u moet de Nginx-logboekregistratie en-monitoring Instellen om de Splunk-Add-on voor NGINX in staat te stellen gegevens van de nginx-server te verzamelen, inclusief toegangslogboek, foutlogboek en prestatiegegevens.
Nginx access log configureren
NGINX schrijft informatie over clientaanvragen in de access log direct nadat het verzoek is verwerkt. Standaard bevindt de toegangslog zich op /var/log/nginx/access.log, en de informatie wordt naar de log geschreven in het vooraf gedefinieerde gecombineerde formaat., U kunt de standaardinstellingen overschrijven en het formaat van gelogde berichten wijzigen door het Nginx configuratiebestand te bewerken (/etc/nginx/nginx.conf standaard).
De Splunk Add – on voor NGINX kan de Nginx access log in zowel het vooraf gedefinieerde gecombineerde formaat en de aangepaste sleutel-waarde paar formaat. Splunk raadt het gebruik van de aangepaste sleutel-waarde paar formaat, dat meer uitgebreide informatie bevat en is gemakkelijker te ontleden.,
standaard Nginx access log
aangepaste Nginx access log
Bewerk het Nginx configuratiebestand (/etc/nginx/nginx.conf standaard) en gebruik de log_format richtlijn om het formaat van gelogde berichten te definiëren op basis van uw vereisten.
Hier is een voorbeeld van loggen in raw-formaat voor nginx:plus:access brontype:
Hier is een voorbeeld van loggen in kV-formaat voor nginx:plus:kv brontype:
Opmerking: Het wordt aanbevolen om kV-formaat te gebruiken in plaats van een raw-formaat voor de access log.,
bekijk de volledige lijst van variabelen die u kunt vastleggen in het logboek.
voor meer informatie over het configureren van ngx_http_log_module, raadpleeg de officiële Nginx documentatie.
Nginx error log instellen
NGINX schrijft informatie over problemen met verschillende ernstniveaus naar het error log. Voor informatie over het instellen van de Nginx error log, refereer je naar https://www.nginx.com/resources/admin-guide/logging-and-monitoring/#error_log .,
Nginx live activity monitoring instellen
NGINX Plus biedt een real-time live activity monitoring interface die de belangrijkste belasting en prestaties van uw serverinfrastructuur toont. Deze statistieken kunnen worden weergegeven als een RESTful JSON-interface en live JSON gegevens kunnen worden opgenomen in Splunk. U moet het verzamelen van statistieken inschakelen in het Nginx Plus configuratiebestand. Voor informatie over het instellen van live activity monitoring, zie https://www.nginx.com/resources/admin-guide/Monitoring/ .,
configureer het Nginx App Protect-beveiligingslogboek
beveiligingslogboeken (ook wel Request logs of Traffic logs genoemd) bevatten informatie over HTTP-verzoeken en-antwoorden, hoe App Protect deze verwerkt en de uiteindelijke beslissing die is genomen op basis van de geconfigureerde beleidsparameters.De beleidsconfiguratie definieert de informatie in het beveiligingslogboek, zoals de vraag of aanvragen worden doorgegeven, Geblokkeerd of gewaarschuwd vanwege schendingen, aanvalshandtekeningen en andere criteria.
voor informatie over het instellen van de standaard Nginx App Protect Security log, refereer je naar de Nginx documentatie.,
Bewerk het /etc/app_protect/conf/log_default.json bestand en verander het formaat van standaard naar splunk.
bijvoorbeeld:
Geef een reactie