Snortのlogを受信して、graylog管理画面に表示されるようにする

■snortのlogを受信して、graylog管理画面に表示されるようにする
　□参考サイト
graylog-guide-snort：https://github.com/Graylog2/graylog-guide-snort
日本語マニュアル：https://www.designet.co.jp/ossinfo/graylog/manual/pipeline.php

□ログ送信側の設定
#vi /etc/rsyslog.conf
→以下を記述
# for snort
local0.* /var/log/snort.log
# for graylog
$template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n"
# to ubuntu graylog
local0.* @@192.168.56.105:10514;GRAYLOGRFC5424

# vi /etc/snort/snort.conf
→ 以下を記述
# syslog
output alert_syslog: LOG_LOCAL0

□ Graylog側の設定
① インデックスの作成
トップメニュー「System」ー「indices」を選択し「Create index set」を押下
[Title, Description]を設定して「Save」を押下

② Streamの作成
トップメニュー「Stream」を選択、「Create Stream」を押下
[Title, Description]を入力、[Index Set]から①で作成したIndexを選択

③ 作成したStreamを利用するためのRuleを作成する
作成したStreamの欄にある「Manage Rules」を押下する
「Select an input」は選択せず、画像のとおり、２つのルールを設定し、「I'm done」を押下する

④ Streamを紐づけるpipelineを作成する
トップメニュー「System」から「pipeline」を選択、「Add new pipeline」を押下
[Title, Description]を入力、「save」を押下する

⑤ ④と同じ画面にある「Manage rules」を選択、「Create Rule」を押下
https://github.com/Graylog2/graylog-guide-snort
上記URLの「Below is the rule we are using」下部のコードをコピペ

⑥ ④と同じ画面にある「Manage pipeline」を選択、
④で登録したRuleの「Edit」を押下
「Edit connections」を押下し[Streams]から②で登録したStreamを選択

「Add new stage」から⑤で登録した「Rule」を選択する

⑦ トップメニュー「stream」を選択、②で作成したStreamの「Start Stream」を押下する