DeepFinder Syslog
SYSLOG
DeepFinder는 Syslog 전송을 통해 SIEM(통합 보안 관제 시스템) 등 외부 장비와 연동할 수 있습니다.
연동 설정은 [환경관리] > [환경설정] > [Server 설정파일 변경] 메뉴에서 수행합니다.
1. LogServer 등록
Syslog를 수신할 서버의 IP와 Port를 등록합니다.
2. 로그 포맷(LogFormat) 설정
필요한 경우 전송될 탐지 로그의 형식을 수정합니다. (아래 '탐지 로그 포맷 정의' 표 참조)
3. 설정 적용 (Server 재기동)
설정을 완료한 후, Server 프로세스를 재기동해야 변경 사항이 반영됩니다.
Server Process 재기동 영향
Server Process는 Manager와 Agent 간의 통신을 담당합니다.
프로세스 재기동 시 Agent와의 연결이 일시적으로 끊어지지만, Agent의 보안 기능(WAF)은 중단 없이 정상 동작합니다.
연결이 끊긴 동안 발생한 탐지 로그는 Agent 내부 버퍼에 저장되며, 재연결 시 Manager로 일괄 전송됩니다.
탐지 로그 (Detection Log)
탐지 로그 포맷(logformat) 설정 시 사용되는 변수 정의입니다.
| 변수 | 설명 | 변수 | 설명 |
|---|---|---|---|
| %A / %a | Action (대응 결과) | %K | ISO country code |
| %B | HttpBody | %L | LogType |
| %b | HttpBody (Encoded) | %l | LogType (Encoded) |
| %C | Company Name | %M | Detect Msg (탐지 메시지) |
| %c | Company Name (Encoded) | %m | Detect Msg (Encoded) |
| %D | Domain | %N / %n | Instance ID |
| %d | Domain (Encoded) | %O | DomainGroup ID |
| %E | Parameter | %o | Company ID |
| %e | Parameter (Encoded) | %P | Pattern Name |
| %F / %f | Agent Name | %p | Pattern Name (Encoded) |
| %G | Pattern Group | %R / %r | RiskLevel |
| %g | Pattern Group (Encoded) | %S / %s | Manager IP (Agent Only) |
| %H | HttpHeader | %T / %t | LogDate |
| %h | HttpHeader (Encoded) | %U | URL |
| %I / %i | Attacker IP | %u | URL (Encoded) |
| %J / %j | Agent ID | %X / %x | Agent IP (Server Only) |
| %y | Pattern ID | %Z / %z | Detail Log URL (Server Only) |
설정 예시
이벤트 로그 (Event Log)
DeepFinder 시스템 상태 및 Agent 상태 변화를 기록하는 로그입니다.
| 로그 키워드 | 설명 |
|---|---|
DeepFinder: SystemLog|Server_Start |
Server 프로세스 시작 |
DeepFinder: SystemLog|Server_Stop |
Server 프로세스 중지/종료 |
DeepFinder: SystemLog|Auto_Add_Agent |
Agent 자동 확장 (Scale out) |
DeepFinder: SystemLog|Add_Agent |
신규 Agent 등록 |
DeepFinder: SystemLog|Agent_Connected |
Agent 연결됨 |
DeepFinder: SystemLog|Agent_Disconnected |
Agent 연결 끊김 |
DeepFinder: SystemLog|Agent_Error |
Agent 오류 발생 (상세 내용 참조) |
DeepFinder: SystemLog|Threshold_CPU |
CPU 임계치 초과 |
DeepFinder: SystemLog|Threshold_MEM |
Memory 임계치 초과 |
DeepFinder: SystemLog|Threshold_DISK |
Disk 임계치 초과 |
DeepFinder: SystemLog|Filter_Down |
웹 필터 로그 수신 중단 (일정 시간 이상) |
Agent_Error 발생 유형
- DeepFinder 로그 디렉토리에 덤프(Dump) 파일이 생성될 때
- Agent 내부 DB(sqlite3) 관련 에러 발생 시
- Windows: IIS 관련 에러 (Application 로그의
w3wp.exe에러, System 로그의WAS에러/경고) - Linux: Apache/Nginx의 Segment Fault 발생 시
이벤트 로그 상세 예시
에이전트 추가 (Agent Added)
DeepFinder: SystemLog|Add_Agent|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Added
DeepFinder: SystemLog|Auto_Add_Agent|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Auto Added (Scale out)
라이선스 초과 (License Overflow)
에이전트 연결 상태 변경 (Connection Status)
DeepFinder: SystemLog|Agent_Connected|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Connected
DeepFinder: SystemLog|Agent_Disconnected|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Disconnected
필터 다운 (Filter Down)
DeepFinder: SystemLog|Filter_Down|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Msg:Filter Check : no log. more than 20 min
자원 임계치 알림 (Agent Resource Threshold)
DeepFinder: SystemLog|Threshold_CPU|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:CPU Usage : %d >= %d
DeepFinder: SystemLog|Threshold_MEM|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:MEM Usage : %d >= %d
서버 상태 정보 (Server Status)
DeepFinder: Server_Status|Server ID:%d|License Expire:%s|License Max:%d|Total Agent:%d|Online Agent:%d|Msg:Agent Status
시스템 에러 및 프로세스 상태
시스템 모니터링 (DB/API Check)
# DB 연결 실패 시
DeepFinder: SystemLog|Manager_monitor|Msg: Check Postgres DB (서버 IP)
# 시스템 정상
DeepFinder: SystemLog|Manager_monitor|Msg: System check completed. All systems are normal. (check serverIP:(서버 IP))
# API 서버 무응답 (HA 구성 시)
DeepFinder: SystemLog|Manager_monitor|Msg: No response from (이중화 IP) API server.
프로세스 다운 (Process Down)
# Server Process
DeepFinder: SystemLog|Server_Error|Msg:Process dfserver MASTER not found (서버 IP)
deepfinder: SystemLog|Server_Stop|Server ID:101|Msg:Main Server Stop
deepfinder: SystemLog|Server_Stop|Server ID:101|Msg:Worker Server Stop (10016)
# Postgres
deepfinder: SystemLog|Server_Error|Server ID:101|Msg:Postgresql connect failed
# ElasticSearch
deepfinder: AuditLog|Admin ID:SYSTEM|LogTime:2023-05-02 13:39:10.438067|Msg:dfserver__ElasticSearch down
DeepFinder: SystemLog|Server_Error|Msg:Process dfserver ELASTICSEARCH not found (서버 IP)
매니저 자원 임계치 초과 (Manager Resource Threshold - 10초 주기)
# CPU
deepfinder: SystemLog|Manager_monitor|Msg:cpu threshold reached(10 <= 16.9 서버 IP)
# Memory
deepfinder: SystemLog|Manager_monitor|Msg:mem threshold reached(10 <= 77.3 서버 IP)
# Disk
deepfinder: SystemLog|Manager_monitor|Msg:DISK threshold reached(/,10 <= 20 서버 IP)
감사 로그 (Audit Log)
관리자의 활동 이력을 기록합니다.
콘솔 로그인/로그아웃
DeepFinder: AuditLog|Admin ID:2|LogTime:2022-03-26 17:59:48.679505|Msg:ID: admin 로그인 성공
# 예시
ID: test 로그인 성공
ID: test 로그아웃
정책 변경
DeepFinder: AuditLog|Admin ID:2|LogTime:2022-03-26 17:48:26.846183|Msg:도메인그룹 ID [12]의 정보가 변경되었습니다.(도메인그룹 이름:감사로그>감사로그, 도메인그룹 버전:>, 도메인그룹 타입:iis>iis, 도메인그룹 동작모드:RUN>RUN, 도메인그룹 설명:>, 기본정책:low>low, 기본정책 대응방법:DETECT>DENY)
템플릿 등록