Arbor Networks Peakflow SP
JSA는 네트워크에 있는 Arbor Networks Peakflow SP 어플라이언스에서 syslog 이벤트를 수집하고 분류할 수 있습니다.
Arbor Networks Peakflow SP 어플라이언스는 syslog 이벤트를 로컬로 저장합니다.
로컬 syslog 이벤트를 수집하려면 syslog 이벤트를 원격 호스트로 전달하도록 Peakflow SP 어플라이언스를 구성해야 합니다. JSA 는 Arbor Networks Peakflow SP 어플라이언스에서 전달되는 syslog 이벤트에 대한 로그 소스를 자동으로 검색하고 생성합니다. JSA 는 Peakflow V5.8에서 V8.1.2로 전달되는 syslog 이벤트를 지원합니다.
Arbor Networks Peakflow SP를 구성하려면 다음 단계를 완료하십시오.
Peakflow SP 어플라이언스에서 JSA에 대한 알림 그룹을 만듭니다.
Peakflow SP 어플라이언스에서 전역 알림 설정을 구성합니다.
Peakflow SP 어플라이언스에서 경고 알림 규칙을 구성합니다.
JSA에 대해 자동 업데이트가 활성화되지 않은 경우, https://support.juniper.net/support/downloads/ RPM을 다운로드할 수 있습니다. JSA 콘솔에 가장 최신 버전의 다음 RPM을 다운로드하여 설치합니다.
DSMCommon RPM
아버 네트웍스 피크플로우 SP DSM RPM
JSA에 syslog 또는 TLS syslog 이벤트를 전송하도록 Arbor Networks Peakflow SP 어플라이언스를 구성합니다.
JSA가 로그 소스를 자동으로 감지하지 않으면 JSA 콘솔에 Arbor Networks Peakflow SP 로그 소스를 추가합니다. 다음 표에서는 Arbor Networks Peakflow SP에서 이벤트를 수집하기 위해 특정 값이 필요한 매개 변수에 대해 설명합니다.
표 1: Arbor Networks Peakflow SP 로그 소스 매개 변수 매개 변수
값
로그 소스 유형
Arbor Networks Peakflow SP
프로토콜 구성
Syslog 또는 TLS Syslog 선택
로그 소스 식별자
로그 소스에 대한 고유한 이름을 입력합니다.
Arbor Networks Peakflow SP에 지원되는 이벤트 유형
JSA용 Arbor Networks Peakflow DSM 은 여러 범주에서 이벤트를 수집합니다.
각 이벤트 범주에는 이벤트 범주 내에서 수행되는 작업을 설명하는 낮은 수준의 이벤트가 포함됩니다. 예를 들어, 인증 이벤트는 또는 login failure
의 하위 수준 범주를 login successful
가질 수 있습니다.
다음 목록은 Peakflow SP 어플라이언스에서 JSA 가 수집하는 이벤트 범주를 정의합니다.
서비스 거부(DoS) 이벤트
인증 이벤트
익스플로잇 이벤트
의심스러운 활동 이벤트
시스템 이벤트
Arbor Networks Peakflow SP에서 원격 Syslog 구성
이벤트를 수집하려면 새로운 알림 그룹을 구성하거나 기존 그룹을 편집하여 JSA 를 원격 syslog 대상으로 추가해야 합니다.
관리자로서 Peakflow SP 구성 인터페이스에 로그인합니다.
탐색 메뉴에서 Administration >Notification >Groups를 선택합니다.
알림 그룹 추가를 클릭합니다.
목적지 필드에 JSA 시스템의 IP 주소를 입력합니다.
포트 필드에서 syslog 대상의 포트로 을(를) 입력 514 합니다.
시설 목록에서 syslog 시설을 선택합니다.
심각도 목록에서 정보를 선택합니다.
정보 심각도는 정보 이벤트 수준 및 심각도에서 모든 이벤트 메시지를 수집합니다.
저장을 클릭합니다.
구성 커밋을 클릭합니다.
Arbor Networks Peakflow SP의 경고에 대한 글로벌 알림 설정 구성
Arbor Networks Peakflow SP의 글로벌 알림은 규칙과 연결되지 않은 시스템 알림을 제공합니다.
이 절차는 JSA 를 기본 알림 그룹으로 추가하고 시스템 알림을 활성화하는 방법을 정의합니다.
관리자로서 Arbor Networks Peakflow SP 어플라이언스의 구성 인터페이스에 로그인합니다.
탐색 메뉴에서 관리 >글로벌 > 설정을 선택합니다.
기본 알림 그룹 필드에서 JSA syslog 이벤트에 대해 생성한 알림 그룹을 선택합니다.
저장을 클릭합니다.
구성 커밋을 클릭하여 구성 변경을 적용합니다.
관리자로서 Arbor Networks Peakflow SP 명령줄 인터페이스에 로그인합니다.
다음 명령을 입력하여 현재 경고 구성을 나열합니다.
services sp alerts system_errors show
선택 사항: 다음 명령을 입력하여 구성할 수 있는 필드 이름을 나열합니다.
services sp alerts system_errors ?
시스템 경고에 대한 알림을 활성화하려면 다음 명령을 입력합니다.
services sp alerts system_errorsname<> notifications enable
여기서 <name> 알림의 필드 이름입니다.
구성 변경을 커밋하려면 다음 명령을 입력합니다.
config write
Arbor Networks Peakflow SP에서 경고 알림 규칙 구성
이벤트를 생성하려면 JSA가 원격 syslog 대상으로 사용하는 알림 그룹을 사용하려면 규칙을 편집하거나 추가해야 합니다.
관리자로서 Arbor Networks Peakflow SP 구성 인터페이스에 로그인합니다.
탐색 메뉴에서 관리 >노화 >Rules를 선택합니다.
다음 옵션 중 하나를 선택합니다.
현재 규칙을 클릭하여 규칙을 편집합니다.
규칙 추가 를 클릭하여 새로운 알림 규칙을 만듭니다.
다음 값을 구성합니다.
표 2: Arbor Networks Peakflow SP 알림 규칙 매개 변수 매개 변수
설명
이름
Peakflow SP 설치의 이벤트에 대한 식별자로 IP 주소 또는 호스트 이름을 입력합니다.
로그 소스 식별자는 고유한 값이어야 합니다.
리소스
CIDR 주소를 입력하거나 Peakflow 리소스 목록에서 매니지드 객체를 선택합니다.
중요성
규칙의 중요성을 선택합니다.
알림 그룹
Syslog 이벤트를 JSA로 전달하도록 할당된 알림 그룹을 선택합니다.
이 단계를 반복하여 생성하려는 다른 규칙을 구성합니다.
저장을 클릭합니다.
구성 커밋을 클릭하여 구성 변경을 적용합니다.
JSA는 Arbor Networks Peakflow SP 어플라이언스에 대한 로그 소스를 자동으로 검색하고 생성합니다. JSA로 전달되는 이벤트는 로그 활동 탭에 표시됩니다.
Arbor Networks Peakflow SP에 대한 Syslog 로그 소스 매개 변수
JSA가 로그 소스를 자동으로 감지하지 않으면 syslog 프로토콜을 사용하여 JSA 콘솔에 Arbor Networks Peakflow SP 로그 소스를 추가합니다.
syslog 프로토콜을 사용할 때 사용해야 하는 특정 매개 변수가 있습니다.
다음 표에서는 Arbor Networks Peakflow SP에서 syslog 이벤트를 수집하기 위해 특정 값이 필요한 매개 변수에 대해 설명합니다.
매개 변수 |
값 |
---|---|
로그 소스 이름 |
로그 소스의 이름입니다. |
로그 소스 설명 |
로그 소스에 대한 설명을 입력합니다. |
로그 소스 유형 |
Arbor Networks 피크 플로우 |
프로토콜 구성 |
Syslog |
로그 소스 식별자 |
IP 주소 또는 호스트 이름은 Peakflow SP 설치의 이벤트에 대한 식별자로 사용됩니다. 로그 소스 식별자는 고유한 값이어야 합니다. |
신뢰성 |
로그 소스의 신뢰성. 신뢰성은 소스 디바이스의 신뢰성 등급에 따라 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 증가합니다. |
대상 이벤트 수집기 |
로그 소스의 대상으로 사용할 이벤트 수집기. |
결합 이벤트 |
로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다. 기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 결합 이벤트 목록의 값을 상속합니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다. |
수신 이벤트 페이로드 |
로그를 구문 분석 및 저장하기 위한 수신 페이로드 인코더입니다. |
스토어 이벤트 페이로드 |
로그 소스를 사용하여 이벤트 페이로드 정보를 저장할 수 있습니다. 기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 스토어 이벤트 페이로드 목록의 값을 상속합니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다. |