1. Agent(중계서버)
agent -- 장비로그중계
procmonitor -- 전체 프로세스 모니터 등
2. Collector(수집서버) => Normalizer
agent
collector -- 수집로그 관리
normalizer
pms -- 패치관리
searcher -- 수집로그 인덱싱 및 검색
store -- 수집로그 관리 (ex 백업 등)
3. Analyzer(분석서버)
www -- web
analyzer -- 로그분석(이벤트발생)
bigdata -- 분석 등
proxy -- (FOR 이중접근 보안) 4.0부터 잘 사용X
normalizer
=> SIM + BlueBird = XOAR 4.0 (AI모델링을 통해 정탐/오탐 분석)
장비관리(Agent지정) - Agent(Collector지정) - Collector
모든 시스템은 기초데이터를 가지고있음
장비관리
장비에서 실제 발생된 로그를 수집
XML형식의 LogParser. (Parser==LogParser집합), Parser를 장비에 등록
Agent관리
어떤 장비에 있는 것들을 가져온다. 중계기를 통해서 어떠한 수집서버로 넣어준다.
Collector관리
수집된 서버를 저장한다. ex. IP 1.1.1.1
스토리지 - 로그, 저장된 것을 분류한다.
패치관리 - 자동적으로 패치
(연동가이드 / 기본가이드 / 메뉴얼 참고하기)
스토리지 별로 조회 가능.
인덱싱이란 ? 장비에서 발생된 정규화된 로그, Lucene라이브러리 이용하는데 인덱싱을 거쳐 저장된다. 검색속도가 빨라진다.
FacetChart ? 통계 개념 MouseDraw == Statics Analyzer
장비발생시간 ? 장비에서 로그가 발생한 시간
출발지 IP (Geoip 라이브러리) => 출발지 국가
SeQL HelP_ QueryBrowser 다차원적인 통계 == DB Query
TOP통계를 시스템에서 자동적으로 도출한다.
필터링된 정보를 통계 낼 수 있다(사용자가 원하는 통계) 단, 사용자가 등록한 시점 이후부터
빅테이터분석은 과거시간 및 방대한 데이터 통계를 조회할 수 있다. 보고서 다운로드를 파일별로 다운로드가능. 또한, JOIN을 통해 검색가능.
각 이벤트마다 Ruleset.
사고이관가능, 단순히 검색어를 가지고 탐지.
검색어X, 임계치 이상이면 정상/비정상 체크해서 이벤트 탐지.
검색어X, 값으로만 설정해서 이벤트 탐지.
Ruleset JOIN.
컴포넌트를 다양하게 조정.
열심이군요