SIEM 연동 방법
SYSLOG 전송 설정
Insights E 서버에서 발생하는 로그는 인덱스 별로 SYSLOG 전송 기능을 제공합니다.
관리 > 설정 > 환경설정 > 외부연동 메뉴로 이동, +추가 버튼을 클릭 합니다. 각 항목의 세부 설명은
아래 내용을 참고 하세요필요한 인덱스와 필드 선택 시 아래와 같이 사용할 수 있는 모든 필드값이 자동으로 입력됩니다. 인덱스 별 설명은 다음을 참고하십시오. 수집 인덱스 구조 및 설명
저장 버튼 클릭 후 좌측 상단 체크 버튼 까지 클릭 하여 적용 합니다.
각 항목의 설명은 아래와 같습니다.
이름 |
내용 |
|---|---|
서버IP |
SYSLOG 를 전송할 서버 IP 주소를 입력합니다. |
프로토콜 |
SYSLOG 전송 포트를 설정합니다. UDP,TCP,TCP(TLS) 지원하며 GMODULE의 경우 TCP(TLS)만 지원합니다. |
전송포트 |
기본포트는 UDP:514, TCP:1470, TCP(TLS):6514이며, 그 외 별도 정의 된 포트가 존재한다면 포트를 입력합니다. |
인덱스 선택 |
Insights E에 현재 저장되어 있는 인덱스 중 필요한 인덱스를 선택합니다. |
중계서버 IP |
다수의 Insights E 서버가 있을 경우 중계IP를 설정하여 SYSLOG 를 전송합니다. |
인덱스 선택 |
SYSLOG를 전송할 인덱스를 선택합니다. |
타임존 |
서버가 위치해 있는 지역을 선택합니다. |
형식 |
SYSLOG 포맷을 설정합니다. RFC3164와 RFC5424를 지원합니다 (기본값:RFC3164) |
필터 설정 |
특정 필드의 Key와 Value 조건으로 필터링하여 전송이 필요할 때 설정합니다. |
SYSLOG 메시지 |
인덱스 타입 선택 시 사용할 수 있는 모든 필드값이 자동으로 입력됩니다. |
존재하지 않는 필드명 대체 문자열 |
필드가 존재하지 않을 경우 공간을 채우기 위해 설정합니다. |
필드 변환 사용 |
특정 필드에 저장되는 값을 다른 문자열로 변환이 필요할 때 설정합니다. |
필드 변환
필드 : 치환 대상 필드를 입력합니다.
치환할 문자열 : 필드 내 지환이 필요한 문자열을 지정합니다.
치환될 문자열 : 치환할 문자열을 대체할 문자열을 지정합니다.