로그 전송

여러가지 방법으로 SIEM 솔루션과 같은 외부 솔루션으로 이벤트를 보낼 수 있습니다.

검색필터를 사용하여 전송

새 필터를 생성하거나 기존 필터를 수정하여 이벤트를 보낼 수 있습니다. 다음 문서를 참고하십시오.

  1. 이벤트 전송 방식을 선택합니다.

    • 알람전송(SMS, Email)

    • SYSLOG

    • SNMP Trap

    • Webhook

  2. 항목을 채우고 생성 또는 수정 버튼을 클릭합니다.

  3. 필터 수정 이후 생성된 로그에 대해서 이벤트 전송이 시작됩니다.

SYSLOG 연동 예제 (Splunk)

다음과 같은 순서로 Splunk 솔루션과 연동합니다.

  1. Splunk 에서 Settings > Data Inputs 아래 Local UDP 를 설정합니다.

  2. 원하는 data input port 를 구성하고 NAC 정책서버 IP를 "Only accept connection from" 항목에 입력합니다. (선택 사항)

  3. NAC의 검색필터에서 SYSLOG 전송을 체크합니다.

  4. 다음과 같이 SYSLOG 관련 항목을 입력합니다.

    • 서버주소 : Splunk 서버 IP

    • 프로토콜 : UDP

    • 전송포트 : Splunk에서 정의한 포트 (기본포트는 UDP:514)

    • SYSLOG 메시지 : {_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}

  5. 생성 버튼을 클릭합니다.

SNMP Trap 연동 예제

SNMP Trap은 주로 디바이스 간 이벤트 전송에 활용되고, 설정 방법은 다음과 같습니다.

  1. NAC의 검색필터에서 SNMP Trap 전송을 체크합니다.

  2. 다음과 같이 SNMP Trap 관련 항목을 입력합니다.

    • 서버주소 : SNMP Trap 서버 IP

    • Community : SNMP Trap 서버에서 정의한 Community

    • SNMP 메시지 : DATETIME={_DATETIME},LOGTYPE={_LOGTYPE},LOGID={_LOGID},IP={_IP},MAC={_MAC},MSG={_FULLMSG}, DETAIL={_DETAILMSG}

    • CHARSET : SNMP Trap 서버에서 정의한 Character Set (UTF-8 / EUC-KR)

  3. 생성 버튼을 클릭합니다.

Note

이메일 알람을 전송하려면 메일서버 설정 및 관리자 메일 설정을 모두 완료해야합니다.

참고 링크: 외부 전송 이메일 서버 설정 , 관리자 계정