문서 내용 표시숨기기

로그의 종류 - TrusGuard

TG가 TrusAnalyzer로 전송하는 로그를 설명합니다.

로그 공통 식별 항목

대부분의 로그는 공통된 식별 필드를 갖습니다. 로그 공통 식별 항목은 다음과 같습니다.

• 로그 수신 시각: ATA가 장비로부터 로그를 받은 시각을 보여줍니다.
• 로그 기록 시각: 패킷이 처리된 시점에 기록한 장비의 로컬 타임 값입니다.
• 장비 이름: TrusAnalyzer에 장비를 등록할 때 지정한 장비 이름을 보여줍니다.

시스템 로그

장비에서 발생한 시스템 운영 중 발생한 로그를 보여줍니다. 시스템 로그를 구성하는 항목은 다음과 같습니다.

• 내용: 운영 로그 내용을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

시스템 상태 로그

장비의 자원 및 네트워크 이용 현황, HA 상태 정보를 보여줍니다. 시스템 상태 로그를 구성하는 항목은 다음과 같습니다.

• CPU: CPU 사용량(%)을 보여줍니다.
• 메모리: 메모리 사용량(%)을 보여줍니다.
• 디스크: 디스크 사용량(%)을 보여줍니다.
• 세션: 로그 기록 시점의 네트워크 동시 연결 개수를 보여줍니다.
• Tx|Rx(bytes/pkts.): 시스템의 Tx/Rx 트래픽을 바이트, 패킷 개수 단위로 보여줍니다.
• HA: HA 상태를 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

방화벽 로그

패킷 필터링을 통해 처리된 패킷에 대한 정보를 보여줍니다. 패킷 필터링은 방화벽 정책 뿐만 아니라 IPS, IPSec VPN, 콘텐츠 필터의 기초가 되는 핵심 기능입니다. 방화벽 로그를 구성하는 항목은 다음과 같습니다.

• 세션 상태: 세션 상태는 패킷 필터링이 네트워크 연결에 적용된 결과(차단, 허용, 종료)를 보여줍니다. 차단된 연결 또는 UDP 연결은 세션이 존재하지 않기 때문에 종료 로그가 남지 않습니다. 허용된 TCP 세션은 종료 시점에 종료 로그를 기록합니다.
• 로그 ID: 방화벽 정책마다 각각 로그 ID를 갖습니다. 로그 ID는 관리자가 임의로 지정하거나, 자동으로 생성하여 사용할 수 있습니다. TrusGuard에 이미 기본 할당된 로그 ID가 있습니다. TrusGuard의 기본 로그 ID는 여기를 참고하십시오.
• 프로토콜: 네트워크 연결이 사용하는 프로토콜(IP, TCP, UDP, ICMP)을 보여줍니다.
• 출발지 IP:포트(NIF): 패킷 또는 연결의 출발지 IP 주소와 포트를 보여줍니다. NIF는 패킷이 들어온 네트워크 포트 이름과 연결된 네트워크(예: eth0(INTERNAL, eth1(DMZ))을 보여줍니다.
• 목적지 IP:포트(NIF): 패킷 또는 연결의 목적지 IP 주소와 포트를 보여줍니다. NIF는 목적지 IP 주소로 연결을 허용하는데 사용한 네트워크 포트 이름을 보여줍니다. 차단된 연결인 경우, 네트워크 포트 이름대신에 none으로 표기합니다.
• Tx|Rx(bytes/pkts.): 방화벽 규칙에 따라 처리한 Tx/Rx 트래픽을 바이트, 패킷 개수 단위로 보여줍니다.
• 상세 정보: 위에 서술된 필드 외에 포함되지 않은 모든 정보를 상세 정보에 보여줍니다. 필드의 구분자로 쉼표(,)를 사용합니다. 상세 정보에서 확인할 수 있는 정보는 다음과 같습니다.
• NAT 관련 정보: NAT 유형(SNAT, DNAT), 변환된 IP/포트를 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.
• TCP 플래그: TCP 세션을 기록한 로그는 TCP 플래그 정보를 포함합니다.

IPS 로그

네트워크 침입 방지(IPS)를 통해 처리된 패킷에 대한 정보를 보여줍니다. IPS 로그를 구성하는 항목은 다음과 같습니다.

• 위험도: 탐지된 공격의 위험도를 5단계(매우 높음, 높음, 보통, 낮음, 매우 낮음)로 표시합니다.
• 처리 방법: 탐지된 공격을 처리한 방법(허용, 차단, 시스템 격리, 세션 끊기, 사용량 제한, DDoS 공격 차단)을 표시합니다.
• 프로토콜: 탐지된 공격이 사용한 프로토콜(IP, TCP, UDP, ICMP)을 보여줍니다.
• 출발지 IP:포트: 공격을 탐지한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 공격을 탐지한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 네트워크 포트: 공격 패킷이 들어온 네트워크 포트 이름을 보여줍니다.
• MAC 주소: 공격 패킷에서 식별한 MAC 주소를 보여줍니다.
• 공격 유형: 공격 유형을 식별하는 이름을 보여줍니다.
• 규칙 ID: 공격을 탐지하는데 사용된 시그니처, 행동 기반 규칙의 ID를 보여줍니다.
• 국가: 공격 출발지 IP 주소가 등록된 국가 이름을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

시스템 격리 로그

네트워크 침입 방지(IPS)를 통해 적용된 시스템 격리 내역을 보여줍니다. 시스템 격리 로그를 구성하는 항목은 다음과 같습니다.

• 처리 방법: 탐지된 공격을 처리한 방법(격리, 웹 리디렉션, 세션 차단)을 표시합니다. 경고 메시지 URL을 지정한 경우, 처리 방법은 웹 리디렉션으로 표시됩니다.
• 출발지 IP: 시스템 격리에 의해 처리된 출발지 IP 주소를 보여줍니다.
• 내용: 시스템 격리 원인, 시스템 격래 해제 시각 등을 표시합니다. 웹 리디렉션이 적용된 경우, 웹 리디렉션 URL을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

콘텐츠 필터 로그

프록시 또는 기타 애플리케이션 서비스에 의해 연결된 세션 정보와 프록시에서 발생한 이벤트를 보여줍니다. 콘텐츠 필터 로그를 구성하는 항목은 다음과 같습니다.

• 필터: 네트워크 연결에 적용된 프록시 유형 또는 필터(SMTP, POP3, FTP, SQL*Net, GENERAL, HTTP, UDP, DNS, V3)를 보여줍니다. V3는 V3 바이러스 차단 필터가 적용되었을 때 나타납니다.
• 내용: 프록시를 통해 발생한 이벤트(출발지 IP와 포트, 목적지 IP와 포트, 세션 연결/종료)를 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

웹사이트 필터 로그

웹사이트 필터를 통해 처리된 내역을 보여줍니다. 웹사이트 필터는 HTTP 프록시와 함께 사용됩니다. 웹사이트 필터는 특정한 URL을 필터링하거나 인터넷 내용등급DB, 내용등급 태그(PICS)에 의한 필터링을 할 때 사용합니다. 웹사이트 필터 로그를 구성하는 항목은 다음과 같습니다.

• 위험도: 웹사이트 필터가 차단한 정보의 위험도를 표시합니다.
• 처리 방법: 탐지된 웹 연결을 처리한 방법(차단, 허용)을 표시합니다.
• 프로토콜: 웹사이트 필터가 적용된 프로토콜(IP, TCP, UDP, ICMP)을 보여줍니다.
• 출발지 IP:포트: 웹사이트 연결을 요청한 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 웹사이트의 IP 주소와 포트를 보여줍니다.
• URL: 웹사이트 필터링에서 탐지한 URL을 보여줍니다.
• 국가: 웹사이트가 등록된 국가 명을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

바이러스 차단 로그

HTTP 프록시, FTP 프록시, SMTP 프록시, POP3 프록시에서 바이러스를 탐지하고 처리한 내역을 보여줍니다. 바이러스 차단 로그를 구성하는 항목은 다음과 같습니다.

• 위험도: 바이러스 차단 필터가 탐지한 바이러스의 위험도를 표시합니다.
• 처리 방법: 탐지된 바이러스에 적용한 처리 방법(허용, 차단)을 보여줍니다.
• 출발지 IP:포트: 바이러스를 차단한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 바이러스를 차단한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 프로토콜: 바이러스가 탐지된 연결에서 사용된 프로토콜(IP, TCP, UDP, ICMP)을 보여줍니다.
• 필터 종류: 바이러스 필터를 호출한 프록시(SMTP, POP3, FTP, HTTP)를 보여줍니다.
• 탐지 모듈: 바이러스 차단에 사용된 탐지 모듈(V3, Commtouch, File text, FileExtension)을 보여줍니다. V3는 안랩의 V3 엔진, Commtouch는 Commtouch의 RPD 엔진에 의해 탐지되었음을 나타냅니다.
• 파일 이름: 바이러스가 탐지된 파일 이름을 보여줍니다. HTTP 연결에서 바이러스를 탐지한 경우, 바이러스 파일의 URL을 보여줍니다.
• 상세 정보: 바이러스의 진단명, 파일이 첨부된 메일의 발신자와 메일 제목 등을 보여줍니다.

스팸 메일 차단 로그

SMTP 프록시, POP3 프록시에서 스팸을 탐지하고 처리한 내역을 보여줍니다. 스팸 메일 차단 로그를 구성하는 항목은 다음과 같습니다.

• 위험도: 스팸 메일 차단 필터가 탐지한 스팸 메일의 위험도를 표시합니다.
• 처리 방법: 스팸 메일에 적용한 처리 방법(허용, 차단)을 보여줍니다.
• 프로토콜: 스팸이 탐지된 연결에서 사용된 프로토콜(IP, TCP, UDP, ICMP)을 보여줍니다.
• 출발지 IP:포트: 스팸이 탐지된 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 스팸이 탐지된 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 국가: 메일을 발송한 출발지 IP 주소가 등록된 국가 명을 보여줍니다.
• 발송자 메일 주소: 스팸 메일을 발송한 메일 주소를 보여줍니다.
• 수신인 메일 주소: 스팸 메일의 수신인 메일 주소를 보여줍니다.
• 메일 제목: 스팸 메일의 제목을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

IPSec VPN 로그

IPSec VPN 연결을 위한 SA 협상 내역 및 터널 상태 정보를 보여줍니다. IPSec VPN 터널에서 이뤄지는 통신은 방화벽 로그를 참고하십시오. IPSec VPN 로그를 구성하는 항목은 다음과 같습니다.

• IPSec 상태: IPSec VPN 연결을 위한 SA 상태(키 협상, 재협상, 삭제, 검증된 암호화, 수동 키, DPD, 복호화 오류)를 보여줍니다.
• 키 협상: SA 생성에 필요한 키 협상 중임을 나타냅니다.
• 재협상: 키 협상 주기가 만료되어 키 협상을 다시 하고 있음을 나타냅니다.
• 삭제: SA에서 사용하는 키를 삭제했음을 나타냅니다.
• 검증된 암호화: 검증필 암호모듈을 사용하여 전송 데이터를 암호화하였음을 나타냅니다.
• 수동 키: SA 생성 과정에서 수동 키를 사용했음을 나타냅니다.
• DPD(Dead Peer Detection): 상대방 IPSec VPN 게이트웨이의 상태가 확인되지 않아 확인 중임을 나타냅니다.
• 복호화 오류: IPSec VPN 통신 패킷을 복호화하지 못했음을 나타냅니다.
• 결과: IPSec VPN 연결에 사용되는 SA 처리 결과(성공, 실패)를 보여줍니다.
• 원격지 ID: 원격지 IPSec VPN 게이트웨이의 ID를 보여줍니다.
• 원격지 IP: 원격지 IPSec VPN 게이트웨이의 IP 주소를 보여줍니다.
• 내용: IPSec VPN 연결 처리 내용을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

SSL VPN 로그

SSL VPN 통신 연결 요청을 받아 처리한 내역을 보여줍니다. SSL VPN 로그를 구성하는 항목은 다음과 같습니다.

• 구분: SSL VPN 터널 연결 요청(로그인)과 터널 종료(로그아웃)중 하나를 보여줍니다.
• 사용자 ID: SSL VPN 연결을 요청한 사용자의 ID를 보여줍니다.
• IP 주소: SSL VPN 연결을 요청한 사용자의 IP 주소를 보여줍니다.
• 결과: SSL VPN 연결 처리 결과(성공, 실패)를 보여줍니다.
• 내용: SSL VPN 연결 처리 내용을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

인터넷 접근 제어 로그

인터넷 접근 제어를 통해 처리된 네트워크 연결 정보를 보여줍니다. 인터넷 접근 제어 로그를 구성하는 항목은 다음과 같습니다.

• 처리 방법: 인터넷 접근 제어 요청 연결에 적용한 처리 내역(허용, 차단, 에이전트 설치 유도, 삭제, 차단(미설치), 악성 패킷 차단 요청, 치료 상태 감시 중, AhnReport 자동 수집 요청, 격리 요청)을 보여줍니다.
• 허용: Policy Agent가 설치되어 있어 인터넷 연결을 허용했음을 나타냅니다.
• 차단: Policy Agent가 차단을 요청했음을 나타냅니다.
• 에이전트 설치 유도: Policy Agent가 설치되어 있지 않아 Agent 설치 페이지로 리디렉션했음을 나타냅니다.
• 삭제: Policy Agent를 삭제했음을 나타냅니다.
• 차단(미설치): Policy Agent가 설치되어 있지 않아 인터넷 연결을 차단했음을 나타냅니다.
• 악성 패킷 차단 요청: (APC 4.0 전용) 감염된 Policy Agent에게 악성 패킷 차단 요청을 한 상태입니다.
• 대응 상태 감시 중: (APC 4.0 전용) V3 Internet Security 8.0을 최신 버전으로 업데이트한 다음 PC 검사를 진행한 결과를 확인하고 있는 상태입니다.
• AhnReport 자동 수집 요청: (APC 4.0 전용) V3 Internet Security 8.0으로 치료가 되지 않는 악성코드가 있을 경우 AhnReport를 자동으로 수집하도록 요청을 한 상태입니다.
• 격리 요청: (APC 3.0 전용) 악성 트래픽의 확산을 막기 위해 감염된 Policy Agent에게 네트워크에서 격리하도록 요청한 상태입니다.
• 프로토콜: 인터넷 접근 제어를 적용한 연결에서 사용된 서비스 포트 번호를 보여줍니다.
• 출발지 IP:포트: 인터넷 접근 제어를 적용한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 인터넷 접근 제어를 적용한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 국가: 인터넷 접근 제어 연결에 의해 처리된 연결의 목적지 IP 주소가 등록된 국가 명을 보여줍니다.
• 내용: 감염된 Agent에서 탐지된 악성 패킷 진단명을 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

DNS 필터 로그

DNS 프록시가 처리한 DNS 질의 내역을 보여줍니다. DNS 필터 로그를 구성하는 항목은 다음과 같습니다.

• 처리 방법: DNS 필터를 적용한 처리 내역(허용, 차단)을 보여줍니다.
• 출발지 IP:포트: DNS 필터를 적용한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: DNS 필터를 적용한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 프로토콜: DNS 필터를 적용한 연결에서 사용된 서비스 포트 번호를 보여줍니다.
• 정책: DNS 필터가 적용된 정책을 보여줍니다.
• 내용: DNS 질의 내용을 보여줍니다. 질의에 사용된 도메인 주소와 응답받은 IP 주소, 처리 내역 정보를 포함합니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

QoS 로그

방화벽 정책에 따라 허용된 네트워크 연결에 QoS를 적용한 내역을 보여줍니다. QoS 로그를 구성하는 항목은 다음과 같습니다.

• QoS 이름: 사용된 QoS 객체의 이름을 보여줍니다.
• 네트워크 포트: QoS는 방화벽 정책에 따라 허용된 패킷을 목적지로 전달할 때 사용하는 네트워크 포트에 적용됩니다. 이 필드는 QoS가 적용된 네트워크 포트 이름을 보여줍니다.
• bps: QoS가 적용된 트래픽을 bps 단위로 보여줍니다.
• pps: QoS가 적용된 트래픽을 pps 단위로 보여줍니다.

Anti-MalSite 필터 로그

SiteGuard DB를 사용하여 사용자가 유해 사이트에 연결할 때 이를 탐지하고 처리한 내역을 보여줍니다. Anti-MalSite 필터 로그를 구성하는 항목은 다음과 같습니다.

• 처리 방법: Anti-MalSite 필터 설정에 따라 적용한 처리 내역(허용, 차단)을 보여줍니다.

• 위험도: 탐지된 유해 사이트의 위험도를 표시합니다.
• 처리 방법: 탐지된 유해 사이트 접근에 적용한 처리 방법(허용, 차단)을 보여줍니다.
• 프로토콜: 탐지된 유해 사이트 연결에서 사용된 프로토콜(TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP)을 보여줍니다.
• 출발지 IP:포트: Anti-MalSite 필터를 적용한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: Anti-MalSite 필터를 적용한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 필터 종류: Anti-MalSite 필터의 종류(악성 스크립트, 사기 사이트, 피싱 사이트, 악성코드가 포함된 웹 페이지)를 보여줍니다.
• 악성코드 실행 유도 웹 페이지: 악성코드를 실행하도록 유도(예: 악성코드가 포함된 코덱 패키지)하는 웹 페이지를 탐지합니다.
• 악성 스크립트: 해킹에 의해 악의적으로 변조되어 악성 스크립트를 포함하고 있는 웹 페이지를 탐지합니다.
• 사기 사이트: 서울특별시 전자상거래센터에 등록되어 있는 사기 사이트를 탐지합니다.
• 피싱 사이트: 정상적인 웹사이트로 위장하여 사용자의 금품을 노리는 피싱(phishing) 사이트를 탐지합니다.
• 악성코드가 포함된 웹 페이지: 접속하는 사용자에게 악성코드를 전파하는 웹 페이지를 탐지합니다.
• 정책: Anti-MalSite 필터가 적용된 정책을 보여줍니다.
• 내용: Anti-MalSite가 탐지한 유해 사이트 관련 정보를 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

웹 트래픽 제한 로그

목적지 포트가 TCP 80인 연결에 적용된 웹 트래픽 제한 내역을 보여줍니다. 웹 트래픽 제한은 특정한 사용자 PC가 과도한 웹 트래픽을 유발할 때 사용자의 네트워크 연결이 사용하는 대역폭을 강제로 조정하는 기능입니다. 웹 트래픽 제한 로그를 구성하는 항목은 다음과 같습니다.

• 위험도: 웹 트래픽의 위험도를 표시합니다.
• 프로토콜: 웹 트래픽에서 사용된 프로토콜(TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP)을 보여줍니다.
• 출발지 IP:포트: 웹 트래픽 제한을 적용한 연결의 출발지 IP 주소와 포트를 보여줍니다.
• 목적지 IP:포트: 웹 트래픽 제한을 적용한 연결의 목적지 IP 주소와 포트를 보여줍니다.
• 내용: 웹 트래픽 제한에 따라 적용된 하면서 발생한 정보를 보여줍니다.
• 기관 코드: 장비를 사용하는 기관의 식별 코드를 보여줍니다. 이 기능은 행정안전부에서 기관 코드를 할당받은 기관에서만 사용할 수 있습니다.

관련 항목

• 실시간 보기
• 로그 검색
• 모니터
• 로그 ID