SYSLOG
DeepFinder는 Syslog 전송을 통해 SIEM과 같은 장비와 연동할 수 있습니다.
Syslog 설정은 [환경관리] - [환경설정] - [server 설정]에서 설정할 수 있습니다.
LogServer 등록
Syslog를 수신할 서버의 IP와 Port를 추가합니다.
필요한 경우 탐지로그의 Syslog LogFormat을 수정합니다.
Syslog 설정이 완료되면 Server 프로세스를 재기동하여 설정을 활성화합니다.
Server Process
server 프로세스는 Manager와 Agent 간의 통신을 담당하는 프로세스입니다.
server 프로세스 재기동 시 연결된 Agent와 연결이 끊어지게 됩니다.
Agent와의 연결이 끊어지게 되더라도 Agent 내 저장된 정책, 탐지로그는 Agent에서 저장중이기 때문에 WAF 동작에 영향을 끼치지 않으며, 수분내로 Agent에서 매니저 쪽으로 통신을 요청하여 다시 연결됩니다.
탐지 로그
| 항목 | 설명 |
|---|---|
| case 'A': case 'a': | Action |
| case 'B': | HttpBody |
| case 'b': | HttpBody (Encoded) |
| case 'C': | Company Name |
| case 'c': | Company Name (Encoded) |
| case 'D': | Domain |
| case 'd': | Domain (Encoded) |
| case 'E': | Parameter |
| case 'e': | Parameter (Encoded) |
| case 'F': case 'f': | Agent Name |
| case 'G': | Pattern Group |
| case 'g': | Pattern Group (Encoded) |
| case 'H': | HttpHeader |
| case 'h': | HttpHeader (Encoded) |
| case 'I': case 'i': | Attacker IP |
| case 'J': case 'j': | Agent ID |
| case 'K': | ISO country code (not K) |
| case 'L': | LogType |
| case 'I': | LogType (Encoded) |
| case 'M': | Detect Msg |
| case 'm': | Detect Msg (Encoded) |
| case 'N': case 'n': | Instance ID |
| case 'O': | DomainGroup ID |
| case 'o': | Company ID |
| case 'P': | Pattern Name |
| case 'p': | Pattern Name (Encoded) |
| case 'R': case 'r': | RiskLevel |
| case 'S': case 's': | Manager IP (Agent only) |
| case 'T': case 't': | logDate |
| case 'U': | URL |
| case 'u': | URL(Encoded) |
| case 'X': case 'x': | Agent IP (Server only) |
| case 'y': | Pattern ID |
| case 'Z': case 'z': | Detail Log URL (Server only) |
탐지로그 설정 예시
deepfinder: AlertLog|logDate:%T|Manager
IP:%S|CompanyName:%C|AID:%J|InstanceID:%N|Attack IP:%I|Domain:%D|Log Type:%L|Pattern
Grp:%G|Pattern Nm:%P|Action:%A|Risk Level:%R|URL:%U|Parameters:%E|Detect
Msg:%M|Httpbody:%B|Httpheader:%H
이벤트 로그
| 항목 | 설명 |
|---|---|
| DeepFinder: SystemLog|Server_Start | Server 시작 |
| DeepFinder: SystemLog|Server_Stop | Server 중지/다운 |
| DeepFinder: SystemLog|Auto_Add_Agent | Agent scale out |
| DeepFinder: SystemLog|Add_Agent | Agent added |
| DeepFinder: SystemLog|Agent_Connected | Agent connect |
| DeepFinder: SystemLog|Agent_Disconnected | Agent disconnect |
| DeepFinder: SystemLog|Agent_Error | Agent Error Log |
| DeepFinder: SystemLog|Threshold_CPU | CPU 사용량 초과 |
| DeepFinder: SystemLog|Threshold_MEM | Memory 사용량 초과 |
| DeepFinder: SystemLog|Threshold_DISK | Disk 사용량 초과 |
| DeepFinder: SystemLog|Filter_Down | Filter Log 가 일정시간 이상 들어오지 않는 경우 |
Agent_Error(신규 추가)
- deepfinder log 내에 dump 파일 생성시
- deepfinder agnet 의 파일 DB (sqlite3) 관련 에러 발생시
- Windows Event Log 내에서 IIS 관련 Error 발생시 --> Application 로그에서 "w3wp.exe" 관련 ERROR --> System 로그에서 "WAS" 관련 ERROR 및 WARNING
- Linux 에서는 Apache/Nginx Segment Fault 발생시
에이전트 추가
DeepFinder: SystemLog|Add_Agent|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Added
DeepFinder: SystemLog|Auto_Add_Agent|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Auto Added (Scale out)
에이전트 연결종료
DeepFinder: SystemLog|Agent_Connected|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Connected
DeepFinder: SystemLog|Agent_Disconnected|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Agent Connected
필터 다운
DeepFinder: SystemLog|Filter_Down|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:Msg:Filter Check : no log. more than 20 min에이전트 정보
DeepFinder: SystemLog|Threshold_CPU|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:CPU Usage : %d >= %d DeepFinder: SystemLog|Threshold_MEM|Agent ID:%d|Agent IP:%s|Instance ID:%s|Company ID:%d|DomainGroup ID:%d|Agent Name:%s|Msg:MEM Usage : %d >= %d서버 정보
DeepFinder: Server_Status|Server ID:%d|License Expire:%s|License Max:%d|Total Agent:%d|Online Agent:%d|Msg:Agent StatusProcess Down 발생 시
Server Process
deepfinder: SystemLog|Server_Stop|Server ID:101|Msg:Main Server Stopdeepfinder: SystemLog|Server_Stop|Server ID:101|Msg:Worker Server Stop (10016)
Postgres
deepfinder: SystemLog|Server_Error|Server ID:101|Msg:Postgresql connect failedElasticSearch
deepfinder: AuditLog|Admin ID:SYSTEM|LogTime:2023-05-02 13:39:10.438067|Msg:dfserver__ElasticSearch downdeepfinder: SystemLog|Server_Error|Msg:Process dfserver ELASTICSEARCH not found
설정한 매니저 성능의 임계치를 초과하였을 시
Cpu 임계치
deepfinder: SystemLog|Manager_monitor|Msg:cpu threshold reached(10 <= 16.9)Memory 임계치
deepfinder: SystemLog|Manager_monitor|Msg:mem threshold reached(10 <= 77.3)Disk 임계치
deepfinder: SystemLog|Manager_monitor|Msg:DISK threshold reached(/,10 <= 20)감사 로그
콘솔 로그인
ID: test 로그인 성공
ID: test 로그아웃
DeepFinder: AuditLog|Admin ID:2|LogTime:2022-03-26 17:59:48.679505|Msg:ID: admin 로그인 성공
정책 변경
DeepFinder: AuditLog|Admin ID:2|LogTime:2022-03-26 17:48:26.846183|Msg:도메인그룹 ID [12]의 정보가 변경되었습니다.(도메인그룹 이름:감사로그>감사로그, 도메인그룹 버전:>, 도메인그룹 타입:iis>iis, 도메인그룹 동작모드:RUN>RUN, 도메인그룹 설명:>, 기본정책:low>low, 기본정책 대응방법:DETECT>DENY)
템플릿 등록
보안패턴 - 템플릿그룹이 등록되었습니다.(그룹 ID: 1001, 이름: TEST 패턴그룹, 위험도: 하, 타입:REQUEST, 설명:) 보안패턴 - 템플릿이 등록되었습니다.(그룹 ID: 1001, 이름: TEST, 위험도: 하, 패턴: aaa)
DeepFinder: AuditLog|Admin ID:2|LogTime:2022-03-26 17:49:25.331096|Msg:보안패턴 - 템플릿이 등록되었습니다.(그룹 ID: 1018, 이름: 테스트입니다., 위험도: 상, 패턴: 테스트)