참고에이전트에서 발생한 로그 정보를 서버에서 확인할 수 있습니다. 로그 확인 시, AND나 OR 조건을 통해 원하는 로그 정보를 조회할 수 있습니다.
에이전트에서 확인할 수 있는 주요 내용은 다음과 같습니다.
Security 에이전트에서 전송한 로그 확인
참고
로그 화면의 오른쪽 위에 있는 선택 상자에서 조회 기간을 최근
1시간, 최근 2시간, 최근 4시간, 최근 12시간, 최근 7일, 최근 30일, 사용자 정의 가운데 선택할 수 있습니다.
사용자 정의 선택 시, 달력(
)을 클릭하면 날짜를 설정할 수 있고, 시계(
)를 클릭하면 시간을 설정할 수 있습니다. 로그의
새로 고침 주기는 10초 마다, 30초
마다, 60초 마다, 90초 마다, 사용 안 함에서 선택할 수 있습니다.
에이전트가 설치된 시스템에서 에이전트가 남긴 로그를 확인할 수 있습니다. 에이전트 로그를 확인하는 방법은 다음과 같습니다.
웹 화면 상단의 대 메뉴에서 로그를 선택합니다.
로그 > 에이전트를 선택합니다.
로그 목록에서 로그를 확인할 이벤트를
선택합니다. 검색어를 입력하여 원하는 이벤트 정보만 검색하거나 기간을 설정하여 특정 기간의 로그만 확인할 수 있습니다.
특정 이벤트를 선택하고, AND/OR 조건(
)을 통해 원하는 로그 정보를 좀 더
상세하게 검색할 수 있습니다.
이벤트 종류 선택: 에이전트에서 남긴 로그 종류를 선택할 수 있습니다. 이벤트 로그 종류 선택에 따라 하위 분류가 달라질 수 있습니다. 이벤트 종류별로 전체 로그를 확인하거나, AND/OR 조건을 이용하여 이벤트별 세부 정보를 확인할 수 있습니다.
AND 조건: 하나의 규칙 내에서 여러 조건이 있다면 모든 조건을 만족해야 합니다. 예) 이벤트 종류는 Security 에이전트 이벤트를 선택하고, 에이전트 아이디는 5, IP 주소는 70을 입력하면, Security 에이전트 이벤트 중, 에이전트 아이디가 5이고, IP 주소에 70이 포함된 로그만 검색됩니다.
OR 조건: OR 규칙 조건은 여러 조건 중 한 가지만 만족해도 조건에 만족합니다. 예) 이벤트 종류는 Security 에이전트 이벤트를 선택하고, 에이전트 아이디는 5, IP 주소는 70을 입력하면, Security 에이전트 이벤트 중, 에이전트 아이디가 5인 로그와 IP 주소에 70이 포함된 로그가 모두 검색됩니다.
에이전트로 전달한 정책 적용 결과를 확인할 수 있습니다. Security 에이전트 이벤트 선택 후, 하위 항목(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 내용) 중 원하는 항목을 선택하고 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
로그 수신 날짜: Security 에이전트가 설치된 시스템에서 Security 에이전트가 남긴 로그를 관리 서버가 수신한 시간입니다.
로그 생성 날짜: Security 에이전트가 설치된 시스템에서 로그가 생성된 시간입니다.
에이전트 아이디: Security 에이전트에 부여한 고유한 아이디를 나타냅니다.
IP 주소: Security 에이전트가 설치된 시스템의 IP 주소입니다.
컴퓨터 이름: Security 에이전트가 설치된 시스템의 컴퓨터 이름입니다.
마지막 로그인한 사용자: Security 에이전트가 설치된 시스템의 컴퓨터에 마지막으로 로그인한 Windows 계정을 나타냅니다.
소속 부서: Security 에이전트가 설치된 시스템의 사용자가 소속된 부서 이름입니다.
내용: 로그의 상세 내용입니다. 예) 정책 적용 명령을 수신했습니다.
참고
Security 에이전트 이벤트 로그와 공통인 칼럼 내용은 Security 에이전트 이벤트 부분을 참고하십시오.
작업 이력을 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 관리 명령에 대한 로그를 확인할 수 있습니다. 작업 이력의 전체 로그를 확인하거나 작업 이력 로그의 세부 정보(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 명령, 오류 사항)를 선택하여, 검색어를 입력하여 원하는 정보를 확인할 수 있습니다.
명령: 작업의 종류로 관리 명령으로 전달한 명령 정보가 표시됩니다. 예) 에이전트 다시 시작
상태: 명령의 전송 및 진행 상태입니다. 예) 완료(성공), 완료(실패)
오류 사항: 작업에 문제가 있을 경우 오류 내용을 확인할 수 있습니다.
소프트웨어 자산 변경 이력을 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 컴퓨터의 소프트웨어 변경 이력을 확인할 수 있습니다. 소프트웨어 자산 변경 이력의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소프트웨어 이름, 게시자, 버전, 파일 크기)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
이벤트 종류: 소프트웨어를 추가하거나 삭제하는 등의 소프트웨어 자산 변경 이벤트 종류입니다. 이벤트 종류에는 추가, 삭제가 있습니다.
소프트웨어 이름: 소프트웨어 이름을 표시합니다. 예) AhnLab V3 Endpoint Security 9.0
게시자: 소프트웨어의 게시자(Publisher) 정보를 표시합니다. 예) AhnLab, Inc.
버전: 소프트웨어의 버전을 표시합니다. 예) 1.0.0.1
파일 크기: 소프트웨어의 파일 크기를 표시합니다.
하드웨어 변경 이력을 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 컴퓨터의 하드웨어 변경 이력을 확인할 수 있습니다. 하드웨어 자산 변경 이력의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 하드웨어 값)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
이벤트 종류: 이벤트 종류를 나타냅니다. 이벤트 종류로는 변경, 추가가 있습니다.
하드웨어 종류: 하드웨어 종류를 표시합니다. CPU, 메모리, BIOS, 하드디스크(HDD), 디스플레이, 네트워크 등의 하드웨어 종류가 표시됩니다. 예) CPU
하드웨어 값: 하드웨어 추가나 변경 사항에 대한 상세 내용을 확인할 수 있습니다. 예) 3.40GHz
악성코드 감염 정보를 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 컴퓨터의 악성코드 감염과 관련된 로그를 확인할 수 있습니다. 악성코드 감염 정보의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 악성코드 이름, 감염된 파일 경로, 해시값, 상태, 소유자, 접근자, 감염자)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
Container 이름: 악성코드가 탐지된 Container 이름입니다.
Container ID: 악성코드가 탐지된 Container ID입니다.
Container 이미지 이름: 악성코드가 탐지된 Container 이미지 이름입니다. 예) centos 7
악성코드 이름: 악성코드의 이름입니다. 예) Eicar
감염된 파일 경로: 악성파일에 감염된 파일의 경로입니다. 예) C:\Temp\temp\eicar.com
해시값: 탐지된 악성코드의 해시값을 표시합니다.
상태: 바이러스를 진단하거나 치료한 상태입니다. 예) 치료 완료(파일 자체가 악성코드이므로 파일을 삭제했습니다.)
검사 방법: 악성코드를 진단한 검사 방법입니다. 검사 방법에는 정밀 검사, 예약 검사, 실시간 검사, MDP 진단, 클라우드 자동 분석, 평판 기반 실행 차단, 전체 검사, 선택 검사, 빠른 검사, 악성코드 검사, EPPM 검사, 사전 검사, 기타 검사 등이 표시될 수 있습니다. 예) 실시간 검사, 수동 검사 등의 정보입니다.
소유자: 감염된 파일에 권한이 있는 사용자 정보입니다.
접근자: 감염된 해당 파일에 접근한 사용자 정보입니다.
감염자: 해당 파일을 감염시킨 사용자 정보입니다.
검사/실시간 검사를 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 시스템에 설치되어 있는 V3 제품에서 실행한 검사와 실시간 검사에 대한 로그를 확인할 수 있습니다. 검사/실시간 검사의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 내용, 세부 내용)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
세부 내용: 검사/실시간 검사 이벤트에 대한 상세 내용입니다.
인터넷 보안을 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 시스템에 설치되어 있는 V3 제품의 개인 방화벽, 네트워크 침입 차단을 실행한 로그를 확인할 수 있습니다. 인터넷 보안의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 내용, 세부 내용)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
내용: 인터넷 보안 이벤트에 대한 자세한 내용입니다. 예) 이상 패킷 탐지 방법을 변경했습니다(변경 내용: 탐지)
세부 내용: 인터넷 보안 이벤트에 대한 상세 내용입니다.
V3 업데이트 이벤트를 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 시스템에 설치되어 있는 V3 제품의 업데이트 로그를 확인할 수 있습니다. V3 업데이트의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 내용, 세부 내용)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
내용: 업데이트 이벤트에 대한 내용입니다. 예) 업데이트를 마쳤습니다.(엔진 버전: 2019.08.14.07)
세부 내용: 업데이트 이벤트에 대한 상세 내용입니다. 예) 업데이트 파일을 다운로드하지 못했습니다.(-459)
장치 제어 이벤트를 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 에이전트가 설치된 시스템에 설치되어 있는 V3 ES 9.0 제품의 장치 제어 관련 이벤트 정보를 확인할 수 있습니다. 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 관련 기능, 내용)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
관련 기능: 해당 이벤트를 발생시킨 기능 명칭을 표시합니다.
내용: 이벤트의 내용을 보여줍니다. 예) 장치 제어를 시작했습니다.
V3 for VDI SVA 이벤트를 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 V3 for VDI SVA의 파일 정보 수집과 예약 검사에 대한 이벤트 로그 정보를 확인할 수 있습니다. 검색어 입력란에 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
V3 for VDI SVA: SVA ID 번호입니다.
내용: V3 for VDI SVA의 파일 정보 수집과 예약 검사에 대한 이벤트 내용을 표시합니다.
세부 내용: 파일 정보 수집, 예약 검사에 대한 상세 내용을 표시합니다.
이벤트를 선택하면 Security 에이전트 이벤트의 기본 정보 이외에 EDR 에이전트의 이벤트 정보를 보여줍니다. EDR 에이전트 이벤트의 전체 로그를 확인하거나 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 내용)에서 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
기능: EDR 에이전트의 기능에 관련된 로그입니다. 무결성 검사, 시작, 운영체제 이벤트 로그 전송, 종료, 패치, 행위 로그 수집등이 기능에서 표시될 수 있습니다.
내용: EDR 에이전트에서 발생한 이벤트 로그 내용을 표시합니다. 예) 행위 로그 수집 중 오류가 발생했습니다. (오류 코드: 4001)
에이전트에서 발생한 EDR 이력을 보여줍니다. 검색 조건(에이전트
아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서, 프로세스, 대상 내용)에서 검색어를 입력하여 원하는
정보를 검색할 수 있습니다. 검색 후 필터 저장(
) 기능을 이용하여 검색 조건을 저장하거나,
기존에 저장된 필터를 필터 목록(
)
에서 확인할 수 있습니다.
구분: 구분에는 파일, 프로세스, 레지스트리, 시스템, 네트워크에서 표시될 수 있습니다.
프로세스: 행위의 주체가 되는 프로세스에 대한 상세 정보를 확인할 수 있습니다.
파일 이름: 탐지된 프로세스의 파일 이름입니다. 파일 이름에 마우스를 갖다대면 프로세스에 대한 상세 정보가 표시되며 On-Demand 검사, 파일 검색, 파일 수집 명령을 내릴 수 있는 메뉴가 표시됩니다. On-Demand 검사를 클릭하면 선택한 프로세스에 On-Demand 검사 명령을 내리시겠습니까?라는 알림이 표시되며, 예를 클릭하면 해당 에이전트에 On-Demand 검사 명령을 내립니다. On-Demand 검사에 대한 결과는 On-Demand 검사에서 확인할 수 있습니다.
파일 경로: 탐지된 프로세스가 존재하는 경로를 표시합니다. 예) C:\Windows\system32\searchindexer.exe
해시값: 탐지된 파일의 해시값 정보입니다. 해시값은 알고리즘에 따라 값이 달라지며 파일을 식별하는 역할을 합니다.
파일 크기(bytes): 파일 크기를 나타냅니다.
대상: 프로세스가 접근한 대상입니다. 구분(파일, 프로세스, 레지스트리, 시스템, 네트워크)의 정보에 따라 대상에 표시되는 정보는 달라질 수 있습니다.
Host 주소: 네트워크 연결 행위가 발생한 경우, Host 주소입니다.
IP 주소: 네트워크 연결과 같은 행위가 발생한 경우의 연결된 IP 주소 정보입니다.
URL: 네트워크 연결과 같은 행위가 발생한 URL 정보입니다.
파일 이름: 접근 대상의 파일 이름입니다.
파일 경로: 접근 대상의 파일 경로를 나타냅니다.
해시값: 접근 대상의 파일 해시값을 나타냅니다
파일 크기(bytes): 접근 대상의 파일 크기를 나타냅니다.
Cmd line: 접근 대상 프로세스가 실행될 때의 함께 실행된 인자를 나타냅니다. 예) "C:\Windows\system32\SearchFilterHost.exe" 0 748 752 760 8192 756 .
레지스트리 키: 접근 대상의 레지스트리 키 정보가 표시됩니다. 예) [HKLM\SYSTEM\ControlSet001\Control\SESSION MANAGER]"SetupExecute"=""
내용: EDR 행위 진단 내용이 표시됩니다. 예) 프로세스 생성, 데이터 파일 다운로드
참고
행위 진단에 대한 내용은 탐지 행위을 참고하십시오.
에이전트에서 수집된 운영체제의 이벤트 로그 정보를 확인할 수 있습니다. EDR이 설치된 이후의 로그를 수집합니다.
운영체제: 로그를 수집한 에이전트의 운영체제 정보를 표시합니다.
수집 정보: 운영체제에서 수집하는 정보입니다. 에이전트 운영체제에서 수집하는 정보는 수준, 로그 이름, 원본, 이벤트 ID, 작업 범주, 키워드, Opcode, 메시지등의 정보를 수집합니다.
수준(Level): 이벤트 심각도의 분류를 표시합니다. 시스템 및 응용 프로그램 로그에서 다음 이벤트 심각도 수준이 나타날 수 있습니다.
항상 로깅: 이벤트 로그의 Level 0에 속한 값입니다.
위험: 이벤트 로그의 Level 1에 속한 값으로 이벤트를 트리거한 응용 프로그램 또는 구성 요소가 자동으로 복구할 수 없는 오류가 발생했음을 나타냅니다.
오류: 이벤트 로그의 Level 2에 속한 값으로 이벤트를 트리거한 응용 프로그램 또는 구성 요소 외부에 있는 기능에 영향을 줄 수 있는 문제가 발생했음을 나타냅니다.
경고: 이벤트 로그의 Level 3에 속한 값으로 서비스에 영향을 줄 수 있거나 조치를 취하지 않을 경우 더 심각한 문제를 일으킬 수 있는 문제가 발생했음을 나타냅니다.
정보: 이벤트 로그의 Level 4에 속한 값으로 작업이 완료되었거나 리소스가 만들어졌거나 서비스가 시작되는 등 응용 프로그램 또는 구성 요소에 변경 내용이 발생했음을 나타냅니다.
자세한 정보: 이벤트 로그의 Level 5에 속한 값으로 시스템 이벤트 로그의 상세 정보입니다.
로그 이름: Channel. 이벤트가 기록된 로그의 이름을 표시합니다. 예) 응용 프로그램
원본: 이벤트 로그를 남기는 주체를 원본(Source) 또는 Publisher 또는 Provider라고 합니다. 이벤트를 기록한 소프트웨어로 'SQL Server' 등의 프로그램 이름이거나 드라이버 이름 등의 시스템 구성 요소 또는 대형 프로그램의 구성 요소일 수 있습니다. 예) Windows Error Reporting
이벤트 ID: 특정 이벤트 유형을 식별하는 번호입니다. 이벤트 ID는 하나의 Provider 내에서 유일한(unique)한 값을 가집니다. 예) 이벤트 ID가 1003이면 "Windows Search Service를 시작했습니다."라는 의미를 가집니다.
작업 범주: 이벤트 게시자의 작업이나 하위 구성 요소를 표현하는 데 사용됩니다.
키워드: 이벤트를 필터링하거나 검색하는 데 사용할 수 있는 범주 또는 태그의 집합입니다. 예를 들면 '네트워크', '보안' 또는 '리소스를 찾을 수 없습니다.'가 있습니다.
Opcode: 시스템에서 남겨진 Opcode 번호나 '정보' 문구가 표시됩니다.
메시지: 운영체제에서 남긴 메시지가 표시됩니다. 메시지 내용에 마우스를 갖다 대면 요약 정보가 화면에 표시됩니다. 예) Google 업데이트 서비스(gupdate)가 실행 상태로 들어갔습니다.
에이전트에서 수집된 타임라인(Timeline) 이벤트 로그 정보를 확인할 수 있습니다. 타임라인(Timeline) 이벤트는 EDR이 설치된 이후의 로그를 수집합니다. 타임라인(Timeline)에서 표시하는 행위 유형에는 문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드 등이 있습니다
참고
문서 파일 열기는 Windows 10 이상부터 지원합니다.
부가 정보: 행위 유형(문서 파일 열기, 브라우저를 통한 웹 연결, 파일 다운로드)에 따른 부가적인 정보를 표시합니다.
문서 파일 열기: 실행한 프로그램과 유입 경로(Source)등이 표시될 수 있습니다.
브라우저를 통한 웹 연결: 브라우저 탭에 표시되는 내용이 표시될 수 있습니다.
파일 다운로드: 파일 크기, 파일 이름, 파일 경로 등이 표시될 수 있습니다.
에이전트에서 발생한 이벤트별 로그를 확인할 수 있습니다. 이벤트 로그를 검색하는 방법은 다음과 같습니다.
웹 화면 위쪽의 대 메뉴에서 로그를 선택합니다.
로그 > 에이전트 탭을 선택합니다.
에이전트 이벤트 종류를 선택하고, 하위 검색 조건에서 검색 조건(에이전트 아이디, IP 주소, 컴퓨터 이름, 마지막 로그인한 사용자, 소속 부서)을 선택한 후, 검색어를 입력하여 원하는 정보를 검색할 수 있습니다.
검색(
)을 클릭합니다.
기간별 로그 현황을 확인하려면 화면 오른쪽에 있는 기간 설정에서 조회 기간을 설정합니다.
검색 결과를 확인합니다.
참고
로그 화면의 오른쪽 위에 있는 새로 고침 주기는 10초, 30초, 60초, 90초에서 선택할 수 있습니다. 선택한 새로 고침 주기에 따라 화면에 내용을 업데이트합니다.
화면의 로그를 파일로 저장할 수 있습니다.
웹 화면 위쪽의 대 메뉴에서 로그를 선택합니다.
메뉴에서 로그 > 에이전트를 선택합니다.
검색이나 기간 설정을 통하여 원하는 로그를 검색합니다.
내보내기를 클릭합니다. 파일로 내보낼 때는 csv, xlsx, pdf 형태로 내보낼 수 있습니다.