ESET PROTECT On-Prem – 목차

Syslog로 로그 내보내기

ESET PROTECT On-Prem은(는) 특정 로그 및 이벤트를 Syslog 서버로 내보낼 수 있습니다. 이벤트는 ESET 애플리케이션(예: ESET Endpoint Security)을 실행 중인 관리되는 클라이언트 컴퓨터에 생성됩니다. 이러한 이벤트는 Syslog 서버에서 이벤트를 가져올 수 있는 모든 SIEM(Security Information and Event Management) 솔루션에서 처리할 수 있습니다. ESET PROTECT On-Prem은(는) Syslog 서버로 이벤트를 전송합니다.

Syslog 서버를 구성하려면 아래 단계를 따르십시오.

1.자세히 > 설정 > 내보내기 > Syslog 서버 추가로 이동합니다.


참고

최대 5개의 Syslog 서버를 구성할 수 있습니다.

2.아래에 구성된 Syslog 서버를 활성화하려면 Syslog 설정을 활성화하여 이벤트 전송 토글을 활성화합니다.

3.로그 설정에서 Syslog 서버로 이벤트 로그를 내보낼 로그 범주를 선택합니다.

탐지 - 다음 탐지 범주를 Syslog 서버로 전송하도록 ESET PROTECT Server를 구성합니다. 안티바이러스, 방화벽, HIPS, 웹 보호(필터링된 웹 사이트), 차단된 파일ESET Inspect.

감사 - 감사 로그를 Syslog 서버로 전송하도록 ESET PROTECT Server를 구성합니다.

알림 - ESET PROTECT 서버에서 Syslog 서버로 알림을 보내도록 구성할 수 있습니다. Syslog로 전송되는 이벤트 로그를 필터링하려면 알림 로그 범주에서 필터를 정의합니다.


참고

형식이 서로 호환되지 않기 때문에 다른 이벤트의 알림용으로 Syslog를 사용할 수 없습니다. 알림은 일반 텍스트 형식으로 전송됩니다.


중요

Syslog 사용자는 내보낸 모든 로그에 접근할 수 있습니다. 모든 감사 로그 메시지를 Syslog로 내보냅니다.

4.호스트를 지정합니다. 호스트는 Syslog 서버의 IP 주소 또는 호스트 이름입니다.

5.포트 번호를 입력합니다. 기본값은 514입니다.

6.버전을 선택합니다. BSD(사양) 또는 Syslog(사양)를 선택할 수 있습니다.

7.형식에서 이벤트 메시지 로그 형식을 선택합니다.


참고

알림은 일반 텍스트 형식으로 전송됩니다.

JSON (JavaScript Object Notation)

CEF(Common Event Format) - ArcSight에서 개발한 형식입니다.

LEEF(Log Event Extended Format) - IBM 애플리케이션에서 사용하는 형식.

8.Syslog로 메시지를 보내기 위한 전송 프로토콜(UDP, TCP, TLS)을 선택합니다.

9.선택적으로 옥텟으로 카운트된 프레이밍을 활성화할 수 있습니다. 이 옵션이 활성화되면 TLS를 통해 전송되는 각 Syslog 메시지에 옥텟(바이트) 단위의 길이가 접두사로 추가되어 수신 시스템에서 메시지 길이를 확인할 수 있습니다(사양).

10. 마침을 클릭합니다.


참고

일반 애플리케이션 로그 파일은 지속적으로 업데이트됩니다. Syslog는 알림이나 다양한 클라이언트 컴퓨터 이벤트와 같은 특정 비동기 이벤트만 내보냅니다.

로깅 상세 수준을 조정하려면 자세히 > 설정 > 고급 > 로깅 > 추적 로그 상세 수준을 클릭합니다.

자세히 > 설정 > 내보내기에서 구성된 Syslog 서버 목록을 보고 편집할 수 있습니다. 구성된 Syslog 서버 옆에 있는 점 3개 자세히 아이콘을 클릭하고 다음을 선택합니다.

편집. 편집 - 선택한 Syslog 서버 구성을 편집합니다.

삭제. 제거 - 선택한 Syslog 서버 구성을 제거합니다.