Syslog 설정

Syslog 연동 설정

Syslog 전달에 관한 항목을 설정합니다. Syslog를 전달할 서버 추가 및 전달 로그의 전송 포맷, 3rd Party(SIEM, 통합 로그 분석 시스템, 통합 백업 시스템 등)로 전송할 로그 항목을 설정할 수 있습니다.

Syslog 연동 설정에서 확인할 수 있는 주요 기능은 다음과 같습니다.

참고

설정 > 에이전트 > 전달 로그 설정에서 전달 로그 항목으로 설정되지 않은 로그는 전송 항목으로 설정해도 로그가 전송되지 않습니다.

Syslog를 전달할 서버 목록입니다. Syslog 전달 서버 목록을 확인하는 방법은 다음과 같습니다.

웹 화면 위쪽의 대 메뉴에서 설정을 선택합니다.
왼쪽 메뉴에서 설정 > 연동 설정을 선택합니다.
연동 설정 > Syslog 연동 설정을 선택합니다.
Syslog를 전달할 서버 목록을 확인합니다. Syslog를 전달할 서버를 새로 추가하거나, 목록에서 추가된 항목을 삭제하거나 수정할 수 있습니다.

추가: Syslog를 전달할 서버를 추가합니다. 추가를 클릭하면 <Syslog 전달 서버 추가>에서 Syslog를 전달할 서버를 추가할 수 있습니다.
수정: 등록된 Syslog 전달 서버를 수정합니다. 목록에서 수정할 항목을 클릭하여 수정할 수 있습니다. <Syslog 전달 서버 수정>에서 Syslog를 전달할 서버를 수정할 수 있습니다.
삭제: 등록된 Syslog 전달 서버를 삭제합니다.

서버 주소: Syslog를 전달할 서버 주소입니다.
포트 번호: Syslog를 전달할 서버의 포트 번호입니다.
프로토콜: 로그 전송 시 사용할 프로토콜 정보입니다. 프로토콜에는 TCP(SSL 사용 선택 가능), UDP가 있습니다.
TCP: 로그 전송 시 TCP 프로토콜을 이용하여 로그를 전송합니다. TCP 프로토콜 사용 시, 전송되는 데이터의 통신 보안을 위한 암호 프로토콜인 SSL의 사용 여부를 선택할 수 있습니다.
UDP: 로그 전송 시 UDP 프로토콜을 이용하여 전송합니다.
전송 포맷: 로그 전송 포맷입니다. 로그 전송 포맷에는 JSON 형태의 전송 포맷인 Syslog와 Syslog CEF(Common Event Format) 포맷이 있습니다. CEF 포맷은 ArcSight나 ESM, SIEM 시스템과 연동할 목적으로 주로 사용되는 포맷입니다.
전송 항목: 전송할 로그 항목 개수입니다.

참고

탐지 이벤트는 EDR 라이선스 보유 시 확인할 수 있는 기능입니다.

Syslog 전달 서버를 추가하여 에이전트에서 서버로 전송한 로그 데이터에 대해, 설정된 Syslog 전달 서버로 전송할 수 있습니다. Syslog 전달 서버를 추가하는 순서는 다음과 같습니다.

기본 설정: Syslog 전달 서버에 대한 서버 주소나 포트 번호 등의 기본 항목을 설정합니다.
서버 주소: Syslog를 전달할 서버 주소입니다. 서버 주소는 IPv4 주소 형식으로 입력하십시오.
포트 번호: Syslog를 전달할 서버의 포트 번호입니다. 포트 번호는 1~65535 사이의 값을 입력하십시오.
프로토콜: 로그 전송 시 사용할 프로토콜 정보입니다. 프로토콜은 TCP와 UDP에서 선택할 수 있습니다.
TCP: 로그 전송 시 TCP 프로토콜을 이용하여 로그를 전송합니다. 전송되는 데이터의 통신 보안을 위한 암호 프로토콜인 SSL의 사용 여부를 선택할 수 있습니다.
UDP: 로그 전송 시 UDP 프로토콜을 이용하여 전송합니다.
전송 포맷: 로그 전송 시, 전송 포맷을 선택할 수 있습니다. 전송 포맷은 Syslog과 Syslog CEF에서 선택할 수 있습니다.
Syslog: 로그 전송 시 JSON 형태의 포맷으로 로그를 전송합니다. JSON 포맷은 속성과 값이 한쌍으로 구성된 구문 형식으로 로그를 전송합니다.
Syslog CEF: 로그 전송 시 CEF(Common Event Format) 형태의 포맷으로 로그를 전송합니다. CEF 포맷은 헤더와 확장 영역으로 구성되며, 키와 값이 쌍으로 구성되어 로그를 전송합니다. ArcSight나 ESM, SIEM 시스템과 연동할 목적으로 주로 사용되는 포맷입니다.

전송 항목 설정: 전달할 로그 항목을 선택합니다. 로그 항목은 크게 서버 이벤트, 에이전트 이벤트, 탐지 이벤트로 구분됩니다. 전송 항목에서 모두 선택을 선택하면 서버 이벤트, 에이전트 이벤트, 탐지 이벤트에 대한 모든 항목을 전송합니다. 단, 설정 > 에이전트의 전달 로그 설정에서 설정하지 않은 로그 항목은 Syslog로 전송할 수 없습니다.

서버 이벤트: 서버에서 발생한 로그 정보를 Syslog로 전송할 수 있습니다. 로그 정보에 대한 상세 설명은 로그 > 서버에서 확인할 수 있습니다.
에이전트 이벤트: 에이전트에서 발생한 로그 정보를 Syslog로 전송할 수 있습니다. 로그 정보에 대한 상세 설명은 로그 > 에이전트에서 확인할 수 있습니다.
탐지 이벤트: Known 이벤트, Unknown 이벤트, 사용자 정의 이벤트 중 선택하여 전송할 수 있습니다. 로그 정보에 대한 상세 설명은 로그 > 에이전트에서 확인할 수 있습니다.
대상 설정: Syslog로 전달할 로그의 수집 대상을 설정합니다. 대상은 도메인/그룹, 에이전트, IP 주소 대역에서 선택할 수 있습니다. 특정 도메인이나 그룹을 수집 대상으로 선택하려면 도메인/그룹을 선택하고, 특정 에이전트의 로그를 수집 대상으로 선택하려면 대상을 에이전트로 선택합니다. 특정 IP 주소 대역의 로그를 수집하려면 대상을 IP 주소 대역으로 선택합니다.

참고

설정 > 에이전트의 전달 로그 설정에서 설정하지 않은 로그 항목은 Syslog로 전송할 수 없습니다.

등록된 Syslog 전달 서버를 수정하는 순서는 다음과 같습니다.

등록된 Syslog를 전달 서버를 삭제하는 순서는 다음과 같습니다.