03시작하기 — Log Server·SmartEvent 배포시작하기 — Log Server·SmartEvent 배포

로그와 이벤트를 보는 GUI는 크게 셋입니다. 일상적으로 쓰는 것은 SmartConsole > Logs & Events 로, 예전의 SmartView Tracker·SmartLog를 대체한 통합 로그 뷰 입니다. 설치 없이 브라우저로 같은 화면을 보고 싶으면 SmartView Web Application(https://<서버 IP>/smartview/)을 쓰고, 게이트웨이나 서버에서 로그 생성·수신·인덱싱·내보내기 속도를 실시간으로 보려면 CLI 도구 CPView 를 씁니다.

여전히 쓰이는 전용 GUI도 둘 있습니다. SmartEvent GUI는 Correlation Unit·Log Server·도메인·내부망 같은 초기 설정과 Event Policy, Automatic Reaction을 정의 할 때, SmartView Monitor 는 터널·사용자 모니터링, Suspicious Activity 규칙, 알림 임계값 을 다룰 때 씁니다. 둘 다 SmartConsole의 Logs & Events에서 새 탭(+)을 열어 External Apps 에서 접근합니다.

Security Gateway는 네트워크 로그를, Management Server는 관리자 행동을 담은 audit 로그 를 만듭니다. 어떤 규칙이 로그를 남길지는 그 게이트웨이에 설치된 Security Policy가 정합니다. 이 로그는 세 곳 중 하나에 저장됩니다 — 기본값인 Management Server, 로그가 많은 조직에 권장되는 전용 Log Server, 그리고 게이트웨이 자체(local logging) 입니다.

Log Server는 단순 저장 이상의 일을 합니다. 로그 파일이 최대 크기에 다다르면 새 파일을 시작하고, 내보내기·들여오기용으로 파일을 보관하며, 무엇보다 빠른 검색을 위해 index 를 만듭니다. 이 indexing이 켜져 있어야 모든 Log Server의 로그를 SmartConsole에서 하나로 통합 검색할 수 있습니다(끄면 디스크는 아끼지만 서버마다 따로 뒤져야 합니다). 운영자는 Backup Log Server 도 지정해, Primary가 모두 끊기면 Backup으로 순서대로 로그를 보내 게 할 수 있습니다.

보관 기간과 디스크 관리

로그는 무한정 쌓을 수 없으니 디스크가 임계치 아래로 떨어지면 가장 오래된 로그부터 자동 삭제 됩니다. 운영자는 "여유 공간이 N MB 아래면 경고", "N MB 아래면 오래된 파일 삭제 시작" 같은 임계치와, Daily Logs Retention(indexed 로그를 며칠, 로그 파일을 며칠 더 보관할지)을 서버 객체 > Logs > Storage에서 설정합니다. index와 로그 파일을 합한 최대 보관 기간은 3664일 입니다. 한 가지 기억할 점은 Management Server의 audit 로그는 디스크 비상 상황에서도 삭제되지 않는다 는 것입니다.

로깅은 Management Server에서 기본으로 켜져 있고(General Properties > Management 탭 > Logging & Status), 로그가 많으면 전용 Log Server 를 따로 설치해 SIC로 연결합니다. Log Server를 새로 추가하거나, 게이트웨이의 Log Server를 바꾸거나, 로그 관련 블레이드를 켜고 끄면 반드시 Install Database 를 실행 해 변경을 적용해야 합니다. 게이트웨이 쪽에서는 Gateway 객체 > Logs에서 Management Server로 보낼지, 전용 Log Server로 보낼지, 로컬에 저장할지 를 고른 뒤 정책을 설치합니다. Multi-Domain 환경에서는 도메인 전용 Log Server를 별도 네트워크에 두어 규제 요건을 맞추기도 합니다.

SmartEvent Server 는 Management Server 구조에 통합돼 있어, Log Server와 통신하며 로그를 읽어 분석합니다. Management Server에서 SmartEvent를 함께 켜거나, 전용 서버로 따로 배포 할 수 있는데, Multi-Domain 환경에서는 반드시 전용 서버에 설치해야 합니다. 켜는 방법은 서버 객체의 Management 탭에서 Logging & Status, SmartEvent Server, SmartEvent Correlation Unit 세 블레이드를 선택 하고 게시·Install Database 하는 것입니다.

전용 SmartEvent Server를 Management Server에 붙이는 흐름은 Check Point Host 객체 생성 → 버전 R82 선택 → SIC 신뢰 → 세 블레이드 활성화 → (권장) Log Server가 아니면 Log Indexing 해제 입니다. 그다음 SmartEvent GUI에서 Correlation Unit 객체와 Internal Network를 정의하고 Event Policy를 설치합니다. 기본 LEA 포트는 18184 이며, 타사 Log Server와 비표준 포트로 주고받을 때만 SmartEvent Server와 Correlation Unit에 새 포트를 수동 지정합니다(Log Exporter를 쓰면 이 절차는 무관).

로깅·모니터링 권한은 잘게 나눌 수 있습니다. 관리자(또는 그룹)에게 Permission Profile(Manage & Settings > Permission Profiles)을 만들어 부여하는데, 크게 Monitoring and Logging(Monitoring·Management Logs·Track Logs·Application/URL Filtering Logs)와 Events and Reports(SmartEvent의 Events·Policy·Reports) 로 나뉩니다. 특히 SmartEvent Reports-Only 프로파일을 만들면, 그 관리자는 SmartConsole에 들어와도 Logs & Events에서 Report만 볼 수 있고 다른 보안 정보엔 접근하지 못합니다. 외부 컨설턴트나 감사자에게 보고서만 열어 줄 때 유용합니다.

SmartEvent를 설치하기 전의 위협을 되짚어 보고 싶을 때, 예전 로그 파일을 들여와 다시 인덱싱·분석 할 수 있습니다. 기본적으로는 직전 1일치만 들여오지만, Log Server에서 evstop 후 log_indexer -days_to_index <일수> 로 인덱싱 범위를 늘린 다음 evstart 하면 더 오래된 로그도 가져옵니다. 더 나아가 Offline Job 을 만들면, 그 로그 파일을 Correlation Unit에 통과시켜 Event Policy에 따라 상관분석 까지 돌릴 수 있습니다(SmartEvent GUI > Policy > General Settings > Initial Settings > Offline Jobs). 성능에 영향을 주니 필요한 일수만 들여오는 것이 좋습니다.