Skip to main content
Skip table of contents

SIEM 연동

Overview

QueryPie에서 기록하는 로그를 Syslog 형식으로 외부로 전송하는 기능을 제공합니다. 9.19.0 이전 버전에서도 Syslog 형식 (RFC3164) 으로 외부로 로그를 전송하였지만 UDP 프로토콜만 제공했습니다. 9.19.0 버전부터 TCP 프로토콜의 지원과 함께 Splunk HEC (HTTP Event Collector)를 위한 HTTP / HTTPS 프로토콜을 지원합니다.

SIEM이란?
SIEM(Security Information and Event Management) 은 여러 원본으로부터 이벤트 로그 데이터를 수집하고 실시간 분석을 바탕으로 상관관계 분석이나 비정상적 활동을 식별하여 적절한 조치를 취할 수 있는 솔루션입니다.

Integration 설정을 위해서는 System admin 권한이 필요합니다.

Syslog Integration 설정

스크린샷 2024-05-23 오후 6.52.12.png

Settings > General Settings > System > Integrations

  1. General Settings 메뉴에서 System > Integrations 메뉴로 이동합니다.

  2. Syslog 타일을 클릭하여 상세 페이지로 이동합니다.

Syslog (legacy) 는 무엇인가요?
기존 Syslog 를 사용하셨던 경우 Syslog (Legacy) 타일이 추가로 표시됩니다. 이곳에서 기존 포맷을 유지한 상태로 Syslog 를 그대로 전송받을 수 있습니다. Legacy Format은 Syslog 프로토콜 상 Timestamp 필드가 Time Zone의 영향을 받으므로 별도로 Time Zone 설정 항목이 존재합니다. 기본값은 UTC입니다.

  1. 상세 페이지에 있는 Configure 버튼을 클릭하면 아래와 같이 Destination 정보를 입력할 수 있는 팝업이 표시됩니다.

스크린샷 2024-05-23 오후 6.54.53.png

  1. Destination 정보를 생성하기 위해 다음의 정보들을 입력합니다.

    1. Destination Name : syslog를 수신하는 주체를 식별할 수 있도록 적당한 이름을 입력합니다.

    2. Protocol : syslog에서 선택 가능한 프로토콜은 TCP(기본값)와 UDP입니다. UDP는 패킷의 길이 제약사항이 있고 보안적으로 취약하므로 TCP 사용을 권장합니다.

    3. Destination Address (Hostname): syslog를 수신하는 syslog server의 IP address 또는 hostname을 입력합니다.

    4. Port : sylog server에서 listen 하는 port를 입력합니다. (기본값 514)

    5. Test Connection 버튼 : TCP는 syslog 서버와 통신상태를 점검할 수 있습니다. UDP는 프로토콜 특성상 통신 상태 점검이 불가능하여 이 버튼을 사용할 수 없습니다.

    6. Select Event Items : 이벤트 항목을 선택적으로 전송할 수 있습니다. 아래에 앴는 “Select all event items, including those that may be added later.” 체크박스를 선택하면 전송 가능한 모든 이벤트를 전송합니다.

    7. Disable syslog header : syslog header 정보를 빼고 전송합니다(기본값 Yes). 일부 SIEM에서 json 파싱이 어려운경우 syslog header를 빼기 위해 제공되는 옵션입니다.

    8. Description : 설정 정보에 대한 100자 이내의 간략한 정보를 입력합니다.

  2. OK 버튼을 누르고 설정을 저장합니다.

    1. 설정 사항이 저장되더라도 바로 Syslog 를 전송되는 것은 아닙니다.

  3. 전송 시작을 하려면 페이지 좌측 상단에 있는 토글 버튼을 :토글:으로 전환합니다.

    1. 이 전송 토글 버튼은 유지 보수 등 다양한 상황에서 일시적으로 전송을 중지해야 하는 경우 사용할 수 있습니다.

  4. 만약 더 이상 Syslog 전송이 필요하지 않을 경우 Delete 버튼을 통해 설정을 제거할 수 있습니다.

    1. 단, 전송 중인 상태에서는 삭제할 수 없으므로 전송 토글 버튼을 :토글off: 로 변경한 후 삭제해 주시기 바랍니다.

Syslog Integration 설정

스크린샷 2024-06-13 오후 5.49.47.png

Splunk 연계 권장 아키텍쳐

Splunk는 Syslog 이벤트를 전송하는 주체로 부터 직접 Splunk로 전송하는 것은 권장하지 않고, 위 그림과 같이 별도 syslog server를 통한 1차 수집 이후 Splunk 로 전송하거나 Universal forwarder / Heavy forwarder를 통해 Splunk로 전송하는 구조를 권장하고 있습니다. 그리고 Splunk는 syslog수집을 위해 별도로 SC4S(Splunk connector for syslog)를 제공하고 있습니다.


QueryPie는 고객 편의를 위해 TCP, UDP, HTTP, HTTPS 프로토콜을 사용하여 직접 전송할 수 있도록 구성되어 있으나 이 구성은 Splunk의 권장사항이 아님을 주의하여 주시기 바랍니다.

스크린샷 2024-05-23 오후 6.52.12.png

Settings > General Settings > System > Integrations

  1. General Settings 메뉴에서 System > Integrations 메뉴로 이동합니다.

  2. Splunk 타일을 클릭하여 상세 페이지로 이동합니다.

  3. 상세 페이지에 있는 Configure 버튼을 클릭하면 아래와 같이 Destination 정보를 입력할 수 있는 팝업이 표시됩니다.

image-20240523-101104.png

(좌) TCP / UDP 설정 화면 (우) HTTP / HTTPS 설정 화면

  1. Destination 정보를 생성하기 위해 다음의 정보들을 입력합니다.

    1. Destination Name : syslog를 수신하는 주체를 식별할 수 있도록 적당한 이름을 입력합니다.

    2. Protocol : Splunk로 전송가능한 프로토콜은 TCP(기본값),UDP, HTTP, HTTPS입니다. UDP는 패킷의 길이 제약사항이 있고 보안적으로 취약하므로 TCP 사용을 권장합니다. Splunk에서 HTTP Event Collector를 사용하는 경우 가본 값은 HTTPS입니다. 만약 HTTPS 대신 HTTP를 사용하기 위해서는 먼저 Splunk의 HEC 옵션에서 SSL 옵션을 사용하지 않도록 설정해야 합니다.

    3. Destination Address (Hostname): syslog를 수신하는 Splunk server 또는 forwarder의 IP address 또는 hostname을 입력합니다. HTTP, HTTPS 프로토콜은 이부분이 HEC Host 입력으로 바뀌어 표시됩니다.

    4. Port : sylog server에서 listen 하는 port를 입력합니다. (TCP 기본값 514) Splunk HEC port는 Splunk 의 설정을 먼저 확인 후 입력해야 합니다.

    5. HEC Token : HTTP, HTTPS 프로토콜의 경우 Splunk의 HEC설정시 생성하는 token 값을 입력해야 합니다.

    6. Test Connection 버튼 : TCP, HTTP, HTTPS 프로토콜은 대상과 통신상태를 점검할 수 있습니다. UDP는 프로토콜 특성상 통신 상태 점검이 불가능하여 이 버튼을 사용할 수 없습니다.

    7. Select Event Items : 이벤트 항목을 선택적으로 전송할 수 있습니다. 아래에 앴는 “Select all event items, including those that may be added later.” 체크박스를 선택하면 전송 가능한 모든 이벤트를 전송합니다.

    8. Disable syslog header : syslog header 정보를 빼고 전송합니다(기본값 Yes). 일부 SIEM에서 json 파싱이 어려운경우 syslog header를 빼기 위해 제공되는 옵션입니다. HTTP, HTTPS의 경우 이 옵션을 사용할 수 없고 항상 syslog header가 없는 상태로 전송됩니다.

    9. Description : 설정 정보에 대한 100자 이내의 간략한 정보를 입력합니다.

  1. OK 버튼을 누르고 설정을 저장합니다.

    1. 설정 사항이 저장되더라도 바로 Syslog 를 전송되는 것은 아닙니다.

  2. 전송 시작을 하려면 페이지 좌측 상단에 있는 토글 버튼을 :토글:으로 전환합니다.

    1. 이 전송 토글 버튼은 유지 보수 등 다양한 상황에서 일시적으로 전송을 중지해야 하는 경우 사용할 수 있습니다.

  3. 만약 더 이상 Syslog 전송이 필요하지 않을 경우 Delete 버튼을 통해 설정을 제거할 수 있습니다.

    1. 단, 전송 중인 상태에서는 삭제할 수 없으므로 전송 토글 버튼을 :토글off: 로 변경한 후 삭제해 주시기 바랍니다.

참고

  • 라이센스에 따라 syslog 를 통해 전송되는 QueryPie의 이벤트 항목

DAC License

SAC License

User Access History

O

O

Activity Logs

O

O

Admin Role History

O

O

Audit Log Export

O

O

DB Access History

O

해당사항 없음

Query Audit

O

해당사항 없음

DML Snapshot

O

해당사항 없음

DB Access Control Logs

O

해당사항 없음

Account Lock History

O

해당사항 없음

Server Access History

해당사항 없음

O

Server Command Audit

해당사항 없음

O

Server Session Logs

해당사항 없음

O

Server Access Control Logs

해당사항 없음

O

Workflow Logs

O

O

Approval Urgent Waiting Logs

O

O

Back to 외부 서비스 연동하기

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close