보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
ESM 콘솔 활용 TIP
2015.08.24
7,828
보안관제사업본부 보안분석팀 김지우
1. ESM 콘솔의 실시간 로그 모니터링 기능이란?
ESM Agent에서 수집된 이벤트를 ESM 매니저에서 수신하여 E_YYYYMMDD.log 파일로 생성하게 되면, ESM 미들웨어에서 E_YYYYMMDD.log 파일을 실시간으로 읽어 콘솔에서 모니터링을 할 수 있도록 해주는 기능이다.
2. ESM 콘솔에서 실시간 로그 확인하는 방법 3가지
실시간 모니터링 기능은 아래 그림과 같이 3가지 메뉴를 통해 사용 할 수 있다
[그림1] ESM 콘솔 기본 화면-1
1) 실시간이벤트 아이콘을 통한 실시간 모니터링 방법
[그림1]의 아이콘 바에 있는 ①의 기능을 활용한 실시간 모니터링 방법은 다음과 같다.
먼저 실시간 이벤트 아이콘을 클릭한다.
[그림2] ESM 콘솔 기본 화면-2
실시간 이벤트 창에서 아래 톱니바퀴 아이콘 클릭하면 실시간 모니터링이 가능하다.
[그림3] ESM 콘솔 기본 화면-3
2) 이벤트 설정창에서 이벤트 설정
이벤트 설정창에서 대상 Agent, 카테고리 선택 후 이벤트 필터링 설정을 적용한다.
[그림4] ESM 콘솔 이벤트 설정창
이제 이벤트에 대한 실시간 모니터링을 확인 할 수 있다.
[그림5] ESM 콘솔 모니터링 확인창
뿐만 아니라 불필요한 컬럼은 아래방향 Drag&Drop으로 제외 가능하며 특정 컬럼 Drag&Drop 필터링이 가능하다.
[그림6] 특정 컬럼의 Drag & Drop 필터링 수행 화면
또한 1차 필터링 적용된 컬럼에 대하여 2차 필터링 할 수 있다.
[그림7] 2차 필터링 수행 화면
3) 실시간 이벤트 보기 기능을 활용한 실시간 모니터링 기능
ESM 콘솔의 실시간 이벤트 보기 기능을 활용한 실시간 모니터링 기능을 활용 가능하다. 실시간 모니터링을 하기 위해 콘솔의 우측 구성목록에서 실시간 이벤트 보기 기능은 우측 실시간 이벤트 설정 탭에서 카테고리 및 필터값 적용 후 모니터링을 통해 확인할 수 있다.
[그림8] 실시간 이벤트 보기 기능을 활용한 실시간 모니터링
3. ESM 콘솔 실시간 이벤트 활용
1) 필요 없는 컬럼 삭제
또한 1차 필터링 적용된 컬럼에 대하여 2차 필터링 할 수 있다.
[그림9] 필요 없는 컬럼 제거 화면
2) 컬럼 자동 맞춤 방법
컬럼에서 마우스 우클릭 후 컬럼 자동 맞춤을 선택후, 컬럼 자동 맞춤 선택(컬럼이 글자 크기만큼 자동 정렬)한다.
[그림10] 컬럼 자동 맞춤 선택
3) 컬럼 설정 저장 후 불러오기
컬럼 위치 및 컬럼명을 변경 저장하여 지속 사용 가능하다. 먼저 컬럼을 마우스 왼쪽으로 Drag & Drop 하여 컬럼 위치 변경을 한다.
컬럼 위치를 변경 하면 다음과 같은 화면이 뜬다.
[그림11] 컬럼 자동 맞춤 선택 후
이제 변경된 컬럼 화면을 저장할 수 있다.
[그림12] 변경된 컬럼 화면 저장
4) 실시간 이벤트 컬럼 정렬 기능
정렬을 원하는 컬럼 명을 클릭하면, 오름차순 정렬이 된다. 동일 컬럼 명을 한번 더 클릭하면, 내림차순으로 정렬할 수 있다.
[그림13] 컬럼 위치 변경 전 화면
5) 실시간 이벤트 수집 아이콘 바의 미표시 설정 기능
상단의 수집 아이콘 바에서 표시 또는 미표시 원하는 아이콘 설정 창에서 안보임/보임으로 선택가능 하다.
[그림14] 변경된 컬럼 화면 저장
6) 필터값 미적용 모니터링 시, 필터값 적용 방법
[그림15] 필터값 미적용 후 실시간 이벤트 모니터링 화면
임의의 대상 컬럼명(Ex : Destination)에서 마우스 우클릭 후 필터링 메뉴 실행이 가능하다.
[그림16] 필터링 메뉴 실행 화면
필터링 적용 창에 모니터링 대상 필터값 추가 및 적용할 수 있다.
[그림17] 필터링 적용 창 모니터링 화면
특정 필터값(Destination Port : 80)만 적용된 실시간 모니터링 할 수 있다.
[그림18] 특정 필터값만 적용된 실시간 모니터링 화면
필터링을 두 개 이상의 컬럼을 대상으로 적용했다면, 컬럼간 필터링 옵션(AND, OR)을 적용 할 수 있다.
[그림19] 컬럼간 필터링 옵션(AND, OR)을 적용 화면
7) 실시간 이벤트 파일 저장
실시간 이벤트 창에서 마우스 우클릭 후 파일저장 후 대상 파일형식 클릭하고 파일을 저장 한다.
[그림20] 실시간 이벤트 파일 저장 화면
이후 저장한 파일을 OPEN 및 확인 할 수 있다.
[그림21] 저장한 파일 확인
4. 효율적인 ESM 콘솔 모니터링
이번 글에서는 ESM콘솔 활용에 대한 몇가지 TIP에 대해 알아보았다. 이처럼 ESM은 다양한 접근방식을 통한 실시간 로그 확인, 필요 없는 컬럼 삭제, 컬럼 자동맞춤 및 정렬, 컬럼 설정 및 관리, 필터값 적용 및 설정 등 다양한 응용방법을 활용한 효율적인 실시간 모니터링을 수행 할 수 있다.