syslog4

• 

  [Microsoft Sentinel]비용 최적화: Fortinet 로그 시간 기반 필터링 Azure Sentinel에서 비용 절감을 위해 Fortinet 로그를 특정 시간대에만 전송하는 필터링을 구현했습니다. 이를 통해 불필요한 로그 데이터를 제한하고 운영 비용을 줄이는 것이 목표였습니다. 다른 솔루션에서 발생하는 로그는 시간에 상관없이 항상 전송되도록 설정했습니다.문제점Fortinet 로그가 모든 시간대에 Azure Sentinel로 전송되어 과도한 비용이 발생했습니다. 비용을 줄이기 위해 필요한 시간대에만 Fortinet 로그를 전송할 수 있는 해결책이 필요했습니다.해결 방법1. 설정 파일 수정:/etc/rsyslog.d/50-default.conf 파일을 00-default.conf로 우선순위를 변경했습니다. 이는 필터링 규칙이 다른 설정보다 먼저 적용되도록 하기 위함입니다.Rainer.. AZURE/보안 2024. 11. 19.

• 

  Syslog Syslog는 Linux에 공통되는 이벤트 로깅 프로토콜입니다. Linux 디바이스 및 어플라이언스 기본 제공되는 Syslog 디먼을 사용하여 지정한 형식의 로컬 이벤트를 수집할 수 있습니다. 수집 후에, 해당 이벤트를 Log analytics 작업 영역으로 보낼 수 있습니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 전송합니다. Linux 용 Azure Monitor 에이전트가 설치되면 Syslog 컬렉션이 DCR에서 사용하도록 설정된 경우, 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 그런 다음 Azure monitor에이전트는 해당 Syslog 레코드가 Syslog 테이블에 만들어지는 Azure monitor 또는 Log Analy.. AZURE/클라우드 2024. 1. 3.

• 

  [Microsoft Sentinel] AMA로 Syslog 보내기 AMA는 Azure Monitor Agent로, 이제 과거에 사용하던 MMA를 대신하여 이 에이전트를 사용하여 Log Analytics 작업영역으로, 로그를 수집할 수 있습니다.sentinel로 로그 수집을 하는 방법에는 여러가지가 있지만, 이 포스트에서는 AMA를 사용하여 syslog 를 전달하는 방법을 설명드리겠습니다. 이 포스팅에서는 rsyslog 서버 구성은 설명하지 않겠습니다. 다른 포스팅을 참고해주세요 링크 : https://mara7.tistory.com/185#Syslog 테이블로 로그 전달syslog를 log analytics 로 전달하는 방법은 간단합니다.이 구성은, 전제조건이 log forwarder서버가 Azure VM일 경우 입니다.Azure에 Log forwarder서버가 구성되.. AZURE/보안 2023. 12. 29.

• 

  [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달-1 (rsyslog서버 구성) 구성도테스트한 서버는 아래와 같습니다. Linux device : ubuntu20Linux log forwarder : ubuntu 20전제 조건이 테스트는 AMA 에이전트를 통해 리눅스의 CEF로그를 센티넬의 Log analytics workspace로 보내는 테스트입니다.그렇기 때문에 아래의 전제조건이 요구됩니다.* Sentinel이 활성되어 있어야 합니다.AMA 에이전트 설치를 위한 전제 조건에이전트를 배포 및 데이터 수집 규칙을 생성하기 위한 다음의 역할이 있는 Azure 계정Log Analytics 작업 영역로그 수집을 위한 Linux 머신Linux 요구 버전https://learn.microsoft.com/en-us/azure/azure-monitor/agents/agents-overview#.. AZURE/보안 2023. 12. 5.