03시작하기 — Log Server·SmartEvent 배포시작하기 — Log Server·SmartEvent 배포
로깅과 모니터링을 시작하려면 로그를 어디에 쌓을지(Log Server), 그 로그를 어떤 도구로 볼지(클라이언트), 누가 이벤트로 분석할지(SmartEvent), 그리고 디스크가 가득 차기 전에 오래된 로그를 어떻게 정리할지 를 먼저 정해야 합니다. 이 장은 클라이언트 도구의 종류부터 로깅의 동작 원리, 로그 저장·보관 정책, Log Server와 SmartEvent의 배포, 관리자 권한 분리, 그리고 과거 로그·Syslog 메시지 들여오기까지, 원문에 담긴 모든 절차·표·파라미터·명령을 빠짐없이 풀어 정리합니다. 화면을 따라가는 클릭 순서까지 그대로 옮기되, 왜 그렇게 하는지를 함께 설명합니다.
클라이언트 도구 — 무엇으로 보나
로그와 이벤트는 사용자가 직접 꾸밀 수 있는 뷰(view)와 리포트(report) 로 봅니다. 이때 쓰는 GUI 클라이언트는 다음과 같습니다.
| GUI 클라이언트 | 설명 |
|---|---|
| SmartConsole > Logs & Events | 환경에서 일어난 이벤트를 사용자 정의 뷰·리포트로 분석합니다. 이 Logs 뷰가 예전의 SmartView Tracker·SmartLog GUI 클라이언트를 대체 합니다. |
| SmartView Web Application | SmartConsole과 똑같은 실시간 이벤트 모니터링·분석 뷰 를 제공하면서, 클라이언트를 설치하지 않아도 되는 편의가 있습니다. 브라우저로 https://<Server IP>/smartview/ 에 접속하며, 여기서 <Server IP> 는 Security Management Server 또는 SmartEvent Server의 IP 주소입니다. |
| CPView | Security Gateway에서는 생성되는 로그의 속도 를, Management Server·Log Server에서는 수신·인덱싱·내보내기 로그의 속도 를 보여 줍니다. 자세한 내용은 sk101878 을 참고하세요. |
여전히 지원되는 전용 GUI 클라이언트도 둘 있습니다.
| GUI 클라이언트 | 설명 |
|---|---|
| SmartEvent | - 초기 설정 — SmartEvent Correlation Unit, Log Server, Domain, Internal Network 를 구성합니다.<br>- 상관(correlation) 정책(이벤트 정의) 을 다룹니다.<br>- Automatic Reaction(자동 대응)을 설정합니다. |
| SmartView Monitor | - 터널을 모니터링합니다.<br>- 사용자를 모니터링합니다.<br>- Suspicious Activity 규칙 을 다룹니다.<br>- 알림(alert) 모니터링 — Thresholds(임계값) 구성 을 다룹니다. |
SmartView GUI 클라이언트 접근 권한
관리자의 접근은 GUI Clients 목록 으로 제한할 수 있습니다. IP 주소, IP 범위, 네트워크, 호스트 이름 을 기준으로 누가 어디서 접속할 수 있는지를 정하는데, 이 목록은 해당 Security Management Server나 Multi-Domain Server에 정의된 GUI 클라이언트 접근 설정을 따릅니다.
SmartEvent GUI 열기
- SmartConsole > Logs & Events 를 엽니다.
- (+) 를 눌러 Catalog(새 탭)를 엽니다.
- External Apps 섹션에서 SmartEvent Settings & Policy 를 클릭합니다.
SmartView Monitor GUI 열기
- SmartConsole > Logs & Events 를 엽니다.
- (+) 를 눌러 Catalog(새 탭)를 엽니다.
- External Apps 섹션에서 Tunnel & User Monitoring 을 클릭합니다.
로깅의 동작 원리
Security Gateway(또는 Cluster Member)는 네트워크 로그 를 만들고, Management Server는 관리자가 한 작업을 기록하는 audit 로그 를 만듭니다. 어떤 규칙이 로그를 남길지는 그 게이트웨이에 설치된 Security Policy가 결정합니다.
로그는 다음 세 곳 중 하나에 저장됩니다.
- Management Server — 관리하는 게이트웨이·클러스터로부터 로그를 받습니다. 기본값 입니다.
- 전용 Log Server(별도 장비) — 로그를 많이 만드는 조직에 권장 됩니다.
- Security Gateway / Cluster Member 자체 — 이를 local logging(로컬 로깅) 이라고 합니다.
Log Server는 단순 저장을 넘어 다음과 같은 로그 관리 작업을 합니다.
- 기존 로그 파일이 정해진 최대 크기에 다다르면 자동으로 새 로그 파일을 시작 합니다.
- 내보내기·들여오기용으로 로그 파일을 보관 합니다.
- 로그 쿼리에 빠르게 응답하기 위해 로그의 index(색인) 를 만듭니다.
이 indexing과 관련해 알아 둘 점이 둘 있습니다.
- SmartLog Indexing 모드 는 Smart-1 205·Smart-1 210, 또는 코어가 4개 미만인 Open Server 에서는 업그레이드나 신규 설치 후 기본적으로 켜져 있지 않습니다.
- Domain Management Server나 Domain Log Server에서 SmartLog 모드를 Indexing에서 Non-Indexing으로 바꾸려면, Domain 레벨에서 해당 Domain Server 객체를 편집 합니다. Multi-Domain Server나 Multi-Domain Log Server 전체를 Non-Indexing 모드로 바꾸는 옵션은 없습니다.
운영자는 Backup Log Server 를 구성할 수 있습니다.
- Primary Log Server가 모두 끊기면 게이트웨이·클러스터는 처음 구성된 첫 번째 Backup Log Server에만 로그를 보내기 시작합니다.
- 첫 번째 Backup Log Server마저 끊기면 두 번째 Backup Log Server로 보내고, 그런 식으로 순서대로 넘어갑니다.
업그레이드 때 옮길 로그 파일의 보존 기간 설정
R81.20부터 Management Server나 Log Server를 새 버전으로 업그레이드하면, 새 버전으로 옮기는 로그 파일이 최근 180일치로 제한 됩니다. 이 기간은 30일~360일 사이의 값으로 바꿀 수 있습니다.
로그 파일 마이그레이션 일수를 설정하는 절차는 다음과 같습니다.
- 서버(Security Management Server, Multi-Domain Server, Multi-Domain Log Server, 전용 Log Server, 전용 SmartEvent Server)의 명령줄에 접속합니다.
- Expert mode 로 로그인합니다.
- 필요한 XML 파일을 만듭니다.
touch $FWDIR/conf/upgradeLogData.xml
- 이 XML 파일을 편집합니다.
vi $FWDIR/conf/upgradeLogData.xml
- 이 XML 파일에는 다음 줄이 들어 있어야 합니다.
<?xml version="1.0"?>
<config>
<ImportLogDays>NUMBER_OF_DAYS</ImportLogDays>
</config>
NUMBER_OF_DAYS 는 30~360 사이의 정수 여야 합니다.
6. 파일을 저장하고 편집기를 빠져나갑니다.
전용 Log Server와 Domain 전용 Log Server
Management Server의 부하를 줄이려면 전용 Log Server를 설치하고, 게이트웨이가 이 Log Server로 로그를 보내도록 구성 할 수 있습니다.
모든 Log Server의 로그를 한 번에 보려면, SmartConsole로 Management Server에 접속한 뒤 Logs & Events 뷰 > Logs 탭 으로 갑니다.
이와 관련해서는 이 장 뒤의 Log Server 배포 와 Domain 전용 Log Server 배포 를 함께 보세요.
Dynamic Log Distribution
R81 이하에서는 모든 Log Server가 모든 로그의 사본을 받았습니다. 한 Log Server가 끊기면 게이트웨이·클러스터는 Backup Log Server에 붙어 거기에도 모든 로그의 사본을 보냈습니다.
R81.10부터는 Dynamic Log Distribution 으로 게이트웨이·클러스터가 활성 Log Server들 사이에 로그를 나눠 보내 도록 구성할 수 있습니다.
- Primary Log Server가 모두 끊기면 로그는 Backup Log Server들 사이에 분산됩니다.
- 연결된 Log Server가 하나도 없으면 게이트웨이·클러스터는 로그를 로컬에 기록합니다.
이 기능(Use Case)은 다음을 줄여 줍니다.
- Log Server의 리소스 과다 사용.
- 게이트웨이·클러스터를 Log Server에 연결하는 각 네트워크의 로그 트래픽.
여러 Log Server 사이에 로그 분산을 구성하는 절차는 다음과 같습니다.
- SmartConsole로 이 게이트웨이·클러스터를 관리하는 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- Security Gateway / Cluster 객체를 엽니다.
- 왼쪽 트리에서 Logs > Log Distribution 을 클릭합니다.
- Log Distribution 섹션에서 Distribute logs between log servers for improved performance(primary·backup Log Server 모두에 적용)를 선택합니다.
- Log Servers > Primary log server 섹션에서 해당하는 primary Log Server 객체 를 선택합니다.
- Log Servers > Backup log server 섹션에서 해당하는 backup Log Server 객체 를 선택합니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시(Publish)합니다.
- 해당 Security Gateway / Cluster 객체에 Access Control 정책을 설치 합니다.
로그 저장과 디스크 관리
SmartEvent Server와 Log Server는 디스크 공간과 시스템 리소스를 관리하는 최적화 알고리즘 을 씁니다. Logs and Events 데이터베이스가 너무 커지면, 서버는 구성된 임계치(threshold)에 따라 가장 오래된 로그와 이벤트부터 자동으로 삭제 합니다.
Management Server / SmartEvent Server / Log Server에서의 절차
- SmartConsole로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- Management Server / SmartEvent Server / Log Server 객체를 엽니다.
- 왼쪽 트리에서 Logs > Storage 로 갑니다.
| 필드 | 설명 / 지침 |
|---|---|
| Measure free disk space in | MBytes 또는 Percentage 를 선택합니다(여유 공간을 MB로 잴지, %로 잴지). |
When disk space is below <number> Mbytes, issue alert <type> | 로그와 로그 인덱스 파일의 여유 공간이 이 임계치 아래로 떨어지면 경고를 받습니다. 이 값은 Additional Logging Configuration 페이지의 stop logging 필드 값보다 최소 5 MB 커야 합니다. |
When disk space is below <number> Mbytes, start deleting old files | 여유 공간이 이 임계치 아래면 가장 오래된 로그와 로그 인덱스 파일을 삭제 합니다. 서버는 1분마다 로그 파티션의 여유 공간을 살피고, 임계치에 닿으면 로그 디스크 정리를 시작해 가장 오래된 하루치 로그·인덱스 데이터를 지우고, 임계치 위로 올라올 때까지 반복 합니다. 이 값은 같은 페이지의 issue alert 필드 값보다 최소 5 MB 커야 합니다. |
| Run the following script before deleting old files | 오래된 파일을 지우기 전에 실행할 셸 스크립트의 절대 경로(경로+파일명) 를 입력합니다. 이 스크립트는 서버에 실제로 존재해야 합니다. |
| 필드 | 설명 / 지침 |
|---|---|
Keep indexed logs for no longer than <number> days | 매일 자정에 실행됩니다. 일수 기준으로 가장 오래된 인덱스 파일을 지우되, 오늘 + 설정한 인덱스 일수만큼 유지 합니다(예: 14 = 14일 + 오늘). |
Keep log files for an extra <number> days | 매일 자정에 실행됩니다. 일수 기준으로 가장 오래된 로그 파일을 지우되, 오늘 + 인덱스 일수 + 추가 로그 일수만큼 유지 합니다(예: 3664 = 14[인덱스 설정] + 3650 + 오늘). 3664일은 10년이 넘으므로, 사실상 모든 로그 파일을 보관하는 셈입니다. |
Security Gateway / Cluster에서의 절차
- SmartConsole로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- Security Gateway / Cluster 객체를 엽니다.
- 왼쪽 트리에서 Logs > Storage 로 갑니다.
- Disk Management 섹션에서 다음 설정을 구성합니다.
| 필드 | 설명 / 지침 |
|---|---|
| Measure free disk space in | MBytes 또는 Percentage 를 선택합니다. |
When disk space is below <number> Mbytes, issue alert <type> | 로그·인덱스 파일의 여유 공간이 이 임계치 아래로 떨어지면 경고를 받습니다. 이 값은 stop logging 필드 값보다 최소 5 MB 커야 합니다. |
When disk space is below <number> Mbytes, start deleting old files | 여유 공간이 이 임계치 아래면 가장 오래된 로그·인덱스 파일을 삭제합니다. 서버는 1분마다 살피고, 임계치에 닿으면 하루치씩 지우며 임계치 위로 올라올 때까지 반복합니다. 이 값은 issue alert 필드 값보다 최소 5 MB 커야 합니다. |
| Run the following script before deleting old files | 오래된 파일을 지우기 전에 실행할 셸 스크립트의 절대 경로를 입력합니다. 스크립트는 서버에 존재해야 합니다. |
Reserve <number> <units> for packet capturing | 일부 로그는 로그 이벤트를 만든 패킷까지 캡처 할 수 있습니다. 캡처한 패킷에 쓸 용량을 MB 또는 %로 지정합니다. |
| 필드 | 설명 / 지침 |
|---|---|
Keep indexed logs for no longer than <number> days | 매일 자정에 실행됩니다. 오늘 + 설정한 인덱스 일수만큼 유지하고 오래된 인덱스 파일을 지웁니다(14 = 14일 + 오늘). |
Keep log files for an extra <number> days | 매일 자정에 실행됩니다. 오늘 + 인덱스 일수 + 추가 로그 일수만큼 유지하고 오래된 로그 파일을 지웁니다(3664 = 14 + 3650 + 오늘 ≈ 사실상 전부 보관). |
동작 예시
다음 예시들에서 운영자는 이런 임계치를 켰다고 가정합니다.
- When disk space is below [5000] Mbytes, start deleting old files
- Daily logs retention:
- Keep indexed logs for 14 days
- Keep log files for an extra 6 days(6 + 14 = 로그 파일 20일치)
| 예시 | 설명 |
|---|---|
| 1 | 서버에 여유 공간이 3000 MB 있고, 로그·인덱스 파일이 5일치 있습니다. 서버는 여유 공간이 5000 MB가 될 때까지 로그와 인덱스 파일을 하루치씩 지웁니다. |
| 2 | 서버에 여유 공간이 10 GB 있고, 로그·인덱스 파일이 30일치 있습니다. 서버는 20일(6+14)보다 오래된 로그 파일을 매일 자정에 모두 지우고, 14일보다 오래된 인덱스 파일도 매일 자정에 모두 지웁니다. |
| 3 | 서버가 매일 로그 1 GB, 인덱스 파일 1 GB를 만듭니다. 지금 로그 35일치, 인덱스 30일치가 있고 여유 공간은 2.5 GB뿐입니다. 디스크 임계치는 5 GB라 서버는 임계치보다 2.5 GB 부족합니다. 인덱스 임계치는 14일, 로그 파일 임계치는 20일입니다. 1) 가장 오래된 1일차 로그부터 지웁니다. 오래된 로그 3일치를 지워 3 GB를 비우면 여유 6 GB(임계치 +1 GB)가 되어, 로그 32일·인덱스 30일이 남습니다. 2) 여전히 인덱스가 14일보다 16일 더, 로그가 20일보다 12일 더 많으므로, 자정에 오늘치 + 최근 20일치 로그, 오늘치 + 최근 14일치 인덱스만 남기고 나머지를 지웁니다. 로그 3일치 삭제로 5.5 GB가, 로그 12일 + 인덱스 16일 삭제로 28 GB가 더 비어 총 33.5 GB가 여유가 됩니다. daily logs retention은 매일 자정에 실행되어 정해진 일수만큼만 유지하므로, 대개 다시는 디스크 임계치에 닿지 않습니다. 그래도 임계치에 다시 닿으면 디스크 정리가 반복되어 공간이 동나지 않게 합니다. |
Daily Logs Retention(일일 로그 보관)
R80.40 이상에서 daily logs retention은 로그를 지우기 전에 며칠 동안 보관할지 를 뜻합니다. 이 값을 잘 맞추면 여유 공간을 손쉽게 관리할 수 있습니다.
여기서 꼭 기억할 점 이 있습니다.
- Management Server는 비상 디스크 정리 상황에서도, 설정한 보관 값과 무관하게 audit 로그 파일을 지우지 않 습니다. Management Server의 audit 로그는 daily retention을 설정할 수도 없습니다.
- Management Server는 daily maintenance의 일부로 audit 인덱스도 지우지 않 습니다. 디스크 비상 상황에서만 audit 로그 인덱스(로그 파일이 아니라 인덱스)를 지웁니다. Multi-Domain 환경에서는 이 동작을 Global SmartEvent Server에 한해
log_maintenance_domain_conf.csv파일에서만 바꿀 수 있습니다(아래 절 참고).
로그 보관 정책은 여러 종류의 서버에서 구성할 수 있습니다.
Security Management Server / 전용 SmartEvent Server / 전용 Log Server에서 구성
- SmartConsole로 해당 서버에 접속합니다.
- 관리하는 게이트웨이가 로그를 보내는 Security Management Server, 또는
- 전용 SmartEvent Server·전용 Log Server를 관리하는 Security Management Server.
- 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- Management Server / 전용 SmartEvent Server / 전용 Log Server 객체를 엽니다.
- 왼쪽 트리에서 Logs > Storage 로 갑니다.
- Daily Logs Retention Configuration 섹션에서:
- Apply the following logs retention policy 를 선택합니다.
- Keep indexed logs for no longer than
<number>days 필드에 필요한 일수를 넣습니다. - Keep log files for an extra
<number>days 필드에 필요한 일수를 넣습니다.
여기서 두 가지를 알아 둡니다.
- 이 값이 0 이면 서버는 인덱스 로그와 로그 파일을 같은 일수만큼 보관합니다.
- 0 보다 큰 값이면 서버는 (인덱스 로그 일수를 채운 뒤) 로그 파일을 그 추가 일수만큼 더 보관합니다.
Multi-Domain 환경 — 모든 Domain Management Server / Domain Log Server에 적용
- SmartConsole로 해당 Multi-Domain Server / Multi-Domain Log Server의 MDS 컨텍스트 에 접속합니다.
- 왼쪽 탐색 패널에서 Multi-Domain > Domains 를 클릭합니다.
- 표에서 이 Multi-Domain Server / Multi-Domain Log Server의 열을 찾습니다.
- 해당 셀을 오른쪽 클릭하고 Edit 를 클릭하면 Multi-Domain Server 창이 열립니다.
- 왼쪽 트리에서 Log Settings > General 로 갑니다.
- Daily Logs Retention Configuration 섹션에서:
- Apply the following logs retention policy 를 선택합니다.
- Keep indexed logs for no longer than
<number>days 에 필요한 일수를 넣습니다. - Keep log files for an extra
<number>days 에 필요한 일수를 넣습니다.
- 값이
0이면 로그와 인덱스 로그를 같은 일수만큼 보관합니다.0보다 크면 로그를 그 추가 일수만큼 더 보관합니다.
Multi-Domain 환경 — 특정 Domain Management Server / Domain Log Server에 적용
- SmartConsole로 해당 Domain Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- Domain Management Server / Domain Log Server 객체를 엽니다.
- 왼쪽 트리에서 Logs > Storage 로 갑니다.
- Daily Logs Retention Configuration 섹션에서:
- Override Multi-Domain Settings(Multi-Domain 설정 재정의)를 선택합니다.
- Keep indexed logs for no longer than
<number>days 에 일수를 넣습니다. - Keep log files for an extra
<number>days 에 일수를 넣습니다.
- 값이
0이면 로그와 인덱스 로그를 같은 일수만큼 보관합니다.0보다 크면 로그를 그 추가 일수만큼 더 보관합니다.
Multi-Domain 환경 — Global SmartEvent Server에 적용
이 경우에는 SmartConsole이 아니라 구성 파일에서만 설정합니다.
| 설정 범위 | 구성 파일 | 비고 |
|---|---|---|
| 이 Global SmartEvent Server를 쓰는 모든 Domain Management Server 에 적용되는 일반 설정 | log_policy_extended.C | sk117317 참고 |
| 이 Global SmartEvent Server를 쓰는 특정 Domain Management Server 하나 에만 적용되는 설정 | log_maintenance_domain_conf.csv | 아래 절차 참고 |
특정 Domain Management Server용 설정을 구성하는 절차는 다음과 같습니다.
- SSH로 Multi-Domain Server 명령줄에 접속합니다.
- Expert mode 로 로그인합니다.
- 현재 파일을 백업합니다.
cp -v $RTDIR/conf/log_maintenance_domain_conf.csv{,_ORIGINAL}
- 현재 파일 내용을 봅니다.
cat $RTDIR/conf/log_maintenance_domain_conf.csv
- 내 컴퓨터에서, (SSH 세션의) 이 파일에 있는 두 줄을 텍스트 편집기나 표 편집기(Microsoft Excel·LibreOffice Calc 등)로 복사합니다.
- 다음 이름으로 CSV 형식 으로 저장합니다.
- Domain 이름과, 로그를 며칠 보관할지를 구성합니다.
"Domain1"·"Domain2" 예시는 다음과 같습니다. (열: Domain_name, audit, files, firewallandvpn, other-resources, smartevent, smartlog, other)
| Domain_name | audit | files | firewallandvpn | other-resources | smartevent | smartlog | other |
|---|---|---|---|---|---|---|---|
| Domain1 | 3650 | 20 | 15 | 15 | 14 | 14 | 30 |
| Domain2 | 3650 | 20 | 30 | 30 | 14 | 14 | 14 |
| default | 3650 | 30 | 14 | 14 | 14 | 14 | 14 |
dos2unix /var/log/log_maintenance_domain_conf.csv
- 현재 파일을 수정한 파일로 교체합니다.
cp -f -v /var/log/log_maintenance_domain_conf.csv $RTDIR/conf/log_maintenance_domain_conf.csv
cat $RTDIR/conf/log_maintenance_domain_conf.csv
- Check Point 서비스를 재시작합니다.
mdsstop ; mdsstart
Log Receive Rate(로그 수신 속도)
Management Server·Log Server에서 로그 수신 속도 를 모니터링하는 방법은 sk120341 을 참고하세요.
Log Server 배포
로깅은 Security Management Server에서 기본으로 켜져 있고, 그렇지 않으면 전용 Log Server를 따로 배포 할 수 있습니다. Log Server를 배포한 뒤에는 반드시 게이트웨이가 로깅하도록 설정 해야 합니다.
원격 Log Server에서 Install Database 기능을 반드시 실행해야 하는 경우 는 다음과 같습니다.
- 서버 객체의 로그 관련 블레이드·기능(서버 객체의 Log Indexing 포함)을 켜거나 끌 때.
- 시스템에 새 Log Server를 추가 할 때.
- 게이트웨이의 Log Server를 바꿀 때.
- Log Server의 로그 설정을 바꾸거나 그 밖에 Log Server 객체를 변경 할 때.
- Global Properties에서 Log Server에 영향을 줄 수 있는 무언가를 바꿀 때.
Security Management Server에서 로깅 켜기
- SmartConsole 을 엽니다.
- Security Management Server의 네트워크 객체를 편집합니다.
- General Properties 페이지의 Management 탭에서 Logging & Status 를 켭니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
전용 Log Server 배포
전용 Log Server를 배포하려면 Log Server를 설치한 뒤 Security Management Server에 연결 합니다.
자세한 내용은 R82 Installation and Upgrade Guide 를 참고하세요.
게이트웨이를 로깅하도록 설정하기
Security Gateway를 로깅하도록 설정하는 절차는 다음과 같습니다.
- SmartConsole 을 엽니다.
- Gateways & Servers 뷰에서 Security Gateway 객체를 더블 클릭합니다.
- 탐색 트리에서 Logs 를 클릭합니다.
- 로그를 어디로 보낼지 정합니다.
- Security Management Server에 저장 — Send gateway logs to server 를 선택합니다.
- 전용 Log Server에 저장 — 목록에서 해당 Log Server를 선택합니다.
- 로컬에 저장 — Save logs locally, on this server 를 선택합니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
- 그 Security Gateway에 정책을 설치합니다.
Log Indexing 켜기
Security Management Server나 Log Server에서 Log indexing을 켜면 로그 쿼리에 걸리는 시간이 줄어 듭니다. Log indexing은 기본으로 켜져 있습니다. 다만 standalone 배포에서는 기본으로 꺼져 있고, standalone 서버 CPU 코어가 4개 이상일 때만 켜는 것이 좋습니다.
수동으로 Log Indexing을 켜는 절차는 다음과 같습니다.
- SmartConsole 을 엽니다.
- Gateways & Servers 뷰에서 Security Management Server 또는 Log Server 객체를 더블 클릭하면 General Properties 창이 열립니다.
- Management 탭에서 Logging & Status 를 선택합니다.
- 탐색 트리에서 Logs 를 클릭합니다.
- Enable Log Indexing 을 선택합니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
- Menu 에서 Install Database > 모든 객체 선택 > Install 을 선택합니다.
Log Indexing 끄기
디스크 공간을 아끼려고 Log Server를 non-index 모드 로 둘 수 있습니다. 다만 Log indexing을 끄면 쿼리가 더 오래 걸립니다.
Log indexing이 꺼져 있으면 각 Log Server에 SmartConsole로 따로 접속해서 그 로그를 조회 해야 합니다. Management Server에 접속해도 index 모드처럼 모든 로그를 하나로 본 통합 뷰는 얻지 못하며, 각 Log Server에서는 한 번에 로그 파일 하나씩 검색됩니다.
Log Indexing을 끄는 절차는 다음과 같습니다.
- SmartConsole 을 엽니다.
- Gateways & Servers 뷰에서 Security Management Server 또는 Log Server 객체를 더블 클릭합니다.
- 탐색 트리에서 Logs 를 클릭합니다.
- Enable Log Indexing 옵션을 해제합니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
- Menu 에서 Install Database > 모든 객체 선택 > Install 을 선택합니다.
검색할 로그 파일을 직접 고르려면 다음과 같이 합니다.
- Logs & Events > Logs 뷰를 엽니다.
- 검색창 오른쪽의 Options 메뉴 버튼을 클릭합니다.
- File > Open Log File 을 선택합니다.
SmartEvent 배포
SmartEvent Server 는 Security Management Server 구조에 통합 되어 있어, Log Server와 통신하며 로그를 읽고 분석합니다. SmartEvent는 Security Management Server에서 함께 켜거나, 전용 서버로 따로 배포 할 수 있습니다. Security Management Server만 SmartEvent Server 역할을 겸할 수 있으며, Multi-Domain 환경에서는 반드시 전용 서버에 설치 해야 합니다.
원격 SmartEvent Server에서 Install Database 기능을 반드시 실행해야 하는 경우 는 다음과 같습니다.
- 서버 객체의 SmartEvent Server 블레이드(서버 객체의 Log Indexing 포함)를 켜거나 끌 때.
- 시스템에 새 SmartEvent Server를 추가 할 때.
- SmartEvent Server의 로그 설정을 바꾸거나 그 밖에 SmartEvent Server 객체를 변경 할 때.
- Global Properties에서 SmartEvent Server에 영향을 줄 수 있는 무언가를 바꿀 때.
SmartEvent 라이선싱
SmartEvent는 다음 두 방식으로 배포할 수 있습니다.
- SmartEvent 패키지의 일부로 — SmartEvent 패키지에는 갱신형 1년 라이선스 가 포함됩니다.
- 전용 서버로 — SmartEvent Server용 영구(perpetual) 라이선스 를 구매할 수 있습니다.
Security Management Server에서 SmartEvent 켜기
- SmartConsole 을 엽니다.
- 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- Security Management Server 객체를 엽니다.
- Management 탭에서 다음 Software Blade를 켭니다.
- Logging & Status
- SmartEvent Server
- SmartEvent Correlation Unit
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
시스템 요구 사항
R81 이전 버전에서는 한 버전의 SmartEvent Server를 여러 관리 버전이 관리 할 수 있었습니다.
| SmartEvent Server 버전 | 관리 가능한 Management Server 버전 |
|---|---|
| R77.30 | R77.30 |
| R80 | R80 |
| R80.10 | R80.10 |
| R80.20.M1 | R80.20 |
| R80.30 | R80.30 |
| R80.40 | R80.40 |
R81부터는 SmartEvent Server를 같은 버전의 Security Management Server만 관리 할 수 있습니다. 더 낮은 버전의 Security Management Server로 SmartEvent를 관리하는 것은 더 이상 지원되지 않 습니다.
전용 SmartEvent Server 설치
설치 방법은 R82 Installation and Upgrade Guide 를 참고하되, 큰 흐름은 다음과 같습니다.
- 설치 ISO 파일을 내려받습니다.
- Smart-1 어플라이언스나 open server에 ISO를 설치합니다. 파티션 크기를 다음과 같이 잡습니다.
- Root 파티션 — 최소 20 GB.
- Logs 파티션 — Root와 backup에 할당한 것보다 크게(가능한 최대) 잡아 서버가 오랜 기록을 보관할 수 있게 합니다.
- 메시지가 뜨면 재부팅합니다.
- Gaia First Time Configuration Wizard 를 실행합니다.
R82 SmartEvent를 R82 Security Management Server에 연결하기
전용 서버에 SmartEvent Server 와 SmartEvent Correlation Unit 을 구성해 Security Management Server에 붙이는 절차입니다.
- SmartConsole에서 전용 SmartEvent Server용 새 Check Point Host 객체 를 만듭니다.
- Version 필드에서 R82 를 선택합니다.
- 전용 SmartEvent Server와 SIC 신뢰(trust) 를 맺습니다.
- Management 탭에서 다음 Software Blade를 켭니다.
- Logging & Status
- SmartEvent Server
- SmartEvent Correlation Unit
- Log Server가 아닌 전용 SmartEvent Server(권장) 에서는, Logs 페이지에서 Enable Log Indexing 이 선택되어 있지 않은지 확인 합니다. 이렇게 하면 뷰·리포트와 무관한 Firewall 연결이 인덱싱되지 않습니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
- Menu > Install Database > 모든 객체 선택 > Install 을 클릭합니다.
Correlation Unit을 겸하는 전용 SmartEvent Server의 고급 구성
전용 SmartEvent Server가 Correlation Unit 역할도 겸할 때는 추가로 다음을 구성합니다.
- SmartEvent GUI를 엽니다.
- SmartConsole > Logs & Events 에서 + 를 눌러 catalog(새 탭)를 엽니다.
- SmartEvent Settings & Policy 를 클릭합니다.
- Policy 탭 > Correlation Units 에서 Correlation Unit 객체를 정의 합니다.
- 로그를 읽어 올 운영용 Log Server들과, SmartEvent Server의 로컬 Log Server 를 선택합니다.
- Policy 탭 > Internal Network 에서 내부 네트워크를 정의 합니다.
- Save 를 클릭합니다.
- Correlation Unit에 Event Policy를 설치합니다(SmartEvent menu > Actions > Install Event Policy).
R82 SmartEvent를 R82 Multi-Domain Server에 연결하기
전용 R82 SmartEvent 구성 요소를 R82 Multi-Domain Security Management 환경의 하나 이상의 Domain에 연결할 수 있습니다. 대상 구성 요소는 SmartEvent Server 와 SmartEvent Correlation Unit 입니다.
Global Domain에 연결
- SmartConsole로 Global Domain에 접속합니다.
- Multi-Domain Server에 접속합니다.
- Domain 목록에서 Global 을 선택합니다.
- 전용 SmartEvent Server R82용 Check Point Host 객체를 만듭니다.
- Check Point Host 객체 > General Properties 페이지 > Management 탭에서 다음 Software Blade를 선택합니다.
- Logging & Status
- SmartEvent Server
- SmartEvent Correlation Unit
- 전용 SmartEvent Server R82와 SIC를 초기화 합니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
- SmartEvent를 쓰는 Domain들에 Global Policy를 다시 할당(reassign) 합니다. 새 Domain은 새 global assignment를 만듭니다.
- SmartEvent를 쓰는 각 Domain Management Server 에서:
- SmartConsole을 엽니다.
- Menu > Policy > Install Database > 모든 객체 선택 > Install 을 클릭합니다.
- Domain Management Server가 동기화하고 SmartEvent 프로세스를 로드할 때까지 기다립니다.
특정 Domain에 연결
- SmartConsole로 특정 Domain에 접속합니다.
- Multi-Domain Server에 접속합니다.
- Domain 목록에서 해당 특정 Domain을 선택합니다.
- 전용 SmartEvent Server R82용 Check Point Host 객체를 만듭니다.
- Check Point Host 객체 > General Properties > Management 탭에서 다음을 선택합니다.
- Logging & Status
- SmartEvent Server
- SmartEvent Correlation Unit
- 전용 SmartEvent Server R82와 SIC를 초기화 합니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 게시합니다.
- Menu > Policy > Install Database > 모든 객체 선택 > Install 을 클릭합니다.
- Domain Management Server가 동기화하고 SmartEvent 프로세스를 로드할 때까지 기다립니다.
SmartEvent가 비표준 LEA 포트를 쓰도록 설정하기
타사 Log Server와 로그를 주고받을 수 있습니다. Check Point Log Server와 타사 Log Server는 LEA(Log Export API) 프로토콜 로 로그를 읽으며, Check Point Log Server는 기본으로 포트 18184 를 씁니다. Log Server를 다른 LEA 포트로 쓰도록 구성했다면, SmartEvent Server와 SmartEvent Correlation Unit에도 새 포트를 수동으로 지정 해야 합니다.
기본 LEA 포트를 바꾸는 절차는 다음과 같습니다.
$INDEXERDIR/log_indexer_custom_settings.conf를 텍스트 편집기로 엽니다.- 파일에 다음 줄을 추가합니다.
:lea_port (<new_port_number>)
- 파일을 저장하고 편집기를 빠져나갑니다.
- SmartEvent 클라이언트에서 Correlation Unit에 새 포트를 구성 합니다.
- Policy 탭 > Correlation Units 에서 Correlation Unit이 (SmartEvent Server의) 로컬 Log Server에서 로그를 읽도록 구성합니다.
- SmartEvent Server에 새 포트를 구성합니다.
- Policy 탭 > Network Objects 에서 SmartEvent Server 객체를 더블 클릭합니다.
- LEA port No 파라미터를
<new_port_number>로 바꿉니다.
- Correlation Unit에 Event Policy를 설치합니다(Actions > Install Event Policy).
- SmartEvent Server에서:
- 실행:
cpstop $FWDIR/conf/fwopsec.conf를 텍스트 편집기로 엽니다.- 다음 파라미터를 바꿉니다.
- 실행:
lea_server auth_port <new_port_number>
lea_server port 0
- 파일을 저장하고 편집기를 빠져나갑니다.
- 실행:
cpstart
- 실행:
SmartEvent가 외부 로그를 읽도록 설정하기
외부에서 관리되는 Log Server나 외부 Security Management Server 의 로그를 SmartEvent가 읽도록 구성하려면 sk35288 을 참고하세요.
- 외부 관리 Log Server(externally managed Log Server) — SmartEvent Server를 관리하는 것과 다른 Security Management Server 가 관리하는 Log Server입니다.
- 외부 Security Management Server(external Security Management Server) — SmartEvent Server를 관리하지 않는 Security Management Server입니다.
Domain 전용 Log Server 배포
Multi-Domain Security Management 환경에서는 게이트웨이가 Domain Management Server와 전용 Domain Log Server 로 로그를 보냅니다. Multi-Domain Server는 로그를 통합하며, 로그는 Multi-Domain Server 또는 전용 Multi-Domain Log Server 에 저장됩니다.
R81부터 Multi-Domain Server는 Domain용 전용 Log Server(별도 컴퓨터에 설치) 를 지원합니다. 이 Domain Dedicated Log Server 는 지정한 Domain에서만 로그를 받고, 다른 Domain은 그 로그에 접근하지 못하 게 구성할 수 있습니다. 덕분에 특수한 규제 요건을 맞추기 위해 전용 Log Server를 Multi-Domain 환경과 별도 네트워크에 둘 수 있습니다.
Domain Dedicated Log Server에 보고된 로그는 그 Domain에 권한이 있는 어떤 SmartConsole에서든 볼 수 있습니다. 다만 이 서버는 연결된 Domain Server하고만 직접 통신 하며, 다른 Domain은 그 로그 데이터에 접근할 수 없습니다.
R82 Multi-Domain 환경에서의 절차
- R82 Multi-Domain Server를 설치합니다(R82 Installation and Upgrade Guide > Installing a Multi-Domain Server 챕터).
- 일반 전용 R82 Log Server를 설치합니다(R82 Installation and Upgrade Guide > Installing a Dedicated Log Server or SmartEvent Server 챕터).
- SmartConsole로 해당 특정 Domain에 접속합니다(R82 Multi-Domain Security Management Administration Guide 참고).
- 2단계에서 설치한 전용 R82 Log Server용 일반 Log Server 객체를 추가 합니다.
R82로 업그레이드한 뒤 필요한 작업
SmartEvent Server나 Domain Dedicated Log Server를 쓰는 모든 환경에서, 어떤 원본 버전에서든 R82로 업그레이드한 뒤에는 반드시 거쳐야 하는 단계 가 있습니다. SmartEvent Server나 Domain Dedicated Log Server를 업그레이드한 다음, 각 Multi-Domain Security Management Server에서 Expert mode로 다음을 실행합니다.
$MDS_FWDIR/scripts/cpm.sh -tm -op reset -d all -sdR77.x Multi-Domain 환경에서의 절차
CPUSE로 업그레이드
- 모든 서버(Multi-Domain Server, Multi-Domain Log Server, Domain Dedicated Log Server, SmartEvent Server)를 R77.x에서 R80.20(또는 R80.30·R80.40)으로 업그레이드합니다.
- R80.40 Installation and Upgrade Guide 의 지침을 따릅니다.
- Multi-Domain Server — Upgrade of Multi-Domain Servers and Multi-Domain Log Servers 챕터 > "from R80.10 and lower" > "with CPUSE" 절을 따릅니다.
- Log Server — Upgrade of Security Management Servers and Log Servers 챕터 > Upgrading a Dedicated Log Server from R80.10 and lower 절 > "with CPUSE" 절을 따릅니다.
- SmartEvent Server — 같은 챕터 > Upgrading a Dedicated SmartEvent Server from R80.10 and lower 절 > "with CPUSE" 절을 따릅니다.
- 다음 오류만 빼고 모든 오류를 고칩니다(이 오류는 Domain Management Server의 Log Server에 대한 것입니다).
Log Servers on the Domain Management Server level are not yet supported in R80.x
- 각 Multi-Domain Security Management Server에서 Pre-Upgrade Verifier가 업그레이드 오류를 경고로 처리 하도록 바꿉니다.
- Multi-Domain Server 명령줄에 접속합니다.
- Expert mode로 로그인합니다.
- 아래 명령을 그대로 입력합니다(각 명령 뒤에 Enter).
cp -v $CPDIR/tmp/.CPprofile.sh{,_BKP}
cat >> $CPDIR/tmp/.CPprofile.sh << EOF
> export PUV_ERRORS_AS_WARNINGS=1
> EOF
- CPUSE 데몬을 재시작합니다.
DAClient stop ; DAClient start
- R80.40 Installation and Upgrade Guide 의 "with CPUSE" 지침을 따라 모든 서버를 업그레이드합니다.
- 모든 Multi-Domain Server를 R82로 업그레이드합니다(R82 Installation and Upgrade Guide > Upgrade of Multi-Domain Servers and Multi-Domain Log Servers > "from R80.20 and higher" > "with CPUSE").
- 각 Multi-Domain Security Management Server에서 Expert mode로 다음 스크립트를 실행합니다.
- 각 Multi-Domain Security Management Server를 재부팅합니다.
- 모든 Log Server와 SmartEvent Server를 R82로 업그레이드합니다(R82 Installation and Upgrade Guide > Upgrade of Security Management Servers and Log Servers > Upgrading a Security Management Servers or Log Server from R80.20 and higher 절).
$MDS_FWDIR/scripts/cpm.sh -tm -op reset -d all -sd
- 모든 Domain Dedicated Log Server와 SmartEvent Server를 재부팅합니다.
Advanced Upgrade
- 모든 서버(Multi-Domain Server, Multi-Domain Log Server, Domain Dedicated Log Server, SmartEvent Server)를 R77.x에서 R80.20(또는 R80.30·R80.40)으로 업그레이드합니다.
- R80.40 Installation and Upgrade Guide 의 설명대로 Pre-Upgrade Verifier를 실행합니다.
- Multi-Domain Server — Upgrade of Multi-Domain Servers and Multi-Domain Log Servers > "from R80.10 and lower" > "with Advanced Upgrade".
- Log Server — Upgrade of Security Management Servers and Log Servers > Upgrading a Dedicated Log Server from R80.10 and lower > "with Advanced Upgrade".
- SmartEvent Server — 같은 챕터 > Upgrading a Dedicated SmartEvent Server from R80.10 and lower > "with Advanced Upgrade".
- 다음 오류만 빼고 모든 오류를 고칩니다.
- R80.40 Installation and Upgrade Guide 의 설명대로 Pre-Upgrade Verifier를 실행합니다.
Log Servers on Domain Management Server level are not yet supported in R80.x
- 활성 셸 창에서 Expert mode로 다음을 실행합니다.
export PUV_ERRORS_AS_WARNINGS=1
- R80.40 Installation and Upgrade Guide 의 "with Advanced Upgrade" 지침을 따라 모든 서버를 업그레이드합니다.
- 모든 Multi-Domain Server를 R82로 업그레이드합니다(R82 Installation and Upgrade Guide > Upgrade of Multi-Domain Servers and Multi-Domain Log Servers > "from R80.10 and lower" > "with Advanced Upgrade").
- 각 Multi-Domain Security Management Server에서 Expert mode로 다음 스크립트를 실행합니다.
- 각 Multi-Domain Security Management Server를 재부팅합니다.
- 모든 Log Server와 SmartEvent Server를 R82로 업그레이드합니다(R82 Installation and Upgrade Guide > Upgrade of Security Management Servers and Log Servers > Upgrading a Security Management Servers or Log Server from R80.20 and higher with Advanced Upgrade).
$MDS_FWDIR/scripts/cpm.sh -tm -op reset -d all -sd
- 모든 Domain Dedicated Log Server와 SmartEvent Server를 재부팅합니다.
관리자 권한 프로파일
관리자에게 다음 권한을 줄 수 있습니다.
- Monitoring and Logging(모니터링·로깅)
- Events and Reports(이벤트·리포트)
이런 권한을 가진 관리자를 정의하는 절차는 다음과 같습니다.
- 관리자(또는 관리자 그룹)를 정의합니다.
- SmartConsole에서 필요한 권한을 담은 Permission Profile 을 정의합니다(Manage & Settings > Permission Profiles).
- 그 프로파일을 관리자나 관리자 그룹에 할당(assign) 합니다.
모니터링·로깅·이벤트·리포트 권한 구성
Profile 객체에서 기능마다 Read(읽기) 또는 Write(쓰기) 권한 을 선택합니다.
Monitoring and Logging 기능 — 일부 항목은 다음과 같습니다.
- Monitoring
- Management Logs
- Track Logs
- Application and URL Filtering Logs
Events and Reports 기능 — SmartEvent 관련 권한은 다음과 같습니다.
- SmartEvent
- Events — SmartConsole > Logs & Events의 뷰.
- Policy — SmartEvent GUI의 SmartEvent Policy·Settings.
- Reports — SmartConsole > Logs & Events의 리포트.
- SmartEvent Application & URL Filtering reports only(해당 리포트만)
Multi-Domain Security Management
Multi-Domain Security Management에서는 각 Event·Report가 한 Domain에 속 합니다. 관리자는 자신의 권한에 따라 해당 Domain의 이벤트만 볼 수 있습니다.
Multi-Domain Security Management의 Policy 관리자는 다음 중 하나일 수 있습니다.
- SmartEvent Server에 로컬로 정의된 관리자.
- Multi-Domain Server에 정의된 Multi-Domain Server Super User.
- 모든 Domain에 권한이 있는 관리자 — SmartEvent의 Policy > General Settings > Objects > Domains 에서 Domain을 선택합니다. 이 유형의 관리자는 Policy를 설치할 수 있고, 여러 Domain의 이벤트를 볼 수 있습니다.
SmartEvent Reports-Only 권한 프로파일
SmartEvent 리포트만 보고 생성 할 수 있는 특별한 권한 프로파일을 정의할 수 있습니다. 이 프로파일을 받은 관리자는 SmartConsole에 들어올 수는 있지만, Logs & Events 뷰에서 Reports만 볼 수 있고 SmartEvent의 다른 보안 정보에는 접근하지 못합니다. 이 권한 프로파일은 Application & URL Filtering 블레이드에만 적용 하거나, 모든 블레이드에 적용 하도록 구성할 수 있습니다. 외부 컨설턴트나 감사자에게 보고서만 열어 줄 때 유용합니다.
SmartEvent report-only 권한 프로파일을 만드는 절차는 다음과 같습니다.
- SmartConsole에서 Manage & Settings > Permissions Profiles 를 클릭합니다.
- Permission Profiles 페이지에서 기존 프로파일을 고르거나, New 버튼으로 새 프로파일을 만듭니다.
- Customized 를 선택합니다.
- Events and Reports 페이지에서 SmartEvent Reports 를 선택합니다.
- 나머지 옵션은 모두 해제합니다.
- Access Control, Threat Prevention, Others 페이지에서도 모든 옵션을 해제합니다.
- Monitoring and Logging 페이지에서 모든 기능을 Write 권한으로 선택합니다.
- OK 를 클릭하면 프로파일이 Permission Profiles 페이지에 나타납니다.
- 이 SmartEvent Reports Only 권한 프로파일을 관리자에게 할당합니다.
- SmartConsole 세션을 게시합니다.
- 정책을 설치합니다.
오프라인 로그 파일 들여오기
운영자는 예전에 생성된 로그 파일 을 들여와 다시 살펴볼 수 있습니다. 덕분에 SmartEvent를 설치하기 전 과거에 일어난 보안 위협과 패턴 이상 을 되짚어 볼 수 있는데, 취약 호스트를 노린 무단 스캔, 무단 로그인, 서비스 거부(DoS) 공격, 네트워크 이상, 그 밖의 호스트 기반 활동 같은 위협을 조사할 수 있습니다. 과거 특정 기간의 로그를 다시 검토 해, 활동 중이었지만 놓쳤을 수 있는 위협(예: 그사이 동적으로 갱신된 새 이벤트 정의가 이제 과거 기간에 적용될 수 있음)에 자원을 집중할 수 있습니다.
SmartEvent Server에서 로그 파일 들여오기
기본적으로는 최근 1일치 오프라인 로그만 들여올 수 있습니다. 더 많은 날짜를 들여오려면 log indexing 설정을 바꿔야 합니다.
log indexing 설정을 바꾸는 절차는 다음과 같습니다.
- 실행:
# evstop - 실행:
$INDEXERDIR/log_indexer -days_to_index <NUM_OF_DAYS_TO_INDEX> -workingDir $INDEXERDIR/
<NUM_OF_DAYS_TO_INDEX> 는 SmartEvent Server가 인덱싱할 최근 일수 입니다. 예를 들어 최근 30일치 로그를 들여와 인덱싱하려면 30 을 줍니다.
SmartEvent Server가 오프라인 로그 파일을 인덱싱하도록 허용하려면 다음과 같이 합니다.
- 로그 파일과 관련 포인터 파일(
<log file name>.log*)을$FWDIR/log로 복사합니다. 파일은 SmartEvent Server로 로그를 보내는 Log Server 로 복사합니다. - (선택) 각 로그 파일에 대해 Offline Work for Correlated Events 절차를 수행합니다. 이 절차는 (SmartEvent GUI 클라이언트에 정의된) Event Policy에 따라 로그 파일을 Correlation Unit에 통과시켜 상관분석 하려고 합니다.
Offline Work for Correlated Events
(SmartEvent GUI > Policy 탭의 Event Policy 기준으로) 의심스러운 로깅 활동을 탐지 하려면, 오프라인 로그 파일을 Correlation Unit에 통과시킵니다. 오프라인 로그 생성 설정은 SmartEvent GUI 클라이언트 > Policy 탭 > General Settings > Initial Settings > Offline Jobs 에 있으며, Security Management Server나 Multi-Domain Server에 연결됩니다. 설정 항목은 다음과 같습니다.
- Add — Offline Log File 절차를 구성합니다.
- Name — 나중에 처리할 오프라인 로그 파일을 알아볼 수 있는 이름입니다.
- Comment — Offline Job에 대한 설명입니다.
- Offline Job Parameters:
- SmartEvent Correlation Unit — 오프라인 로그를 읽고 처리하는 장비 입니다.
- Log Server — 오프라인 로그 파일이 들어 있는 장비 입니다. SmartEvent는 이 Log Server에 쿼리해 어떤 로그 파일이 있는지 알아냅니다.
- Log File — 선택한 Log Server에서 찾은 사용 가능한 로그 파일 목록 입니다. 이 로그 파일들이 SmartEvent Correlation Unit으로 처리됩니다. 이 창에서 과거 정보를 가져올 로그 파일을 선택합니다.
- Edit — Offline Log File 절차의 파라미터를 바꿉니다.
- Remove — Offline Log File 절차를 삭제합니다. 한 번 시작한 절차는 삭제할 수 없 습니다.
- Start — Offline Log File 절차를 실행합니다.
- Stop — 절차를 멈춥니다. 전체 절차를 지우는 것이 아니라, 지정한 지점에서 멈출 뿐입니다.
Syslog 메시지 들여오기
많은 타사 장비가 syslog 형식 으로 로깅합니다. Log Server는 이런 타사 syslog 메시지를 처리하려고 원시 데이터를 Check Point 로그 형식으로 다시 변환 합니다. 이때 Log Server는 syslog parser 를 써서 syslog 메시지를 Check Point 로그 형식으로 바꿉니다.
syslog 메시지를 들여오려면 직접 syslog parser를 정의해 Log Server에 설치 합니다. SmartEvent는 이렇게 변환된 로그를 받아 보안 이벤트로 만들 수 있습니다.
Syslog Parser 생성과 syslog 메시지 들여오기
기본으로 지원되지 않는 제품·벤더의 syslog 메시지를 들여오는 방법은 sk55020 을 참고하세요. 이 문서가 보여 주는 흐름은 다음과 같습니다.
- 샘플 syslog 메시지 몇 개를 Log Parsing Editor 에 들여옵니다.
- syslog 필드와 Check Point 로그 필드 사이의 매핑(mapping) 을 정의합니다.
- syslog parser를 Log Server에 설치합니다.
syslog 메시지를 Log Server에 들여온 뒤에는 SmartConsole의 Logs & Events > Logs 탭 에서 볼 수 있습니다.
SmartEvent가 들여온 syslog 메시지를 읽도록 설정하기
Log Server에 syslog 메시지를 들여온 뒤에는, 다른 Check Point 로그처럼 SmartEvent Server(및 다른 OPSEC LEA 클라이언트)로 전달 할 수 있습니다. SmartEvent는 syslog 메시지를 보안 이벤트로 변환 합니다.
SmartEvent Server가 이 Log Server에서 로그를 읽도록 구성하는 절차는 다음과 같습니다.
- SmartEvent가 그 Log Server에서 로그를 읽도록 구성합니다.
- SmartEvent 또는 SmartConsole 이벤트 뷰에서, Product Name 필드로 필터링하는 쿼리 를 만듭니다. 이 필드는 syslog 메시지에서 만들어진 이벤트를 고유하게 식별 합니다.
자세한 쿼리·로그 다루기는 로그 다루기 장을 함께 보세요.