將日誌從 syslog-ng store box 發送到 Splunk

廣泛被使用來將系統日誌傳送給 Splunk 的應用程式之一就是 syslog-ng，然而，不是每個人都善於操作命令行 (command line)，這也是建立在 syslog-ng 基礎上的 syslog-ng store box (SSB) 應用程式可以提供幫助的地方。SSB GUI 不僅為您提供了一個易於使用的介面來配置大多數 syslog-ng 功能，還為您提供了一個搜尋介面和完整的日誌生命週期管理。它可以將日誌訊息轉發到多個目的地，最近還新增可以轉發到 Splunk 的 HTTP 事件收集器 (HEC) 的功能。

為 SIEM 和分析功能進行日誌紀錄優化

syslog 和 syslog-ng 通常是日誌訊息的最終目的地。日誌被集中至一個中央 syslog 伺服器中，以文字檔案儲存並使用 grep 和 awk 工具進行處理，後來增加了 SQL 目的地，所以各種資料庫工具可以被用來分析日誌訊息。如今有愈來愈多的日誌分析工具可以使用，且因為不同部門需要尋找日誌中的不同資訊，因此經常會使用多種工具，某些 SIEM 和分析工具開始提供自有廠牌的日誌收集工具，然而同一個任務使用多種工具是沒有效率的，這也是專用的日誌管理誕生的起因。

如果您擁有專門的日誌管理工具，則無需為每個 SIEM 或日誌分析軟體安裝單獨的日誌收集器。日誌由單個軟體收集並運送到中央位置，日誌可以被解析和過濾，然後在中央位置被長期儲存，並轉發到幾個不同的 SIEM 和日誌分析軟體。這使得軟體安裝和配置更容易，並且可以為您節省大量頻寬。不只為您節省已在地端安裝的資源，更重要的是在基於雲端的環境，因為您需要為使用雲端的任何資源支付額外費用。

甚麼是 SSB？

syslog-ng store box (SSB) 可作為日誌管理的一個中央伺服器，透過 GUI 介面簡化了配置 syslog-ng 的複雜性，並提供了許多額外的可能。

各種日誌分析工具通常需要一小部分的日誌資料，您的 SIEM 需要與身分驗證相關的事件，您的既有應用系統需要與硬體相關的日誌，而您的銷售團隊需要網路伺服器存取日誌。通常，他們只能處理少量日誌訊息並儲存有限的時間。在 SSB Web 介面上，您可以輕鬆配置不同日誌的目的地，而現在可以將日誌轉發到 Splunk HEC。

然而，有些情況是，當這些日誌從目標軟體中被刪除很久後需要再度被檢視，這就是 SSB 可以幫助您的地方。SSB 比其他各種分析工具可保留更長期的日誌訊息，不僅可以儲存日誌，還可以為它們建立索引，並提供一個易於使用的搜尋介面，這可以幫助您實現符合要求長期存檔的各種法規，並有助於快速解決問題。

您可以使用 SSB 從任何一種支援 syslog 協定的軟體中收集日誌訊息，SSB 具備 syslog-ng Premium Edition (PE) 的優勢，讓您能夠在客戶端使用 syslog-ng Premium Edition，這也提供了更多的功能，如 Windows 支援和更可靠的訊息傳輸。

Splunk 使用者長期以來依靠 syslog-ng 來收集系統日誌訊息，最初，syslog-ng 以文字檔案方式儲存日誌訊息，在透過 Splunk 轉發器轉發到 Splunk，然而，這種解決方案增加了日誌管理的複雜性。隨著 Splunk HEC 的導入，不須透過額外的軟體，syslog-ng 可以直接轉發日誌訊息到 Splunk。SSB 也為您提供了轉發 Splunk HEC 目的地的選項。

文章來源：https://www.syslog-ng.com/community/b/blog/posts/sending-logs-from-syslog-ng-store-box-to-splunk