Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

전송 대상 추가

대량 또는 선택적 데이터 전달을 구성하려면 먼저 전달 대상을 추가해야 합니다. 전달하는 정규화된 이벤트는 다른 JSA 시스템에서만 해석될 수 있습니다.

메모:

동적 IP 주소를 사용하는 시스템에는 데이터를 전달할 수 없습니다. 서비스가 시작될 때 연결이 설정되며 서비스가 다시 시작될 때까지 IP 주소 변경이 감지되지 않습니다. 전송 대상에는 정적 IP 주소가 있어야 합니다.

  1. 탐색 메뉴()에서 Admin(관리)을 클릭합니다.
  2. System Configuration(시스템 구성) 섹션에서 Forwarding Destinations(전송 대상)를 클릭합니다.
  3. 도구 모음에서 Add( 추가)를 클릭합니다.
  4. Forwarding Destinations(전송 대상) 창에서 매개 변수 값을 입력합니다.

    다음 표에서는 일부 전송 대상 매개 변수에 대해 설명합니다.

    표 1: 포워딩 대상 매개 변수

    매개 변수

    묘사

    이벤트 형식

    • 페이로드 는 로그 소스 또는 플로우 소스가 전송한 형식의 데이터입니다.

      이 옵션을 선택하는 경우 포트 514가 열려 있는지 확인합니다.

    • 정규화 는 구문 분석되고 사용자 인터페이스에서 읽을 수 있는 정보로 준비되는 원시 데이터입니다. 이 옵션을 선택하는 경우 포트 32000 및 32004가 열려 있는지 확인합니다.

    • JSON (Javascript Object Notation)은 데이터 교환 형식입니다.

      이 옵션을 선택하는 경우 포트 5141이 열려 있는지 확인합니다.

    대상 주소

    데이터를 전달하려는 공급업체 시스템의 IP 주소 또는 호스트 이름입니다.

    프로토콜

    TCP 프로토콜을 사용하여 정규화된 데이터를 보내려면 TCP 프로토콜을 사용하십시오. 이벤트의 경우 포트 32004, 흐름의 경우 포트 32000의 대상 주소에서 오프사이트 원본을 만들어야 합니다.

    SSL 인증서와 함께 TCP 프로토콜을 사용하여 정규화된 데이터를 안전하게 보내려면 SSL을 통한 TCP 프로토콜을 사용하십시오.

    메모:

    UDP 프로토콜을 사용하여 정규화된 JSON 데이터를 전송할 수 없습니다. 정규화 또는 JSON 옵션을 선택하면 프로토콜 목록의 UDP 옵션을 사용할 수 없습니다.

    syslog 헤더가 없거나 잘못된 경우 접두사를 붙입니다

    이벤트 형식이 Payload인 경우에만 적용할 수 있습니다.

    JSA가 syslog 메시지를 전달하면 아웃바운드 메시지가 유효한 syslog 헤더를 가지고 있는지 확인합니다.

    원본 syslog 메시지에서 유효한 syslog 헤더가 감지되지 않고 이 확인란을 선택한 경우, 접두사가 붙은 syslog 헤더에는 JSA 가 syslog 헤더의 호스트 이름 필드에 수신한 패킷의 원래 IP 주소가 포함됩니다. 이 확인란을 선택하지 않으면 데이터가 수정되지 않은 상태로 전송됩니다.

  5. 옵션: SSL을 통한 TCP 프로토콜을 사용 중인 경우 다음을 수행합니다.
    1. 라우팅 규칙을 사용하여 데이터를 전달하는 이벤트 콜렉터 또는 프로세서의 명령행에서 디렉토리를 /tmp로 변경하십시오.

    2. /opt/qradar/bin/getcert.sh tlssyslog_server_iptlssyslog_port 명령을 실행하십시오.

      클라이언트 인증서의 복사본은 대상 시스템에서 다운로드되며 다운로드한 IP 및 포트로 제목이 지정됩니다.

    3. 인증서를 /opt/qradar/conf/trusted_certificates/로 이동합니다.

    4. 인증서가 상용 또는 사설 CA(인증 기관)에 의해 서명된 경우 루트 CA 및 중간 인증서를 /etc/pki/ca-trust/source/anchors에 복사합니다

    5. update-ca-trust 명령을 실행합니다.

  6. 저장을 클릭합니다.

전송 수신인을 설정해도 해당 수신인에게 데이터가 자동으로 전송되지는 않습니다. 회람 규칙 또는 사용자 지정 규칙 중 하나를 구성하여 데이터를 대상으로 전달해야 합니다.