CEF Syslog

네트워크 및 보안 시스템은 데이터 전송의 수단으로 Syslog를 통해 Syslog 또는 CEF 를 지원합니다.

 

CEF (Common Event Format)

CEF의 장점은, 데이터가 정규화되어 유용합니다.

가장 관련성이 높은 정보를 제공하여 다양한 장치 유형을 지원하도록 설계된 확장 가능한 텍스트 기반의 형식입니다.

키-값 쌍으로 형식화된 표준 헤더와 변수 확장으로 구성된 로그 레코드의 구문을 정의합니다.

Jan  3 14:43:13 cef-log-test CEF: 0|DeviceVendorName-Test|DeviceProduct-Test|common=event-format-test|end|TRAFFIC|1|rt==evenformatted-receive_timet
Jan  3 14:43:13 호스트 CEF:버전|제조사|제품모델|제품버전|이벤트 클래스 ID|이벤트 이름|위험도|[확장]

• 버전[0] :  CEF 포맷 자체의 버전을 의미
• 제조사:  로그를 전송하는 장치의 제조사
• 제품 모델 :  로그를 전송하는 장치의 제품 모델을 의미하며 제조사와 제품모델의 쌍으로 유일하게 해당 제품을 식별할 수 있어야함
• 제품 버전 : 로그를 전송하는 장치의 버전
• 이벤트 클래스 ID : 이벤트 유형별로 유일한 식별자이며 숫자나 문자열로 구성됨
• 이벤트 이름 :  사람이 읽을 수 있는 형태의 이벤트 설명이 기록되며 IP나 포트처럼 특정한 정보는 포함하지 않고 이벤트 클래스 ID와 연결된 설명을 기록함
• 위험도 : 이벤트 중요도를 문자열이나 숫자로 표현함
  • 문자  :Unknown, Low, Medium, High, Veri-High
  • 숫자 : 0~3(Low), 4~6(Medium), 7~8(High), 9~10(Very-High)

 

참고 :  https://logpresso.com/ko/blog/2017-03-25-cef-log-format