08타사 로그 가져오기 — Syslog·Windows·SNMP타사 로그 가져오기 — Syslog·Windows·SNMP

많은 타사 장비가 syslog 형식으로 로그를 남깁니다. Log Server는 syslog parser(파서)로 raw 데이터를 Check Point 로그 형식으로 재구성 합니다. 기본 지원되지 않는 제품은 직접 파서를 만들어 Log Server에 설치해야 하는데, 그 방법(sk55020)은 샘플 syslog를 Log Parsing Editor 에 들여오기 → syslog 필드와 Check Point 로그 필드를 매핑 → 파서를 Log Server에 설치 순입니다. 들여온 메시지는 SmartConsole의 Logs & Events > Logs 탭에서 보입니다.

들여온 syslog를 이벤트로 만들려면, SmartEvent Server가 그 Log Server의 로그를 읽게 설정 한 뒤 Product Name 필드로 필터링합니다 — 이 필드가 syslog에서 만들어진 이벤트를 고유하게 식별해 줍니다. 파서를 GUI 대신 손으로 짜는 방법은 Syslog 수동 파싱에서 다룹니다.

Windows 서버의 이벤트는 Check Point Windows Event Service(WinEventToCPLog)가 끌어옵니다 — Windows 서버에서 이벤트를 읽어 Check Point 로그로 변환해 Log Server에 넣는 Windows 서비스 애플리케이션 입니다. 핵심은 이 프로세스는 Windows 컴퓨터에만 설치되지만, Log Server 자체는 다른 플랫폼이어도 된다 는 점이라, 한 대의 중앙 WinEventToCPLog 서버가 여러 Windows 호스트의 이벤트를 모아 보낼 수 있습니다.

큰 흐름은 이렇습니다 — Support Center에서 WinEventToCPLog 에이전트를 받아 Windows 서버에 설치 → Windows 서버와 Management Server 사이에 SIC 생성 → 어느 컴퓨터의 이벤트를 모을지 설정 입니다. 원격 컴퓨터의 이벤트까지 읽으려면 WinEventToCPLog -s 로 그 컴퓨터에 접근할 권한을 가진 관리자 계정 을 등록해야 합니다(로컬 관리자 이름을 맞추거나, 도메인 관리자로 등록하면 도메인 전체 접근).

설정은 크게 세 가지입니다. 먼저 SmartConsole에서 OPSEC Application 객체(Client Entities에서 ELA 선택)를 만들고 Activation Key로 신뢰를 초기화 합니다. 그다음 Windows 호스트에서 패키지 설치 후 -pull_cert 로 인증서를 받아 신뢰를 맺 고, 끝으로 Windows Audit Policy 를 설정(예: Logon 이벤트 감사)하고 -l(Log Server IP)·-a(이벤트를 보내는 컴퓨터 IP)·-s(관리자 계정) 명령으로 어디서 어디로 보낼지를 지정 합니다. 더 고급 설정은 sk98861을 보세요.

SNMP(Simple Network Management Protocol) 는 관리 데이터를 네트워크 장치와 주고받는 인터넷 표준 프로토콜 입니다. SNMP를 지원하는 장치(agent)는 자기 정보를 MIB(Management Information Base) 에 담아 두었다가 요청자에게 보냅니다. Gaia의 SNMP 구성 자체는 이 가이드의 범위를 벗어나니, 자세히는 Gaia 가이드의 SNMP 또는 R82 Gaia Administration Guide의 System Management > SNMP 절을 참고하세요. 모니터링 임계를 SNMP trap으로 보내는 법은 트래픽·연결 모니터링에서 다뤘습니다.