Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

데이터를 전달하기 위한 회람 규칙 구성

필터 기반 라우팅 규칙을 구성하여 데이터를 전달합니다.

온라인 또는 오프라인 모드에서 데이터를 전달하도록 라우팅 규칙을 구성할 수 있습니다.

  • 온라인 모드에서는 전달이 실시간으로 이루어지기 때문에 데이터가 최신 상태로 유지됩니다. 전달 목적지에 도달할 수 없게 되면 해당 목적지로 전송되는 모든 데이터가 전달되지 않으므로 해당 원격 시스템에서 데이터가 누락됩니다. 배달이 성공했는지 확인하려면 오프라인 모드를 사용합니다.

  • 오프라인 모드에서는 모든 데이터가 먼저 데이터베이스에 저장된 다음 전송 대상으로 전송됩니다. 이 모드는 데이터가 손실되지 않도록 합니다. 그러나 데이터 전달이 지연될 수 있습니다.

  1. 탐색 메뉴()에서 Admin(관리)을 클릭합니다.
  2. System Configuration(시스템 구성) 섹션에서 Routing Rules(라우팅 규칙)를 클릭합니다.
  3. 도구 모음에서 Add( 추가)를 클릭합니다.
  4. Routing Rule(회람 규칙) 창에서 회람 규칙의 이름과 설명을 입력합니다.
  5. 모드 필드에서 온라인 또는 오프라인 옵션 중 하나를 선택합니다.
  6. 포워딩 이벤트 콜렉터 또는 포워딩 이벤트 프로세서 목록에서 데이터를 전달할 이벤트 콜렉터를 선택하십시오.

    포워딩 어플라이언스에 대해 자세히 알아보십시오.

    • Forwarding Event Collector - 이 라우팅 규칙에서 데이터를 처리할 이벤트 수집기를 지정합니다. 이 옵션은 온라인 옵션을 선택할 때 표시됩니다.

      메모:

      온라인/실시간 전달은 저장소 및 전달 이벤트 수집기에서 구성될 수 있는 속도 제한 또는 예약 구성의 영향을 받지 않습니다.

    • 전달 이벤트 프로세서 - 이 라우팅 규칙에서 데이터를 처리할 이벤트 프로세서를 지정합니다. 이 옵션은 오프라인 옵션을 선택할 때 표시됩니다.

      메모:

      이 옵션은 라우팅 옵션 창에서 드롭을 선택한 경우에는 사용할 수 없습니다.

  7. Data Source(데이터 소스) 필드에서 라우팅할 데이터 소스( Events 또는 Flows)를 선택합니다.

    다음 섹션의 레이블은 선택한 데이터 소스에 따라 변경됩니다.

  8. 필터를 적용하여 전달할 이벤트 또는 플로우를 지정합니다.

    1. 모든 수신 데이터를 전달하려면 Match All Incoming Events(모든 수신 이벤트 일치 ) 또는 Match All Incoming Flows(모든 수신 플로우 일치 ) 확인란을 선택합니다.

      메모:

      이 확인란을 선택하면 필터를 추가할 수 없습니다.

    2. 일부 이벤트 또는 흐름만 전달하려면 필터 기준을 지정한 다음 Add Filter(필터 추가)를 클릭합니다.

  9. 전달된 데이터에 적용할 라우팅 옵션을 지정합니다.

    1. 선택 사항: 전송 수신인을 편집, 추가 또는 삭제하려면 수신인 관리 링크를 클릭합니다.

    2. 지정된 필터와 일치하는 로그 데이터를 전송하려면 전달 확인란을 선택한 다음 각 전송 대상에 대한 확인란을 선택합니다.

      메모:

      전달 확인란을 선택하면 삭제, 상관 관계 무시 또는 로그만 확인란 중 하나만 선택할 수 있습니다.

  10. 저장을 클릭합니다.

규칙에 대한 라우팅 옵션

네 가지 규칙 라우팅 옵션인 전달(Forward), 삭제(Drop), 상관 관계 무시(Bypass correlation) 및 로그만(Log Only) 중에서 선택할 수 있습니다. 다음 표에서는 다양한 옵션과 사용 방법에 대해 설명합니다.

표 1: 규칙 라우팅 옵션

라우팅 유형

묘사

전달

데이터는 지정된 전송 대상으로 전달됩니다. 또한 데이터는 데이터베이스에 저장되고 CRE(사용자 지정 규칙 엔진)에 의해 처리됩니다.

방울

데이터가 삭제됩니다. 데이터는 데이터베이스에 저장되지 않으며 CRE에 의해 처리되지 않습니다. 이 옵션은 오프라인 옵션을 선택한 경우 사용할 수 없습니다. 삭제된 모든 이벤트는 라이선스에 100% 다시 크레딧이 부여됩니다.

우회 상관 관계

데이터는 CRE를 우회하지만 데이터베이스에 저장됩니다. 이 옵션은 오프라인 옵션을 선택한 경우 사용할 수 없습니다.

상관관계 우회 옵션은 JSA 데이터 저장소에 대한 인타이틀먼트가 필요하지 않습니다. 상관 관계 무시를 사용하면 일괄 처리로 수신된 이벤트가 실시간 규칙을 무시할 수 있습니다. 분석 앱의 이벤트 및 기록 상관 관계 실행에 사용할 수 있습니다. 기록 상관 관계 실행의 경우 이벤트를 실시간으로 수신된 것처럼 재생할 수 있습니다.

로그 전용(분석 제외)

이벤트는 데이터베이스에 Log Only 로 저장되고 플래그가 지정되며 CRE를 우회합니다. 이러한 이벤트는 기록 상관 관계에 사용할 수 없으며 라이선스에 100% 다시 적립됩니다. 이 옵션은 흐름에 사용할 수 없거나 오프라인 옵션을 선택하는 경우에는 사용할 수 없습니다.

Log Only(로그 전용) 옵션을 사용하려면 JSA Data Store에 대한 권한이 필요합니다. 사용 권한을 구매하고 로그만 옵션을 선택하면 회람 규칙과 일치하는 이벤트가 디스크에 저장되고 보고 검색할 수 있습니다. 이벤트는 사용자 지정 규칙 엔진을 우회하며 실시간 상관 관계 또는 분석이 발생하지 않습니다. 이벤트는 공격에 기여할 수 없으며 기록 상관 관계가 실행될 때 무시됩니다.

다음 표에서는 사용할 수 있는 다양한 라우팅 옵션 조합에 대해 설명합니다. 이러한 옵션은 오프라인 모드에서는 사용할 수 없습니다.

표 2: 규칙 라우팅 조합 옵션

라우팅 조합

묘사

포워드드롭

데이터는 지정된 전송 대상으로 전달됩니다. 데이터는 데이터베이스에 저장되지 않으며 CRE에 의해 처리되지 않습니다. 삭제된 모든 이벤트는 라이선스에 100% 다시 크레딧이 부여됩니다.

순방향우회 상관관계

데이터는 지정된 전송 대상으로 전달됩니다. 데이터는 데이터베이스에 저장되지만 CRE에 의해 처리되지 않습니다.

전달로그만(분석 제외)

이벤트가 지정된 포워딩 대상으로 전달됩니다. 이벤트는 데이터베이스에 Log Only로 저장되고 플래그가 지정되며 CRE를 우회합니다. 이러한 이벤트는 기록 상관 관계에 사용할 수 없으며 라이선스에 100% 다시 적립됩니다.

데이터가 여러 규칙과 일치하는 경우 가장 안전한 라우팅 옵션이 적용됩니다. 예를 들어 삭제하도록 구성된 규칙과 일치하는 데이터 및 CRE 처리를 무시하는 규칙인 경우 데이터는 삭제되지 않습니다. 대신 데이터는 CRE를 우회하고 데이터베이스에 저장됩니다.

관련 설명서