고객 서버에 취합 되고 있는 모든 이벤트 로그에서 해킹이나 위험도가 높은 로그가 발생되면 실시간으로 알려주는 기능을 제공하며,
이를 위해 필터 등록은 필수입니다.
서비스 설치 후 자동으로 등록되는 추천필터와 원하는 필터를 등록 할 수 있는 필터관리 기능이 있습니다.

 

◆ 서버 그룹 선택
– 원하는 서버그룹을 선택합니다.(서버 그룹 관리 참조)
모든서버그룹

 

◆ 모든운영체제
– 모든 운영 체제를 보거나 원하는 서버를 선택하여 보실 수 있습니다.
모든운영체제

 

◆ 분류 선택
– 윈도우의 경우는 분류 표기에 ‘감사 정책’이 적용되어 있습니다.
– 리눅스의 경우는 분류 표기에 ‘기능(Facility)’이 적용되어 있습니다.
모든분류

 

◆ 상태별 확인
– ON / OFF 상태별로 확인합니다.
모든상태

 

◆ 채널 선택
– Window의 채널을 선택할 수 있습니다.

cha

 

◆ 필터분류 & 위험도 선택
– 필터를 분류별 위험도 별로 선택해서 볼 수 있습니다.

추천필터분류-위험도

  • ex) 필터분류의 계정을 클릭하면 계정에 관련된 필터만 나열됩니다.

필터분류-계정-1

 

  •  위험도를 중간으로 선택하게 되면 중간위험도의 필터만 자동으로 나열 됩니다.

필터분류-계정-중간

 

◆ 검색 기능
– 찾고 싶은 문자나 숫자를 검색합니다.
검색

◆ 필터 등록
– 버튼을 클릭하여 등록할 로그에 대한 상세 정보를 입력합니다.

– 적용된 추천 필터의 내용을 참고하세요.

1. 서버그룹 : 필터할 서버 그룹을 선택합니다.
2. 운영체제 : Windows 또는 Linux 를 선택합니다.
3. 분류 : 윈도우(감사 정책) / 리눅스(Facility)에서 선택합니다.
4. 채널 : 윈도우채널을 선택하여(Security / Application / System ) 필터를 등록할 수 있습니다. 

5. 이벤트ID : 분류에 맞는 이벤트ID가 나열되면 원하는 목록을 선택합니다.
6. 서버 목록 : 필터를 원하는 그룹을 선택합니다. 원하는 서버 혹은 등록되어있는 모든 서버를 선택 할 수 있습니다.
7. 필터 이름 : 쉽게 알아볼 수 있는 이름으로 정합니다.
8. 필터 시간 : 필터를 원하는 시간대에 지정해서 필터링할 수 있습니다. (기본값은 24시간 입니다.)
9.위험도 : 위험도를 설정할 수 있습니다. (기본값은 중간 입니다.)
10.필터알림: 필터알림 횟수를 설정할 수 있습니다. (기본값은 위험도에 따라서 1회, 3회, 5회, 없음 으로 설정됩니다.)

필터
11. 선택 조건 : 데이터 이름, 데이터 값을 입력합니다.
11-1. 데이터 이름 : 나열된 데이터이름 중 선택합니다.
11-2. 데이터 값 : 필터링을 필요로 하는 값을 입력합니다.
11-3. 포함 / 제외 : 필터링시 입력값을 포함/제외 하여 알림을 받습니다.
11-4. 선택조건 추가 : 데이터 이름을 추가합니다.
11-5. 데이터 값 추가 : 데이터 값을 추가합니다.

filter3.0

※ 필터등록 예시 : Window 필터등록. (윈도우 이벤트 ID 5156)

1. 이벤트로그 ‘자세히보기’ 를 클릭 후 원하는 데이터를 찾은 후 데이터값추가에 원하는 데이터를 선택합니다.
Fmake-2
2. 데이터이름을 추가 한 다음 데이터 값을 입력해줍니다


3. 원하는 선택 조건이 여러개일 경우 추가버튼을 눌러 새롭게 생성 할 수 있습니다.

선택조건이 두가지 이상이면 두 값이 모두 만족 할 때 필터가 적용 됩니다.

4. 하나의 필터에 여러개의 선택조건을 추가 할 수 있습니다.

같은 데이터에서 여러가지 값을 갖는 경우 데이터 값 1번 혹은 2번이 포함될 때 원하는 필터 값을 볼 수 있습니다. (둘 중 하나라도 적용되면 생성)

f-2

5. 데이터값을 포함 또는 제외 할 수 있습니다.

f-2

 

◆ 체크 박스 적용
– 체크 박스를 이용하면 전체 혹은 원하는 이벤트의 상태를 쉽게 변경하거나 삭제 할 수 있습니다.
F-1 (9)

 

◆ 수정 및 복사 기능
– 필터 관리에서 목록의 필터 이름을 클릭하면 필터 상세 페이지가 보이며, 우즉 하단에 수정/복사/삭제 버튼을 보실 수 있습니다.
– 수정 : 등록된 필터를 수정할 때 사용합니다.
– 복사 : 등록된 필터를 그대로 복사하여 약간 수정하여 저장하면 시간을 절약할 수 있습니다


F-1 (10)

 

◆ 추천 필터
– Plura 서비스를 설치하면 DEFAULT 그룹에 자동으로 추천필터가 적용됩니다.
– 서버그룹을 추가하게 되면 직접 추천필터에서 원하는 필터를 등록할 수 있습니다.
– 등록된 필터는 언제든지 변경, 삭제, 추가할 수 있습니다.
필터

 

◆ 추천 필터 적용 방법
– 추천 필터를 적용하려면 아래 그림처럼 먼저 사용할 필터를 체크 한 후 등록을 해야합니다.
– 등록이 잘되었다면 필터관리에서 확인할 수 있습니다.

추천필터등록