Forcepoint V-시리즈 콘텐츠 게이트웨이

Forcepoint V-Series Content Gateway에 대한 Syslog 구성

Forcepoint V-Series DSM은 Linux 소프트웨어 설치에서 Forcepoint Content Gateway를 실행하는 Forcepoint V-Series 기기를 지원합니다.

JSA를 구성하기 전에 LEEF 형식의 syslog 이벤트를 제공하도록 Forcepoint Content Gateway를 구성해야 합니다.

Forcepoint V-Series Content Gateway에 대한 관리 콘솔 구성

Content Gateway Manager에서 이벤트 로깅을 구성할 수 있습니다.

1. Forcepoint Content Gateway Manager에 로그인합니다.

2. 구성 탭을 클릭합니다.

3. Subsystems >Logging)을 선택합니다.

   일반 로깅 구성 창이 표시됩니다.

4. Log Transactions and Errors(트랜잭션 및 오류 기록)를 선택합니다.

5. 로그 디렉토리를 선택하여 저장된 이벤트 로그 파일의 디렉토리 경로를 지정합니다.

   정의하는 디렉터리가 있어야 하며 Forcepoint 사용자는 지정된 디렉터리에 대한 읽기 및 쓰기 권한이 있어야 합니다.

   기본 디렉토리는 /opt/WGC/logs입니다.

6. 적용을 클릭합니다.

7. 사용자 지정 탭을 클릭합니다.

8. Custom Log File Definitions(사용자 지정 로그 파일 정의) 창에서 LEEF 형식에 대한 다음 텍스트를 입력합니다.

   메모:

   LEEF 형식 문자열의 필드는 탭으로 구분됩니다. 텍스트 편집기에서 LEEF 형식을 입력한 다음 잘라내어 웹 브라우저에 붙여넣어 탭 구분을 유지해야 할 수 있습니다. definitions 파일은 추가 공백, 빈 줄 및 모든 주석을 무시합니다.

9. Enabled(사용)를 선택하여 사용자 지정 로깅 정의를 사용하도록 설정합니다.

10. 적용을 클릭합니다.

이제 Forcepoint Content Gateway에 대한 이벤트 로깅을 활성화할 수 있습니다.

Forcepoint V-Series Content Gateway에 대한 이벤트 로깅 활성화

Forcepoint V-Series 어플라이언스를 사용하는 경우 Forcepoint 기술 지원에 문의하여 이 기능을 활성화하십시오.

1. Forcepoint Content Gateway를 실행하는 서버의 CLI(명령줄 인터페이스)에 로그인합니다.

2. /etc/rc.local 파일의 끝에 다음 행을 추가합니다.

   여기서 <IP Address>은 JSA의 IP 주소입니다.

3. 로깅을 즉시 시작하려면 다음 명령을 입력합니다.

   메모:

   Forcepoint V-Series Content Gateway에 대한 이벤트 로깅 활성화에 로깅 명령을 입력하거나 명령을 텍스트 편집기에 복사하여 따옴표를 해석해야 할 수 있습니다.

   구성이 완료되었습니다. Forcepoint V-Series Content Gateway의 syslog 이벤트가 자동으로 검색되므로 로그 소스가 JSA에 추가됩니다. Forcepoint V-Series Content Gateway에서 전달한 이벤트는 JSA의 로그 활동 탭에 표시됩니다.

Forcepoint V-Series Content Gateway에 대한 Syslog 로그 소스 매개 변수

JSA가 로그 소스를 자동으로 감지하지 못하는 경우, syslog 프로토콜을 사용하여 JSA 콘솔에서 Forcepoint V-Series Content Gateway 로그 소스를 추가하십시오.

syslog 프로토콜을 사용할 때 사용해야 하는 특정 매개 변수가 있습니다.

다음 표에서는 Forcepoint V-Series Content Gateway에서 syslog 이벤트를 수집하기 위해 특정 값이 필요한 매개 변수에 대해 설명합니다.

표 1: Forcepoint V-Series Content Gateway DSM에 대한 Syslog 로그 소스 매개 변수

매개 변수	값
로그 소스 이름	로그 소스의 이름을 입력합니다.
로그 소스 설명	로그 소스에 대한 설명을 입력합니다.
로그 소스 유형	Forcepoint V 시리즈
프로토콜 구성	Syslog
로그 소스 식별자	로그 소스의 IP 주소 또는 호스트 이름을 Forcepoint V-Series Content Gateway 어플라이언스의 이벤트에 대한 식별자로 입력합니다.

Forcepoint V-Series Content Gateway의 로그 파일 프로토콜

로그 파일 프로토콜을 통해 JSA 는 원격 호스트에서 보관된 로그 파일을 검색할 수 있습니다.

Forcepoint V-Series DSM은 예약된 간격으로 이벤트를 제공하기 위해 로그 파일 프로토콜을 사용하여 Forcepoint V-Series Content Gateway에서 로그 파일을 대량으로 로드할 수 있도록 지원합니다. 로그 파일에는 Forcepoint V-Series Content Gateway에 대한 트랜잭션 및 오류 이벤트가 포함되어 있습니다.

• Forcepoint V-Series Content Gateway에 대한 Content Management Console 구성
• Forcepoint V-Series Content Gateway에 대한 로그 파일 로그 소스 매개 변수

Forcepoint V-Series Content Gateway 샘플 이벤트 메시지

이 샘플 이벤트 메시지를 사용하여 JSA와의 성공적인 통합을 확인하십시오.

메모:

형식 문제로 인해 메시지 형식을 텍스트 편집기에 붙여 넣은 다음 캐리지 리턴 또는 줄 바꿈 문자를 제거합니다.

Forcepoint V-Series Content Gateway 샘플 Syslog 프로토콜을 사용할 때 메시지

샘플 1: 다음 샘플 이벤트 메시지는 액세스가 websense에 의해 차단되었음을 보여줍니다.

표 3: Forcepoint V-Series Content Gateway 이벤트 페이로드에서 강조 표시된 값

JSA 필드 이름	이벤트 페이로드에서 강조 표시된 값
이벤트 ID	심성
범주	고양이
소스 IP	src
소스 포트	srcPort
대상 IP	증권 시세 표시기
목적지 포트	dst포트
사용자 이름	usrName(usr이름)

샘플 2: 다음 샘플 이벤트 메시지는 websense에서 액세스를 허용함을 보여줍니다.

표 4: Forcepoint V-Series Content Gateway 이벤트 페이로드에서 강조 표시된 값

JSA 필드 이름	강조
이벤트 ID	심성
범주	고양이
소스 IP	src
소스 포트	srcPort
대상 IP	증권 시세 표시기
목적지 포트	dst포트
사용자 이름	usrName(usr이름)