You are here:--시스로그 필터등록

시스로그 필터등록

◆ 시스로그 필터 등록
– 버튼을 클릭하여 등록할 로그에 대한 상세 정보를 입력합니다.

– 적용된 추천 필터의 내용을 참고하세요.

1. 서버그룹 : 필터할 서버 그룹을 선택합니다.
2. 운영체제 : Windows 또는 Linux 를 선택합니다.
3. 분류 : 윈도우(감사 정책) / 리눅스(Facility)에서 선택합니다.
4. 채널 : 리눅스채널을 선택하여(Syslog /  Auditlog ) 필터를 등록할 수 있습니다. 

5. 이벤트ID : 분류에 맞는 이벤트ID가 나열되면 원하는 목록을 선택합니다.
6. 서버 목록 : 필터를 원하는 그룹을 선택합니다. 원하는 서버 혹은 등록되어있는 모든 서버를 선택 할 수 있습니다.
7. 필터 이름 : 쉽게 알아볼 수 있는 이름으로 정합니다.
8. 필터 시간 : 필터를 원하는 시간대에 지정해서 필터링할 수 있습니다. (기본값은 24시간 입니다.)
9.위험도 : 위험도를 설정할 수 있습니다. (기본값은 중간 입니다.)
10.필터알림: 필터알림 횟수를 설정할 수 있습니다. (기본값은 위험도에 따라서 1회, 3회, 5회, 없음 으로 설정됩니다.)


11. 선택 조건 : 데이터 이름, 데이터 값을 입력합니다.
11-1. 데이터 이름 : 나열된 데이터이름 중 선택합니다.
11-2. 데이터 값 : 필터링을 필요로 하는 값을 입력합니다.
11-3. 포함 / 제외 : 필터링시 입력값을 포함/제외 하여 알림을 받습니다.
11-4. 선택조건 추가 : 데이터 이름을 추가합니다.
11-5. 데이터 값 추가 : 데이터 값을 추가합니다.


※ 필터등록 예시 : Syslog 필터등록. (시스로그 로그인성공 [event id 주요 인증 정보 메시지86 관련)

1. 이벤트로그 ‘자세히보기’ 를 클릭 후 원하는 데이터를 찾은 후 데이터값추가에 원하는 데이터를 선택합니다.

위의 이미지는 로그인 성공시 나오는 Syslog의 로그입니다.
이미지의 msg부분에 Accepted password 라는 부분으로 로그인을 성공했다는걸 예상할 수 있습니다. msg부분의 전체가 아닌 이런 단어만으로도 필터링을 할 수 있습니다.

2. 데이터이름을 추가 한 다음 데이터 값을 입력해줍니다.

*Accepted password* 라고 붙인 이유는 Accepted password 앞뒤에 어떤 메시지가 와도 이 부분이 있으면 잡으라고 명시하는 부분입니다.


3. 원하는 선택 조건이 여러개일 경우 추가버튼을 눌러 새롭게 생성 할 수 있습니다.

선택조건이 두가지 이상이면 두 값이 모두 만족 할 때 필터가 적용 됩니다.

4. 하나의 필터에 여러개의 선택조건을 추가 할 수 있습니다.

같은 데이터에서 여러가지 값을 갖는 경우 데이터 값 1번 혹은 2번이 포함될 때 원하는 필터 값을 볼 수 있습니다. (둘 중 하나라도 적용되면 생성)



선택조건을 추가하여 자세히보기 항목에서 programname 항목의 sshd 라는 값으로  sshd로 로그인성공했을때만 알람을 받고싶을 경우 선택조건을 추가하면 됩니다.

5. 데이터값을 포함 또는 제외 할 수 있습니다. 

By | 2017-08-02T13:27:50+00:00 6월 16th, 2017|Categories: Manual|0 Comments