Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

게이트웨이 로그 소스

게이트웨이 로그 소스를 사용하여 단일 DSM 유형에 의존하지 않고 많은 DSM(Device Support Modules)을 사용하는 프로토콜을 구성합니다. 게이트웨이 로그 소스를 통해 이벤트 어그리게이터 프로토콜은 다양한 이벤트 유형을 동적으로 처리할 수 있습니다.

게이트웨이 로그 소스를 구성하기 전에 프로토콜, DSM 및 로그 소스 간의 차이점을 파악해야 합니다.

프로토콜

프로토콜은 다양한 연결 옵션을 사용하여 일련의 데이터 파일을 수집하는 기능을 제공합니다. 이러한 연결은 데이터를 JSA의 이벤트 파이프라인으로 끌어오거나 수동적으로 데이터를 수신합니다. 그런 다음 해당 DSM이 데이터를 구문 분석하고 정규화합니다.

Dsm

DSM은 여러 로그 소스에서 수신된 이벤트를 구문 분석하고 출력으로 표시할 수 있는 표준 분류 형식으로 변환하는 코드 모듈입니다. 각 로그 소스 유형에는 해당 DSM이 있습니다.

로그 소스

로그 소스는 이벤트 로그를 생성하는 데이터 소스입니다. 자세한 내용은 Introduction to Log Source Management에서 확인하십시오.

게이트웨이 로그 소스는 다음과 같은 프로토콜을 지원합니다.

  • Amazon AWS S3 REST

  • Amazon AWS 웹 서비스

  • Google Cloud Pub Sub

  • Kafka

  • Microsoft Azure 이벤트 허브

  • TCPMutilineSyslog

  • TLS Syslog

  • UDPMutilineSyslog

팁:

일반 데이터에 가장 적합한 정보를 제공하려면 게이트웨이 로그 소스를 구성할 때 Universal DSM을 사용하십시오.

게이트웨이 로그 소스는 DSM을 사용하지 않습니다. DSM 파싱을 적절한 식별자 및 DSM이 있는 독립형 Syslog 로그 소스로 위임합니다. 이들 로그 소스는 컬렉터 로그 소스(게이트웨이) 및 파서 로그 소스입니다. 파서 로그 소스는 게이트웨이에서 들어오는 데이터를 일치하며 이벤트 자체를 적극적으로 수집하지 않습니다.

게이트웨이 로그 소스를 생성하기 전에 데이터 게이트웨이에서 어떤 유형의 데이터를 수집할 것인지 알아야 합니다. 데이터 게이트웨이는 많은 데이터 유형을 수집할 수 있으며 JSA는 기본적으로 모든 데이터 유형을 지원하지 않습니다. 데이터를 올바르게 구문 분석하려면 수집 중인 이벤트를 처리할 수 있는 DSM이 있어야 합니다. JSA가 이벤트의 소스를 지원하더라도 게이트웨이가 예기치 않은 형식으로 반환하는 경우 DSM은 이를 구문 분석하지 못할 수 있습니다. 예를 들어 데이터 게이트웨이가 JSON 형식으로 이벤트를 반환하지만 DSM에서 LEEF 형식을 기대하는 경우 데이터를 구문 분석하기 위해 맞춤형 DSM이 필요할 수 있습니다.

게이트웨이 로그 소스는 선택한 프로토콜을 사용하여 이벤트에 도달하고 수집함으로써 다른 로그 소스와 동일한 방식으로 작동합니다. 게이트웨이 로그 소스와 다른 로그 소스 간의 차이는 수집된 이벤트를 게시할 준비가 되면 발생합니다. 일반 로그 소스는 선택된 DSM에 의해 파스(parsed)되는 이벤트를 강제합니다. 게이트웨이 로그 소스는 0.0.0.0 또는 연결된 서비스 IP 주소로 설정된 기본 식별자를 사용하여 이벤트를 Syslog 페이로드로 보냅니다.

이벤트가 이벤트 파이프라인에 Syslog 페이로드로 게시되면 이벤트는 로그 소스 자동 감지를 통해 처리됩니다. 제공된 식별자가 있는 기존 더미 로그 소스가 있는 경우 해당 이벤트가 해당 DSM과 파싱되는지 여부에 관계없이 해당 로그 소스에서 이벤트를 처리합니다. 기존 더미 로그 소스가 없는 경우 자동 탐지를 지원하는 DSM으로 이벤트를 구문 분석합니다. 이벤트가 DSM과 올바르게 구문 분석되면 식별자를 "IP 또는 호스트 @ DSM"으로 업데이트하고 로그 소스를 만듭니다.

자동으로 생성된 로그 소스에는 프로토콜에 의해 식별자가 설정되지 않습니다. 이들 로그 소스 식별자는 "IP 또는 Host @ DSM Type" 형식으로 구분됩니다. 자동으로 생성된 더미 로그 소스와 일치하려면 Syslog 페이로드에 동일한 IP 또는 호스트 식별자가 있어야 하며 선택한 DSM이 구문 분석할 수 있어야 합니다. 기본 식별자는 "IP 또는 호스트 @ DSM Type"이 아닌 [IP 또는 호스트]로 전송됩니다. 식별자가 DSM Type으로 업데이트하려면 해당 DSM 유형과 구문 분석해야 합니다. 기본 설정을 사용하는 경우 구문 분석을 할 수 없는 이벤트는 sim-generic으로 직접 전송됩니다.

팁:

로그 소스의 DSM이 이벤트를 구문 분석하지 못한 경우에도 Syslog 페이로드의 식별자와 일치하는 식별자가 있는 수동으로 생성된 로그 소스가 사용됩니다.

게이트웨이 로그 소스를 구성하려면 선택한 프로토콜에 대해 A Gateway로 사용 로그 소스 옵션을 사용합니다. 이 옵션을 활성화하면 이벤트가 이벤트 파이프라인으로 전송되고 자동 탐지됩니다. 이 기능을 최대한 활용하려면 Log Source Identifier Pattern을 사용하십시오.