Envoyer les logs de pfSense Squid Proxy dans Splunk

Trois étapes importantes :

Configurer Splunk pour recevoir des données externes.

– ajouter une source de données
– choisir UDP et format Web / combined
– enregistrer les modifications

Configurer Squid pour générer des logs clairs et précis (format Apache combined)

– comme il n’y a pas d’option, on utilise le champ custom refresh_patterns de l’onglet local cache
– il faut définir le format combiné :

logformat combined %>a %ui %un [%{%d/%b/%Y:%H:%M:%S +0000}tl] "%rm %ru HTTP/%rv" %>Hs %h" "%{User-Agent}>h" %Ss:%Sh

– puis indiquer que le fichier d’access_log sera à se format

access_log /var/squid/logs/combined_access.log combined

Configurer Squid pour envoyer les logs dans le serveur Splunk

– dans mon exemple, j’ai configuré Splunk sur le port UDP/10514 de mon serveur splunk local en 192.168.1.240

access_log udp://192.168.1.240:10514 combined

Voilà, c’est aussi simple que cela.

Publié dans Non classé.