오늘날 많은 네트워크에서는 엔터프라이즈 전반의 데이터를 수집하고 조회하기 위해 중앙 집중식 로그 집계 도구를 사용합니다. Sandfly는 이러한 도구와 함께 작동하여 syslog를 통해 알림을 전송하도록 설계되었습니다.

ℹ️

INFO: 업그레이드 기능 - Syslog 알림

Syslog 알림을 구성하고 사용하려면 업그레이드된 플랜이 필요합니다. 자세한 내용은 https://www.sandflysecurity.com/get-sandfly/를 참조하세요.

Sandfly는 Syslog로 풍부한 구조화된 데이터 전송

Sandfly가 전송하는 syslog 알림은 풍부한 구조화된 데이터입니다. 이는 Sandfly가 syslog 대상으로 전송하는 정보가 Sandfly UI에서 기본적으로 보는 것과 정확히 동일한 정보라는 의미입니다. 즉, Sandfly를 설정하여 호스트를 모니터링하고, 기존 모니터링 도구를 사용하여 Sandfly 구성 작업 외에는 Sandfly UI를 볼 필요 없이 알림을 확인할 수 있습니다.

더 나아가 Sandfly가 전송하는 데이터에는 데이터, 알림 상태, 알림 유형 및 기타 중요한 정보에 대한 다양한 키워드로 검색할 수 있도록 하는 확장 속성이 포함되어 있습니다.

👍

TIP: Syslog 출력 확인을 위한 테스트 알림 생성

Sandfly가 syslog 출력을 전송하도록 설정한 후에는 몇 가지 알림을 생성하여 Sandfly가 syslog 대상으로 알림을 전송하는지 확인하는 것이 유용할 수 있습니다.

빠른 테스트를 원한다면 호스트에 접속하여 다음 명령을 실행하세요:

mkdir /tmp/...

이 명령은 /tmp 하위에 "..."라는 의심스러운 디렉토리를 생성합니다.

이 호스트에 대해 Sandfly를 실행하면 /tmp 하위의 의심스러운 디렉토리에 대한 알림 활성화를 확인할 수 있습니다. 올바르게 설정했다면 이 알림이 syslog 서버로 전송됩니다.

이 알림을 확인한 후에는 반드시.*rmdir /tmp/....*명령으로 디렉토리를 제거하세요. 그렇지 않으면 Sandfly에서 의심스러운 항목에 대해 반복적으로 알림을 받게 됩니다.

Syslog 알림 양식 추가

syslog 대상을 추가하는 것은 간단합니다. Notifications 페이지에서.*Add Syslog.*버튼을 클릭한 후, 해당 양식에 다음 정보를 입력하세요:

• Name - syslog 대상이 무엇인지에 대한 읽기 쉬운 참조 이름입니다.
• Hostname - syslog 대상의 호스트명 또는 IP 주소입니다.
• UDP Port - syslog UDP 포트입니다 (기본값은 514).
• Data Options - 모든 결과를 전송할지 또는 통과 결과를 제외하고 알림 및 오류 결과만 전송할지 선택합니다.

❗️

중요: Syslog UDP 포트 접근 허용

syslog 시스템의 패킷 필터가 Sandfly 서버로부터의 UDP 트래픽을 허용하는지 확인하세요. 그렇지 않으면 syslog 데이터를 볼 수 없습니다.

.*Finish.*버튼을 클릭하면 syslog 대상이 활성화됩니다.

Syslog 구성 정보

PRI

Sandfly는 syslog 알림을 전송할 때 Facility 및 Severity에 대해 다음 설정을 사용합니다:

Facility: local0 ("local use 0", numerical code 16)

Severity:

• err ("Error", 숫자 코드 3) - Sandfly 알림용
• warn ("Warning", 숫자 코드 4) - Sandfly 오류용
• info ("Informational", 숫자 코드 6) - Sandfly 통과용