das Splunk-Add-On für NGINX kann das NGINX-Zugriffsprotokoll sowohl im vordefinierten kombinierten Format als auch im benutzerdefinierten Schlüssel-Wert-Paarformat aufnehmen. Splunk empfiehlt die Verwendung des benutzerdefinierten Schlüssel-Wert-Paarformats, das ausführlichere Informationen enthält und einfacher zu analysieren ist.,
Standard-NGINX-Zugriffsprotokoll
Benutzerdefiniertes NGINX-Zugriffsprotokoll
Bearbeiten Sie die NGINX-Konfigurationsdatei (/etc/nginx/nginx.conf standardmäßig) und verwenden Sie die log_format – Direktive, um das Format protokollierter Nachrichten basierend auf Ihren Anforderungen zu definieren.
Hier ist ein Beispiel für die Anmeldung im Raw-Format für nginx:plus:access Quelltyp:
Hier ist ein Beispiel für die Anmeldung im KV-Format für nginx:plus:kv Quelltyp:
Hinweis: Es wird empfohlen, das kV-Format anstelle eines Raw-Formats für das Zugriffsprotokoll zu verwenden.,
Siehe die vollständige Liste der Variablen, die Sie im Protokoll erfassen können.
Weitere Informationen zum Konfigurieren von ngx_http_log_module finden Sie in der offiziellen NGINX-Dokumentation.
NGINX-Fehlerprotokoll einrichten
NGINX schreibt Informationen über aufgetretene Probleme mit unterschiedlichen Schweregraden in das Fehlerprotokoll. Informationen zum Einrichten des NGINX-Fehlerprotokolls finden Sie unter https://www.nginx.com/resources/admin-guide/logging-and-monitoring/#error_log .,
Einrichten der Überwachung von NGINX Live-Aktivitäten
NGINX Plus bietet eine Echtzeit-Schnittstelle zur Überwachung von Live-Aktivitäten, die wichtige Last-und Leistungsmetriken Ihrer Serverinfrastruktur anzeigt. Diese Metriken können als RESTful JSON-Schnittstelle dargestellt werden und Live-JSON-Daten können in Splunk aufgenommen werden. Sie müssen das Sammeln von Statistiken in der NGINX Plus-Konfigurationsdatei aktivieren. Informationen zum Einstellen der Live-Aktivitätsüberwachung finden Sie unter .,
Konfigurieren des NGINX App Protect Security Log
Sicherheitsprotokolle (auch als Anforderungsprotokolle oder Verkehrsprotokolle bezeichnet) enthalten Informationen zu HTTP-Anforderungen und-Antworten, zur Verarbeitung durch App Protect und zur endgültigen Entscheidung basierend auf den konfigurierten Richtlinienparametern.Die Richtlinienkonfiguration definiert die im Sicherheitsprotokoll enthaltenen Informationen, z. B. ob Anforderungen aufgrund von Verstößen, Angriffssignaturen und anderen Kriterien übergeben, blockiert oder alarmiert werden.
Informationen zum Einrichten des standardmäßigen NGINX App Protect-Sicherheitsprotokolls finden Sie in der NGINX-Dokumentation.,
Bearbeiten Sie die Datei /etc/app_protect/conf/log_default.json und ändern Sie das Format von default in splunk.
Zum Beispiel:
Schreibe einen Kommentar