로그 전송
여러가지 방법으로 SIEM 솔루션과 같은 외부 솔루션으로 이벤트를 보낼 수 있습니다.
검색필터를 사용하여 전송
새 필터를 생성하거나 기존 필터를 수정하여 이벤트를 보낼 수 있습니다. 다음 문서를 참고하십시오.
이벤트 전송 방식을 선택합니다.
- 알람전송(SMS, Email)
- SYSLOG
- SNMP Trap
- Webhook
항목을 채우고 생성 또는 수정 버튼을 클릭합니다.
필터 수정 이후 생성된 로그에 대해서 이벤트 전송이 시작됩니다.
SYSLOG 연동 예제 (Splunk)
다음과 같은 순서로 Splunk 솔루션과 연동합니다.
Splunk 에서 Settings > Data Inputs 아래 Local UDP 를 설정합니다.
원하는 data input port 를 구성하고 NAC 정책서버 IP를 "Only accept connection from" 항목에 입력합니다. (선택 사항)
NAC의 검색필터에서 SYSLOG 전송을 체크합니다.
다음과 같이 SYSLOG 관련 항목을 입력합니다.
- 서버주소 : Splunk 서버 IP
- 프로토콜 : UDP
- 전송포트 : Splunk에서 정의한 포트 (기본포트는 UDP:514)
- SYSLOG 메시지 : {_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}
생성 버튼을 클릭합니다.
SNMP Trap 연동 예제
SNMP Trap은 주로 디바이스 간 이벤트 전송에 활용되고, 설정 방법은 다음과 같습니다.
NAC의 검색필터에서 SNMP Trap 전송을 체크합니다.
다음과 같이 SNMP Trap 관련 항목을 입력합니다.
- 서버주소 : SNMP Trap 서버 IP
- Community : SNMP Trap 서버에서 정의한 Community
- SNMP 메시지 : DATETIME={_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}
- CHARSET : SNMP Trap 서버에서 정의한 Character Set (UTF-8 / EUC-KR)
생성 버튼을 클릭합니다.