데이터 입력 구성 수정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 기존 데이터 입력 구성에 새 경로를 추가하거나 데이터 입력의 MID 서버 대상 및 포트를 변경하여 상태 로그 분석 데이터 입력 구성을 수정합니다.

    시작하기 전에

    필요한 역할: evt_mgmt_admin

    프로시저

    1. 다음으로 이동 모두 > 상태 로그 분석 > 데이터 입력 > 데이터 입력.
    2. 데이터 입력 테이블에서 기록을 엽니다.
    3. 데이터 입력 구성을 수정합니다.
      설명
      이름 데이터 입력의 이름입니다.
      설명 데이터 입력에 대한 설명입니다.
      포트
      MID 서버의 포트입니다.
      주:
      다른 프로세스에서 포트를 차지할 수 없습니다. 조직의 보안 팀이 선택한 포트를 여는지 확인합니다.
      MID 로그가 스트리밍되는 MID 서버입니다.
      주:
      • 기본 인증을 지원하는 로그 수집 기능이 있는 MID 서버만 선택할 수 있습니다. mTLS를 지원하는 MID 서버는 목록에 표시되지 않습니다.
      • 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. MID 서버 속성에서 이 수를 수정할 수 있습니다.
      표 1. 설정
      설명
      경로 로그가 스트리밍되는 전체 경로입니다. 와일드카드를 사용할 수 있습니다.
      주:
      이 열은 Winlogbeat을 사용하는 Windows 시스템에서 사용할 수 없습니다.
      애플리케이션 서비스 로그 데이터를 바인딩할 애플리케이션 서비스입니다.
      주:
      관련 애플리케이션 서비스가 없는 경우 생성 애플리케이션 서비스 CI를 추가합니다. 생성한 애플리케이션 서비스의 상태를 운영으로 설정하십시오.
      구성요소 이상 탐지 및 상관 관계에 사용되는 로그에 대한 컨텍스트로 사용되는 장치 유형 또는 스택 계층입니다. 예: Tomcat.

      구성요소는 일반적으로 CMDB의 CI를 나타냅니다. 종종 여러 구성요소가 단일 애플리케이션 서비스에 함께 클러스터됩니다.
      소스 유형 상태 로그 분석가 특정 애플리케이션을 처리하고 로그 데이터를 구문 분석하는 방법을 정의하는 소스 유형입니다. 예: Tomcat Catalina.

      로그 형식의 다양성에 따라 각 데이터 입력에 여러 소스 유형이 있을 수 있습니다. 애플리케이션 서비스 및 구성요소는 소스 유형을 개수에 제한 없이 가질 수 있습니다.
      Filebeat만 사용하는 Linux / Windows 시스템에서 여러 줄 메시지를 처리하는 경우:
      일치 Filebeat가 일치하는 라인을 이벤트에 결합하는 방법을 after 또는 before로 지정합니다.
      부정 로그 라인에서 식별된 패턴을 부정할지 여부를 정의하는 부울입니다. 기본값은 false입니다.
      정규 표현식 일치할 정규 표현식입니다.
      주:
      Rsyslog 구성 파일을 수정하여 애플리케이션 로그 외에 에이전트 전송 시스템 로그를 만들 수 있습니다. 자세한 내용은 Now Support 지식베이스에서 Rsyslog [KB0954507]를 사용한 시스템 로그 전송 문서를 참조하십시오.
    4. 업데이트를 선택합니다.
    5. Rsyslog 또는 Beats에이전트만 사용하는 데이터 입력의 경우 서버 측 구성 파일을 재구성하여 엔드포인트 장치에 설치합니다.
      1. 구성 파일 재구성을 선택합니다.

        상태 로그 분석가 파일을 재구성하여 첨부 파일 관리 섹션에 저장합니다. 재구성된 파일은 사용된 에이전트에 따라 rsyslog.yml, filebeat.yml 또는 winlogbeat.yml로 저장됩니다.

        시스템은 기존 구성 파일 이름에 파일이 재구성된 날짜 및 시간을 서픽스로 추가하여 파일 이름을 자동으로 변경합니다.

      2. 엔드포인트에 데이터 입력 유형에 따라 재구성된 구성 파일을 설치합니다.
        데이터 입력 유형 작업
        Rsyslog
        1. 파일을 다운로드하여 엔드포인트 장치의 /etc/rsyslog.d/rsyslog.conf 디렉터리에 설치합니다.
        2. rsyslogd -N1 명령을 실행하여 구성을 검증합니다.
        3. 출력을 검증합니다. 오류가 포함되어 있는 경우 /var/log/messages 시스템 로그 파일에서 오류 메시지를 확인하고 오류를 수정합니다.
        4. sudo systemctl restart rsyslog 명령을 실행하여 Rsyslog를 다시 시작합니다.
        Linux
        1. 파일을 다운로드하여 엔드포인트 장치의 /etc/filebeat/ 디렉터리에 설치합니다.
        2. sudo service filebeat start 명령을 실행하여 에이전트 서비스를 다시 시작합니다.
        주:
        생성된 구성은 변경된 지 6시간을 초과한 파일을 무시합니다. 필요한 경우 구성에서 이 설정을 변경할 수 있습니다.
        Beats(Filebeat 또는 Winlogbeat)를 사용하는 Windows:
        1. 파일을 다운로드하여 엔드포인트 장치의 C:\Program Files\ 디렉터리에 설치합니다.
        2. PowerShell에서 적절한 명령을 실행하여 에이전트 서비스를 다시 시작합니다.
          • Filebeat: PS > Restart-Service filebeat
          • Winlogbeat: PS > Restart-Service winlogbeat
        주:
        생성된 구성은 변경된 지 6시간을 초과한 파일을 무시합니다. 필요한 경우 구성에서 이 설정을 변경할 수 있습니다.