Graylogでのログ整形の基本
■ 注意・確認事項
Streamとパイプラインの紐づけ、ルールとパイプラインの紐づけは、パイプラインの画面から行う
→ 画像1枚目右下「Edit」ボタンを押下した後の画面(画像2枚目)で、
「Edit connections」を押下するとStreamとの紐づけ画面が表示される
「Manage Rules」ボタンを押下すると、ルール作成画面へ移動する
「Edit」ボタンを押下すると、ルールとステージの紐づけ画面が表示される
■ ① パイプラインに設定するためのルールを作成する
[System/Pipelines]から「Manage rules」を選択し「Create rule」を押下
「Rule source」に以下を入力してSaveする
rule "Extract Snort alert fields test" when has_field("message") then set_field("message2", "oomoji"); end
※ rule "ここに記入した文字列が、ruleのtitleになります"
messageフィールドがあったらmessage2フィールドを作成し、
そこに「oomoji」と記入する、というルールです。
② パイプラインを作成する
「Manage pipelines」を選択し「Add new pipeline」を押下
TitleとDescriptionを入力してSaveする
Saveすると作成したパイプラインの詳細設定画面へ移動する
③ 作成したパイプラインの詳細を設定する
Stage0があるので「Edit」を選択する
ポップアップ画面「Stage rules」に①で設定したルールを選択し、Saveする
④ Streamを作成する
上部メニュー「Streams」を押下する
TitleとDescriptionを入力し、Index Setを選択する
※ Default index setを選択しても良い
Saveする
⑤ ③の画面へ戻り、Streamを紐づける
「Edit connections」を押下する
「All massages」と、④で作成したStreamを選択する
※ All massageを選択しないと、取得したログがpipelineまで流れてこない
Saveする
⑥ 設定したpipelineを通過するようなログを取得し、動作を確認する
上部メニュー「Search」を押下する
対象のログを展開し、その中に「message2」フィールドがあり「oomoji」と記載されていれば成功