.. _send-log:
로그 ì „ì†¡
============
여러가지 방법으로 SIEM 솔루션과 ê°™ì€ ì™¸ë¶€ 솔루션으로 ì´ë²¤íŠ¸ë¥¼ 보낼 수 있습니다.
검색필터를 사용하여 ì „ì†¡
----------------------------
새 필터를 ìƒì„±í•˜ê±°ë‚˜ 기존 필터를 ìˆ˜ì •í•˜ì—¬ ì´ë²¤íŠ¸ë¥¼ 보낼 수 있습니다. ë‹¤ìŒ ë¬¸ì„œë¥¼ ì°¸ê³ í•˜ì‹ì‹œì˜¤.
- :ref:`create-log-filter`
- :ref:`create-log-filter-edit`
#. ì´ë²¤íŠ¸ ì „ì†¡ ë°©ì‹ì„ ì„ íƒí•©ë‹ˆë‹¤.
- ì•ŒëžŒì „ì†¡(SMS, Email)
- SYSLOG
- SNMP Trap
- Webhook
#. í•ëª©ì„ ì±„ìš°ê³ ìƒì„± ë˜ëŠ” ìˆ˜ì • ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
#. í•„í„° ìˆ˜ì • ì´í›„ ìƒì„±ëœ ë¡œê·¸ì— ëŒ€í•´ì„œ ì´ë²¤íŠ¸ ì „ì†¡ì´ ì‹œìž‘ë©ë‹ˆë‹¤.
SYSLOG ì—°ë™ ì˜ˆì œ (Splunk)
---------------------------
다ìŒê³¼ ê°™ì€ ìˆœì„œë¡œ Splunk 솔루션과 ì—°ë™í•©ë‹ˆë‹¤.
1. Splunk ì—ì„œ **Settings > Data Inputs** 아래 Local UDP 를 ì„¤ì •í•©ë‹ˆë‹¤.
2. ì›í•˜ëŠ” **data input port** 를 êµ¬ì„±í•˜ê³ ZTNA ì •ì±…ì„œë²„ IP를 "Only accept connection from" í•ëª©ì— ìž…ë ¥í•©ë‹ˆë‹¤. (*ì„ íƒ ì‚¬í•*)
3. ZTNAì˜ ê²€ìƒ‰í•„í„°ì—ì„œ SYSLOG ì „ì†¡ì„ ì²´í¬í•©ë‹ˆë‹¤.
4. 다ìŒê³¼ ê°™ì´ SYSLOG ê´€ë ¨ í•ëª©ì„ ìž…ë ¥í•©ë‹ˆë‹¤.
- **서버주소** : Splunk 서버 IP
- **í”„ë¡œí† ì½œ** : **UDP**
- **ì „ì†¡í¬íŠ¸** : Splunkì—ì„œ ì •ì˜í•œ í¬íŠ¸ (기본í¬íŠ¸ëŠ” UDP:514)
- **SYSLOG 메시지** : {_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}
5. ìƒì„± ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
SNMP Trap ì—°ë™ ì˜ˆì œ
---------------------------
SNMP Trapì€ ì£¼ë¡œ 디바ì´ìŠ¤ ê°„ ì´ë²¤íŠ¸ ì „ì†¡ì— í™œìš©ë˜ê³ , ì„¤ì • ë°©ë²•ì€ ë‹¤ìŒê³¼ 같습니다.
1. ZTNAì˜ ê²€ìƒ‰í•„í„°ì—ì„œ SNMP Trap ì „ì†¡ì„ ì²´í¬í•©ë‹ˆë‹¤.
2. 다ìŒê³¼ ê°™ì´ SNMP Trap ê´€ë ¨ í•ëª©ì„ ìž…ë ¥í•©ë‹ˆë‹¤.
- **서버주소** : SNMP Trap 서버 IP
- **Community** : SNMP Trap 서버ì—ì„œ ì •ì˜í•œ Community
- **SNMP 메시지** : DATETIME={_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}
- **CHARSET** : SNMP Trap 서버ì—ì„œ ì •ì˜í•œ Character Set (UTF-8 / EUC-KR)
3. ìƒì„± ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
.. note:: ì´ë©”ì¼ ì•ŒëžŒì„ ì „ì†¡í•˜ë ¤ë©´ ë©”ì¼ì„œë²„ ì„¤ì • ë° ê´€ë¦¬ìž ë©”ì¼ ì„¤ì •ì„ ëª¨ë‘ ì™„ë£Œí•´ì•¼í•©ë‹ˆë‹¤.
ì°¸ê³ ë§í¬: :doc:`/system/email` , :doc:`/system/admin-account`