로그의 종류 - TrusGuard DPX
DPX가 TrusAnalyzer로 전송하는 로그를 설명합니다.
로그 공통 식별 항목
대부분의 로그는 공통된 식별 필드를 갖습니다. 로그 공통 식별 항목은 다음과 같습니다.
- : ATA가 장비로부터 로그를 받은 시각을 보여줍니다.
- : 패킷이 처리된 시점에 기록한 장비의 로컬 타임 값입니다.
- : TrusAnalyzer에 장비를 등록할 때 지정한 장비 이름을 보여줍니다.
시스템 로그
장비에서 발생한 시스템 운영 중 발생한 로그를 보여줍니다. 시스템 로그를 구성하는 항목은 다음과 같습니다.
- : 시스템 로그 내용을 보여줍니다.
시스템 상태 로그
장비의 자원 및 네트워크 이용 현황, HA 상태 정보를 보여줍니다. 시스템 상태 로그를 구성하는 항목은 다음과 같습니다.
- : CPU 사용량(%)을 보여줍니다.
- : 메모리 사용량(%)을 보여줍니다.
- : 디스크 사용량(%)을 보여줍니다.
- : 로그 기록 시점의 네트워크 동시 연결 개수를 보여줍니다.
- : 보호대상 네트워크에 들어오는 트래픽 총량을 bps 단위로 보여줍니다.
- : 보호대상 네트워크에서 나가는 트래픽 총량을 bps 단위로 보여줍니다.
- : 보호대상 네트워크에 들어오는 트래픽 총량을 pps 단위로 보여줍니다.
- : 보호대상 네트워크에서 나가는 트래픽 총량을 pps 단위로 보여줍니다.
- : 시스템의 Tx/Rx 트래픽을 바이트, 패킷 개수 단위로 보여줍니다.
- : HA 상태를 보여줍니다.
DDoS 로그
시그니처, 또는 행동 기반 규칙에 의해 탐지된 공격에 대한 정보를 보여줍니다. DDoS 로그를 구성하는 항목은 다음과 같습니다.
- : 공격 유형을 식별하는 이름을 보여줍니다.
- : 탐지된 공격을 처리한 방법(허용, 차단, 시스템 격리, 사용량 제한(출발지 IP 기준), 사용량 제한(목적지 IP 기준), DDoS 공격 차단, 일괄 차단)을 표시합니다.
- : 공격을 탐지하는데 사용된 시그니처 또는 행동 기반 규칙의 ID를 보여줍니다.
- : 탐지된 공격의 위험도를 5단계(매우 높음, 높음, 보통, 낮음, 매우 낮음)로 표시합니다.
- : 공격 출발지 IP 주소와 포트 번호를 보여줍니다.
- : 공격 목적지 IP 주소와 포트 번호를 보여줍니다.
- : 공격 패킷이 들어온 네트워크 포트 이름을 보여줍니다.
- : 탐지된 공격이 사용한 프로토콜(IP, TCP, UDP, ICMP)을 보여줍니다.
- : 공격을 탐지한 정책 유형(모두, 기본 시그니처 , 사용자 정의 시그니처, 기본 행동 규칙, 기본 행동 추가 규칙 , 사용자 정의 행동 규칙)을 보여줍니다.
- : 공격을 탐지한 Zone의 이름을 보여줍니다.
- : 공격 패킷에서 식별한 MAC 주소를 보여줍니다.
- : 탐지된 공격의 상태(모두, 최초 공격 탐지, 공격 진행 중, 공격 종료)를 보여줍니다.
- : 탐지된 공격을 방어하는데 소요된 시간(단위는 초)을 보여줍니다. 최초 공격 탐지 시점에 0으로 표시되고, 공격 진행 중일 때에는 로그를 기록한 시점에 소요된 방어 시간, 공격 종료 시점에 총 방어 시간을 보여줍니다.
- : 행동 기반 탐지, 행동 기반 탐지(추가), 행동 기반 탐지(사용자 정의)에서 공격을 탐지할 때 사용하는 기준 값(패킷 개수와 초 단위 기준 시간)을 보여줍니다.
- : 탐지된 공격에 의해 발생한 트래픽을 pps 단위로 보여줍니다.
- : 출발지 IP 주소가 등록된 국가 이름을 보여줍니다.
관련 항목