이벤트 및 로그 개요

이벤트 및 로그 - 요약 보기

요약 보기 를 클릭하면 네트워크의 모든 이벤트에 대한 간략한 요약을 볼 수 있습니다. 페이지 중앙에는 총 이벤트 수, 발견된 바이러스, 다운된 총 인터페이스 수, 공격 수, CPU 스파이크 및 시스템 재부팅을 포함한 중요한 정보가 있습니다. 이 데이터는 선택한 시간 범위에 따라 자동으로 새로 고쳐집니다. 페이지 하단에는 특정 시간에 발생하는 다양한 이벤트에 대한 스윔 레인 보기가 있습니다. 이벤트에는 방화벽, 웹 필터링, VPN, 콘텐츠 필터링, 스팸 차단, 바이러스 차단, IPS, ATP 클라우드, Screen, Apptrack이 포함됩니다. 각 이벤트는 색상으로 구분되며 어두운 음영은 더 높은 수준의 활동을 나타냅니다. 각 탭은 특정 시간에 발생하는 이벤트 유형 및 수와 같은 심층 정보를 제공합니다.

이 보기의 위젯에 대한 설명은 표 1 을 참조하십시오.

표 1: 이벤트 및 로그 요약 보기 위젯

위젯	설명
총 이벤트	방화벽, 웹 필터링, IPS, IPSec, 콘텐츠 필터링, 스팸 차단 및 바이러스 차단 이벤트를 포함하는 모든 이벤트의 총 수입니다.
바이러스 인스턴스	시스템에서 실행 중인 총 바이러스 인스턴스 수입니다.
공격	방화벽에 대한 총 공격 수입니다.
인터페이스 다운	다운된 총 인터페이스 수입니다.
CPU 스파이크	CPU 사용률 급증이 발생한 총 횟수입니다.
재부팅	총 시스템 재부팅 수입니다.
세션	방화벽을 통해 설정된 총 세션 수.

이벤트 및 로그 - 세부 정보 보기

세부 정보 보기를 클릭하면 정렬 가능한 열이 포함된 표 형식의 이벤트에 대한 포괄적인 세부 정보를 볼 수 있습니다. Group by 옵션을 사용하여 이벤트를 정렬할 수 있습니다. 예를 들어 심각도에 따라 이벤트를 정렬할 수 있습니다. 이 테이블에는 이벤트를 일으킨 규칙, 이벤트의 심각도, 이벤트 ID, 트래픽 정보, 이벤트 감지 방법 및 시기와 같은 정보가 포함됩니다.

그리드 설정 창에서 CSV로 내보내기 옵션을 선택하여 로그 데이터를 CSV 파일로 내보내고 다운로드합니다.

레거시 노드 옵션은 레거시 로그 수집기 노드가 로깅 노드 페이지에 추가된 후 이벤트 뷰어에 표시됩니다. 기존 로그 수집기 데이터를 볼 수 있는 읽기 전용 목적으로 레거시 로그 수집기 지원을 추가했습니다. 새 로그는 로그 수집기로 Security Director Insights VM을 가리켜야 합니다. 기존 로그 수집기 데이터를 보려면 레거시 노드 확인란을 선택합니다. 레거시 노드 확인란의 선택을 취소하면 Security Director Insights 로그 수집기 데이터가 표시됩니다.

필드 설명은 표 2 를 참조하십시오.

표 2: 이벤트 및 로그 세부 정보 열

필드	설명
로그 생성 시간	SRX 시리즈 디바이스에서 로그가 생성된 시간입니다.
로그 수신 시간	로그 수집기에서 로그가 수신된 시간입니다.
이벤트 이름	로그의 이벤트 이름
소스 국가	소스 국가 이름입니다.
소스 IP	이벤트가 발생한 소스 IP 주소입니다.
목적지 국가	이벤트가 발생한 대상 국가 이름입니다.
대상 IP	이벤트의 대상 IP 주소입니다.
소스 포트	이벤트의 소스 포트입니다.
목적지 포트	이벤트의 대상 포트입니다.
설명	로그에 대한 설명입니다.
공격 이름	로그의 공격 이름: 트로이 목마, 웜, 바이러스 등
위협 심각도	위협의 심각도 수준입니다.
정책 이름	로그의 정책 이름입니다.
콘텐츠 보안 범주 또는 바이러스 이름	로그의 콘텐츠 보안 범주입니다.
URL	이벤트를 트리거한 액세스한 URL 이름입니다.
이벤트 카테고리	로그의 이벤트 범주입니다.
사용자 이름	로그의 사용자 이름입니다.
작업	이벤트에 대해 수행된 작업: 경고, 허용 및 차단.
로그 소스	로그 소스의 IP 주소입니다.
신청	이벤트 또는 로그가 생성되는 애플리케이션 이름
호스트 이름	로그의 호스트 이름입니다.
서비스 이름	애플리케이션 서비스의 이름입니다. 예를 들어 FTP, HTTP, SSH 등이 있습니다.
네스티드 애플리케이션	로그의 중첩된 애플리케이션입니다.
소스 영역	로그의 소스 영역입니다.
대상 영역	로그의 대상 영역입니다.
프로토콜 ID	로그의 프로토콜 ID입니다.
역할	로그와 연관된 역할 이름입니다.
이유	로그 생성 이유입니다. 예를 들어 연결 해제에는 인증 실패와 같은 관련 이유가 있을 수 있습니다.
NAT 소스 포트	변환된 소스 포트입니다.
NAT 대상 포트	변환된 대상 포트입니다.
NAT 소스 규칙 이름	네트워크 주소 변환(NAT) 소스 규칙 이름입니다.
네트워크 주소 변환(NAT) 대상 규칙 이름	네트워크 주소 변환(NAT) 대상 규칙 이름입니다.
NAT 소스 IP	변환된(또는 nat팅된) 소스 IP 주소입니다. IPv4 또는 IPv6 주소를 포함할 수 있습니다.
네트워크 주소 변환(NAT) 대상 IP	변환된(natted라고도 함) 대상 IP 주소입니다.
트래픽 세션 ID	로그의 트래픽 세션 ID입니다.
경로 이름	로그의 경로 이름입니다.
논리적 시스템 이름	논리적 시스템의 이름입니다.
규칙 이름	규칙의 이름입니다.
프로필 이름	이벤트를 트리거한 모든 이벤트 프로필의 이름입니다.
클라이언트 호스트 이름	클라이언트의 호스트 이름입니다.
맬웨어 정보	멀웨어 정보.
논리적 하위 시스템 이름	JSA 로그에 있는 논리적 시스템의 이름입니다.

고급 검색

그리드 위에 있는 검색 텍스트 상자를 사용하여 모든 이벤트에 대한 고급 검색을 수행할 수 있습니다. 여기에는 논리 연산자가 필터 문자열의 일부로 포함됩니다. 텍스트 상자에 검색 문자열을 입력하고 입력에 따라 필터 상황에 맞는 메뉴의 항목 목록이 표시됩니다. 목록에서 값을 선택한 다음 고급 검색 작업을 수행할 유효한 연산자를 선택할 수 있습니다. 스페이스바를 눌러 AND 연산자 및 OR 연산자를 제공합니다. 검색 문자열을 입력한 후 Enter 키를 눌러 그리드에 검색 결과를 표시합니다.

검색 텍스트 상자에서 아이콘 위로 마우스를 가져가면 예제 필터 조건이 표시됩니다. 검색 문자열 입력을 시작하면 아이콘이 필터 문자열의 유효 여부를 나타냅니다. 검색 기준을 입력하는 동안 어느 시점에서든 백스페이스를 누르면 한 문자만 삭제됩니다.

Junos Space Security Director 릴리스 19.2R1부터는 키워드를 사용한 수동 설정 외에도, 그리드의 비어 있지 않은 셀의 값을 이벤트 뷰어 검색 창으로 끌어다 놓을 수 있습니다. 이 값이 검색 기준으로 추가되고 검색 결과가 표시됩니다. 검색 가능한 셀만 끌어다 놓을 수 있습니다. 이벤트 뷰어에서 행 위로 마우스를 가져가면 검색 가능한 셀이 파란색 배경으로 표시됩니다. 셀을 검색할 수 없는 경우 배경색은 변경되지 않습니다. 값이 없는 검색 가능한 셀을 드래그하거나 값이 = '-'인 경우 해당 셀의 내용을 삭제할 수 없습니다. 검색 창에 이미 검색 기준이 있는 경우 이후의 모든 드래그 앤 드롭 검색 기준 앞에 'AND'가 추가됩니다. 검색 창에 값을 삭제하면 그리드에서 검색 조건이 새로 고쳐집니다. 이는 단순 검색 필터와 복잡한 검색 필터 모두에 적용됩니다.

AND 및 OR 논리 연산자와 대괄호를 사용하여 검색 토큰을 그룹화하는 복잡한 필터링을 수행할 수 있습니다.

예: (이름 = 1 및 id = 11) 또는 (이름 = 2 및 id = 12)

AND 논리 연산자의 우선 순위 수준은 OR보다 높습니다. 다음 필터 쿼리에서 Condition2 AND Condition3은 OR 연산자 앞에 평가됩니다.

예: Condition1 OR Condition2 AND Condition3

이를 재정의하려면 괄호를 명시적으로 사용합니다. 아래 필터 쿼리에서는 괄호 안의 식이 먼저 평가됩니다.

예: ( Condition1 OR Condition2 ) AND Condition3

표 3: 필터 규칙

필터 규칙	예문
OR 필터의 쉼표를 입력합니다.	Name=test,site는 Name=test 또는 Name=site와 동일합니다.
AND 및 OR 기능을 결합하려면 괄호를 입력합니다.	소스 국가 = 프랑스 AND(이벤트 이름 = RT_Flowsession_Close 또는 이벤트 범주 = 방화벽)
공백이 있는 용어의 큰따옴표를 입력합니다.	"산호세"

다음은 이벤트 로그 필터의 몇 가지 예입니다.

• 미국에서 출발하거나 미국 내에 도착하는 특정 이벤트

  소스 국가 = 미국 또는 대상 국가 = 미국 AND 이벤트 이름 = IDP_ATTACK_LOG_EVENT, IDP_ATTACK_LOG_EVENT_LS, IDP_APPDDOS_APP_ATTACK_EVENT_LS, IDP_APPDDOS_APP_STATE_EVENT, IDP_APPDDOS_APP_STATE_EVENT_LS, AV_VIRUS_DETECTED_MT, AV_VIRUS_DETECTED, ANTISPAM_SPAM_DETECTED_MT, ANTISPAM_SPAM_DETECTED_MT_LS, FWAUTH_FTP_USER_AUTH_FAIL, FWAUTH_FTP_USER_AUTH_FAIL_LS, FWAUTH_HTTP_USER_AUTH_FAIL, FWAUTH_HTTP_USER_AUTH_FAIL_LS, FWAUTH_TELNET_USER_AUTH_FAIL, FWAUTH_TELNET_USER_AUTH_FAIL_LS, FWAUTH_WEBAUTH_FAIL,FWAUTH_WEBAUTH_FAIL_LS

• 정책을 위한 영역 쌍 간의 트래픽 – IDP2

  소스 영역 = trust AND 대상 영역 = untrust,내부 AND 정책 이름 = IDP2

• 호스트 DC-SRX1400-1 또는 vSRX 가상 방화벽-75에서 오는 특정 소스 IP 또는 htp, tftp, http 및 알 수 없는 애플리케이션에 도달하는 이벤트.

  애플리케이션 = tftp,ftp,http,알 수 없음 또는 소스 IP = 192.168.34.10,192.168.1.26 AND 호스트 이름 = dc-srx1400-1,vSRX 가상 방화벽-75

이벤트 뷰어에 대한 역할 기반 액세스 제어

RBAC(역할 기반 액세스 제어)는 이벤트 뷰어에 다음과 같은 영향을 미칩니다.

• 이벤트 뷰어에 액세스하려면 보안 분석가 또는 보안 설계자가 있거나 해당 역할에 상응하는 권한이 있어야 합니다.

• 다른 도메인에서 생성된 이벤트 로그는 볼 수 없습니다. 그러나 상위 도메인에 대한 가시성을 가지고 하위 도메인이 생성된 경우 슈퍼 사용자 또는 글로벌 도메인에 액세스할 수 있는 적절한 역할이 있는 모든 사용자는 하위 도메인의 로그를 볼 수 있습니다.

• 액세스할 수 있고 도메인에 속한 디바이스의 로그만 볼 수 있습니다.

• 편집 권한이 없는 경우에만 정책을 볼 수 있으며 편집할 수 없습니다.

• 관리 > 사용자 및 역할 아래의 사용자 역할은 로그를 보거나 읽으려면 이벤트 뷰어 > 디바이스 로그 보기 옵션이 활성화되어 있어야 합니다.