문서 내용 표시숨기기

로그의 종류 - TrusZone

VTN이 TrusAnalyzer로 전송하는 로그를 설명합니다.

로그 공통 식별 항목

대부분의 로그는 공통된 식별 필드를 갖습니다. 로그 공통 식별 항목은 다음과 같습니다.

• 로그 수신 시각: ATA가 장비로부터 로그를 받은 시각을 보여줍니다.
• 로그 기록 시각: 패킷이 처리된 시점에 기록한 장비의 로컬 타임 값입니다.
• 장비 이름: TrusAnalyzer에 장비를 등록할 때 지정한 장비 이름을 보여줍니다.

시스템 로그

장비에서 발생한 시스템 운영 중 발생한 로그를 보여줍니다. 시스템 로그를 구성하는 항목은 다음과 같습니다.

• 내용: 운영 로그 내용을 보여줍니다.

방화벽 로그

패킷 필터링을 통해 처리된 패킷에 대한 정보를 보여줍니다. 방화벽 로그를 구성하는 항목은 다음과 같습니다.

• 세션 상태: 세션 상태는 패킷 필터링이 네트워크 연결에 적용된 결과(차단, 허용, 종료)를 보여줍니다. 차단된 연결 또는 UDP 연결은 세션이 존재하지 않기 때문에 종료 로그가 남지 않습니다. 허용된 TCP 세션은 종료 시점에 종료 로그를 기록합니다.
• 로그 ID: 방화벽 정책마다 각각 로그 ID를 갖습니다. 로그 ID는 관리자가 임의로 지정하거나, 자동으로 생성하여 사용할 수 있습니다. 장비d에 이미 기본 할당된 로그 ID가 있습니다. 기본 로그 ID는 여기를 참고하십시오.
• 프로토콜: 네트워크 연결이 사용하는 프로토콜(TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP)을 보여줍니다.
• 출발지 IP:포트(NIF): 패킷 또는 연결의 출발지 IP 주소와 포트를 보여줍니다. NIF는 패킷이 들어온 네트워크 포트 이름과 연결된 네트워크(예: eth0)을 보여줍니다.
• 목적지 IP:포트(NIF): 패킷 또는 연결의 목적지 IP 주소와 포트를 보여줍니다. NIF는 목적지 IP 주소로 연결을 허용하는데 사용한 네트워크 포트 이름을 보여줍니다. 차단된 연결인 경우, 네트워크 포트 이름대신에 none으로 표기합니다.
• 지속시간: 네트워크에 연결된 경우, 연결이 지속된 시간입니다.

에이전트 로그

TrusZone for i 관리 내역을 보여줍니다. 에이전트 로그를 구성하는 항목은 다음과 같습니다.

• 사용자 ID: 에이전트 사용자의 ID를 보여줍니다.
• 에이전트 IP: 에이전트의 IP 주소를 보여줍니다.
• 결과: 처리 방법의 실행 결과(성공, 실패)를 보여줍니다.
• 처리 방법: 에이전트 상태(에이전트 설치, 에이전트 삭제, 에이전트 실행, 에이전트 정지, 에이전트 업데이트, 에이전트 무결성 검사)를 보여줍니다.

가상 환경 로그

사용자 PC에서 TrusZone for i를 통해 가상환경에 적용한 정책 내역을 보여줍니다. 가상 환경 로그를 구성하는 항목은 다음과 같습니다.

• 사용자 ID: 에이전트 사용자의 ID를 보여줍니다.
• 에이전트 IP: 에이전트의 IP 주소를 보여줍니다.
• 결과: 처리 방법의 실행 결과(성공, 실패, 차단, 허용)을 보여줍니다.
• 처리 방법: 공유 폴더/파일 생성, 공유 폴더/파일 삭제, 데이터 초기화, 자동 격리, LPT/COM 포트 연결, 볼륨 디바이스 파일 생성, 볼륨 디바이스 파일 삭제, 프린터 출력, 프로세스 실행, 프로세스 종료, 가상환경 백업, 가상환경 복원 등 TrusZone for i를 통해 가상 환경에서 실행한 내역을 보여줍니다.
• 파일 이름: TrusZone for i가 처리한 파일 이름을 보여줍니다.
• 프로세스 이름: TrusZone for i가 처리한 프로세스 이름을 보여줍니다.
• 격리 대상: TrusZone for i가 자동 격리한 대상 이름을 보여줍니다.
• 연결된 장치: LPT/COM 포트를 통해 가상 환경에 연결된 장치를 보여줍니다.

프로그램 보호 로그

프로세스, 드라이버 등이 비정상적이거나 정책에 위배되는 행동을 할 때 이를 탐지하고 처리한 내역을 보여줍니다.

• 사용자 ID: 에이전트 사용자의 ID를 보여줍니다.
• 에이전트 IP: 에이전트의 IP 주소를 보여줍니다.
• 결과: 처리 방법의 실행 결과(성공, 실패, 차단, 허용)을 보여줍니다.
• 처리 방법: 버퍼 오버플로우, 드라이버 설치, 라우팅 테이블 변경, 프로그램 실행, 스크린 캡처 차단, ActiveX 차단, 프린터 차단, 세션 자동 차단과 같은 이벤트 내역을 보여줍니다.
• BOF 위치: 버퍼 오버플로우가 발생한 메모리 상의 위치를 보여줍니다.
• 드라이버 이름: 드라이버 설치 이벤트와 관련된 드라이버 이름을 보여줍니다.
• 프로세스 이름: TrusZone for i가 처리한 프로세스 이름을 보여줍니다.

TrusZone 터널 로그

가상 환경에서 TrusZone을 사용해 인터넷을 연결한 내역을 보여줍니다. TrusZone 터널 로그를 구성하는 항목은 다음과 같습니다.

• 사용자 ID: 에이전트 사용자의 ID를 보여줍니다.
• 에이전트 IP: 에이전트의 IP 주소를 보여줍니다.

• 내용: TrusZone 터널을 통해 연결된 내역을 보여줍니다.

관련 항목

• 로그 검색
• 모니터
• 로그 ID