.. _send-log:

로그 전송 (Event Hooks)
========================

여러가지 방법으로 SIEM 솔루션과 같은 외부 솔루션으로 이벤트를 보낼 수 있습니다.

검색필터를 사용하여 전송
----------------------------

새 필터를 생성하거나 기존 필터를 수정하여 이벤트를 보낼 수 있습니다. 다음 문서를 참고하십시오. 

    - :ref:`create-log-filter`
    - :ref:`create-log-filter-edit`

Workflow를 통해 이벤트 전송전 로그에 검증/변환 작업을 수행할 수 있습니다. 

    - Workflow를 통해 검증/변환된 데이터를 이용해서 로그를 전송할 수 있습니다.
    - 이벤트 전송에 사용할 수 있는 매크로를 Workflow에서 사용할 수 있습니다.
        
        - {_NODE_IPSTR}와 같은 매크로는 Workflow에서 ${request._NODE_IPSTR} 형식으로 사용할 수 있습니다.
        - Workflow를 실행한 후 결과는 각 이벤트 전송 설정에서  ${workflow}, ${workflow.result} 형식으로 Workflow의 Response Body Template에서 정의한 JSON 결과를 ${workflow.jsonKey} 형식으로 사용할 수 있습니다.

#. 이벤트 전송 방식을 선택합니다.

    - 알람전송(SMS, Email)
    - SYSLOG
    - SNMP Trap
    - Webhook
#. 항목을 채우고 생성 또는 수정 버튼을 클릭합니다. 
#. 필터 수정 이후 생성된 로그에 대해서 이벤트 전송이 시작됩니다. 

SYSLOG 연동 예제 (Splunk)
---------------------------

다음과 같은 순서로 Splunk 솔루션과 연동합니다.

1. Splunk 에서 **Settings > Data Inputs** 아래 Local UDP 를 설정합니다.
2. 원하는 **data input port** 를 구성하고 ZTNA 정책서버 IP를 "Only accept connection from" 항목에 입력합니다. (*선택 사항*)
3. ZTNA의 검색필터에서 SYSLOG 전송을 체크합니다.
4. 다음과 같이 SYSLOG 관련 항목을 입력합니다.

    - **서버주소** : Splunk 서버 IP
    - **프로토콜** : **UDP**
    - **전송포트** : Splunk에서 정의한 포트 (기본포트는 UDP:514)
    - **SYSLOG 메시지** : {_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}
5. 생성 버튼을 클릭합니다.


SNMP Trap 연동 예제
---------------------------
SNMP Trap은 주로 디바이스 간 이벤트 전송에 활용되고, 설정 방법은 다음과 같습니다.

1. ZTNA의 검색필터에서 SNMP Trap 전송을 체크합니다.
2. 다음과 같이 SNMP Trap 관련 항목을 입력합니다.

    - **서버주소** : SNMP Trap 서버 IP
    - **Community** : SNMP Trap 서버에서 정의한 Community
    - **SNMP 메시지** : DATETIME={_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}
    - **CHARSET** : SNMP Trap 서버에서 정의한 Character Set (UTF-8 / EUC-KR)
3. 생성 버튼을 클릭합니다.


.. note:: 이메일 알람을 전송하려면 메일서버 설정 및 관리자 메일 설정을 모두 완료해야합니다. 
    
    참고 링크: :doc:`/system/email` , :doc:`/system/admin-account`