No_보류 64
Geny
2018-10-11 11:38
조회 7


1. 네트워크 및 보안 장비

     네트워크 및 보안장비 제품군에서 발생되는 트래픽 및 이벤트 로그 대상

          - 트래픽 로그: 출발지 및 목적지 정보 기반으로 탐지 또는 허용/거부 등의 행위 기반 정보 추출 가능

          - 이벤트 로그: 네트워크 및 보안장비 적용 룰 기반 정보 추출 가능

구분
트래픽 로그
이벤트 로그
추출 정보
로그수집 지원 프로토콜
방화벽
O
O
  • 출발지 IP 및 port, 목적지 IP 및 port 통계 정보
  • 이벤트 별 통계 정보
  • 업무시간 내/외 이벤트 정보
  • 적용 룰 기반 탐지 정보
Syslog UDP
SNMP Trap
IPS
O
O
웹방화벽
O
O
Switch
N/A
O
  • Switch 및 Router 이벤트 정보
Router
N/A
O



2. 시스템

     Windows / Linux / Unix 발생 이벤트 및 시스템 로그 대상

          - Windows: 이벤트 로그(System, Security, Application 등)

          - Linux / Unix: Syslog Log 기반

구분
이벤트 및 시스템 로그
추출 정보
로그수집 지원 프로토콜
Windows
O
  • 로그인 성공/실패 정보
  • 시스템 발생 이벤트 정보
Syslog UDP
Linux / Unix
O



3. 어플리케이션

     솔루션 또는 특정 어플리케이션 사용 목적성 기반 발생 이벤트 로그 대상(File 또는 DB 저장 형태)

구분
이벤트 로그
추출 정보
로그수집 지원 프로토콜
DB 접근 제어 솔루션
O
  • 특정 사용자에 대한 개인정보 테이블 접근 정보
  • 웹 접근 다수 실패이력 정보
  • 문서해제 과다 탐지 사용자 정보
  • 특정 키워드 기반 매체 저장 정보
  • 개인정보 과다 보유 사용자 정보
  • 첨부파일 용량 임계치 이상 발송 사용자 정보
  • 업무 외 시간 임계치 이상 출력 사용자 정보
FTP / sFTP
DB to DB
웹 접근 제어 솔루션O
DRMO
DLPO
개인 정보 보호 솔루션O
메일 모니터링 시스템O
출력물 보안 솔루션O
...O


Geny
2018-10-05 10:58
조회 5


샘플로그

20180828163720 <189>date=2018-08-28 time=16:37:10 devname=SLSGDC04_CONF03A devid=FG3K0B3I12700369 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=10.203.7.55 srcport=58774 srcintf="port1" dstip=10.203.5.136 dstport=10050 dstintf="port8" sessionid=2651405910 status=close policyid=440 dstcountry="Reserved" srccountry="Reserved" trandisp=noop service=TCP_10050 proto=6 duration=1 sentbyte=244 rcvdbyte=112 sentpkt=4 rcvdpkt=2


정규식

[^\=]*\=([^\s]*\s[^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=(traffic)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)


파싱데이터칼럼필드명
2018-08-28 time=16:37:10
logtim
SLSGDC04_CONF03A 
device_name
FG3K0B3I12700369
device_id
0000000013
log_id
traffic
type
forward
sub_type
notice
level
root
vd
10.203.7.55
src_ip
58774
src_port
port1
srcintf
10.203.5.136
dst_ip
10050
dst_port
port8
dstintf
2651405910
session_id
close
status
440
policy_id
Reserved
dstcountry
Reserved
srccountry
noop
trand_id
TCP_10050
service
6
proto
1
duration
244
sent_byte
112
rcvd_byte
4
sent_pkt
2
rcvd_pkt



샘플로그

20180829150444 <189>date=2018-08-29 time=15:04:33 devname="SLSGDC04-CONF01A" devid="FG3K6C3A15800110" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1535522673 srcip=23.55.56.224 srcport=61975 srcintf="port1" srcintfrole="undefined" dstip=202.8.173.156 dstport=80 dstintf="port2" dstintfrole="undefined" poluuid="3bd9831e-2cb0-51e8-893d-a83bbb4dd4a2" sessionid=1564661365 proto=6 action="close" policyid=448 policytype="policy" service="HTTP" dstcountry="Korea, Republic of" srccountry="Japan" trandisp="noop" duration=1 sentbyte=1199 rcvdbyte=524 sentpkt=5 rcvdpkt=5 appcat="unscanned"


정규식

[^\=]*\=([^\s]*\s[^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"(traffic)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"


파싱데이터칼럼필드명
2018-08-29 time=15:04:33
logtim
SLSGDC04-CONF01A
device_name
FG3K6C3A15800110
device_id
0000000013
log_id
traffic
type
forward
sub_type
notice
level
root
vd
1535522673
event_time
23.55.56.224
src_ip
61975
src_port
port1
srcintf
undefined
srcinf_role
202.8.173.156
dst_ip
80
dst_port
port2
dstinf
undefined
dstintf_role
bd9831e-2cb0-51e8-893d-a83bbb4dd4a2
poluuid
1564661365
session_id
6
proto
close
action
448
policy_id
policy
policy_type
HTTP
service
Korea, Republic of
dst_country
Japan
src_country
noop
trandisp
1
duration
1199
sent_byte
524
rcvd_byte
5
sent_pkt
5
rcvd_pkt
unscanned
appcat



샘플로그

20180829100537 <190>date=2018-08-29 time=10:05:27 devname="SLSGDC04-CONF01A" devid="FG3K6C3A15800110" logid="0100032001" type="event" subtype="system" level="information" vd="root" eventtime=1535504727 logdesc="Admin login successful" sn="1535504727" user="scom_sybae" ui="https(10.253.58.184)" method="https" srcip=10.253.58.184 dstip=10.204.252.10 action="login" status="success" reason="none" profile="super_admin" msg="Administrator scom_sybae logged in successfully from https(10.253.58.184)"


정규식

([^\s]*)[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"(event)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\=]*\=([^\s]*)[^\=]*\=([^\s]*)[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"[^\"]*\"([^\"]*)\"


파싱데이터칼럼필드명
20180829100537
logtim
SLSGDC04-CONF01A
device_name
FG3K6C3A15800110
device_id
0100032001
log_id
event
type
system
sub_type
information
level
root
vd
1535504727
event_time
Admin login successful
log_desc
1535504727
sn
scom_sybae
user
https(10.253.58.184)
UI
https
method
10.253.58.184
src_ip
10.204.252.10
dst_ip
login
action
success
status
none
reason
super_admin
profile
Administrator scom_sybae logged in successfully from https(10.253.58.184)
message



Geny
2018-10-04 17:27
조회 4


샘플로그

20150909165222 <29>Sep  9 16:52:15 WIN-E00CGRRV83O Security-Auditing: 4793: AUDIT_SUCCESS 암호 정책 확인 API를 호출했습니다. 주체: 보안 ID: S-1-5-18 계정 이름: WIN-E00CGRRV83O$ 계정 도메인: WORKGROUP 로그온 ID: 0x3e7 추가 정보: 호출자 워크스테이션: WIN-E00CGRRV83O 제공된 계정 이름(미인증): - 상태 코드: 0x0


정규식

(\d{14})\s<(\d+)>[^\s]*\s\s[^\s]*\s[^\s]*\s([^\s]*)\s[^\s]*\s([^\:]*):\s([^\s]*)[^\n]*


파싱데이터칼럼필드명
20150909165222
logtim
29
pri
WIN-E00CGRRV83O
user_name
4793
logtin failed evtID
AUDIT_SUCCESS
status



샘플로그

20150916000501 <29>Sep 16 00:04:42 LOGI-ESCORT Security-Auditing: 4648: AUDIT_SUCCESS 명시적 자격 증명을 사용하여 로그온을 시도했습니다. 주체: 보안 ID: S-1-5-18 계정 이름: LOGI-ESCORT$ 계정 도메인: WORKGROUP 로그온 ID: 0x3e7 로그온 GUID: {00000000-0000-0000-0000-000000000000} 자격 증명이 사용된 계정: 계정 이름: selclog 계정 도메인: LOGI-ESCORT 로그온 GUID: 00000000-0000-0000-0000-000000000000} 대상 서버: 대상 서버 이름: localhost 추가 정보: localhost 프로세스 정보: 프로세스 ID: 0xf4 프로세스 이름: C:\Windows\System32\inetsrv\inetinfo.exe 네트워크 정보: 네트워크 주소: - 포트: - 이 이벤트는 프로세스에서 명시적으로 해당 계정의 자격 증명을 지정하여 계정에 로그온하려고 할 때 생성됩니다. 주로 예약된 작업과 같은 일괄 유형의 구성에서 발생하거나 RUNAS 명령을 사용할 때 발생합니다.


정규식

([^\s]*)\s<([\d]*)>[^\s]*\s[^\s]*\s[^\s]*\s([^\s]*)\s[^\s]*\s(4648)\:\s[^\s]*\s[^\:]*\:\s[^\:]*\:[^\:]*\:\s[^\:]*\:[^\:]*\:[^\:]*\:[^\:]*\:[^\s]*\s계정 이름\:\s([^\s]*)\s[^\네트]*[^\:]*\:\s[^\:]*\:\s([^\s]*)\s[^\]:]*\:\s([^\s]*)[^\n]*


파싱데이터칼럼필드명
20150916000501
logtim
29
pri
LOGI-ESCORT
user-name
4648
login success evtID
selclog
account name
-
network address
-
port


Geny
2018-10-04 17:26
조회 2


샘플로그

20151006144142 <37>Oct  6 14:43:34 Message forwarded from selbissap1: tsm: Login successful for root from sp-Hyung_SunMi on /dev/pts/1


정규식

([^\s]*)\s<([\d]*)>[^\s]*\s[^\s]*\s[^\s]*\s[^\s]*\s[^\:]*\:[^\:]*\:\s(Login successful)\s[^\s]*\s([^\s]*)\s[^\s]*\s([^\s]*)\s[^\n]*


파싱데이터칼럼필드명
20151006144142
logtim
37
pri
Login successful
event
root
user_id
sp-Hyung_SunMi
user_name



Geny
2018-10-04 17:26
조회 4



샘플로그

112.148.179.152 - - [04/Apr/2018:16:31:35 +0900] "GET /gongdan/_board/101/attach/2012/thumb_RIZRXHJTVAJXGOW.bmp HTTP/1.1" 200 82770


정규식

[^\s]*\s-\s[^\[]*\[([^\s]*)[^"]*"([^\s]*)\s([^\s]*)\s([^"]*)"\s([^\s]*)[^\r\n]*


파싱데이터칼럼필드명
04/Apr/2018:16:31:35
logtim
GET
method
/gongdan/_board/101/attach/2012/thumb_RIZRXHJTVAJXGOW.bmp
URL
HTTP/1.1
protocol
200
status




Geny
2018-10-04 12:19
조회 4


샘플로그

20171218164209 <36>[SNIPER-0001] [Attack_Name=(0397)UDP Packet Flooding], [Time=2017/12/18 16:41:21], [Hacker=172.217.26.99], [Victim=10.240.100.102], [Protocol=udp/56304], [Risk=Low], [Handling=Alarm], [Information=], [SrcPort=443], [HackType=00001]


정규식

([^\s]*)\s<([\d]*)>\[([^\]]*)\]\s[^=]*=([^\]]*)\]\,\s[^\s]*\s[^\s]*\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]\,\s[^=]*=([^\]]*)\]


파싱데이터칼럼필드명
20171218164209
Logtim
36
Pri
SNIPER-0001
Device_name
(0397)UDP Packet Flooding
Attack_name
172.217.26.99
Hacker
10.240.100.102
Victim
udp/56304
Protocol
Low
Risk
Alarm
Handling

Information
443
SrcPort
00001
HackType



Geny
2018-10-04 12:15
조회 3


샘플로그

20150716150422 3`0`1`1`100000`1020`20071025`17:46:26`3`6`UTM_ADMINHOST`172.16.108.152`4430`172.16.108.211`50005`eth0`unknown````1021`8`724`7``31`2`기관코드`1`DMZ`INTERNAL`111111`222`4````ICMP   Ping of Death`    


정규식

[^\`]*\`[^\`]*\`[^\`]*\`[^\`]*\`[^\`]*\`([^\`]*)\`([^\`]*\`[^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`([^\`]*)\`


파싱데이터칼럼필드명
1020
headerfield
20071025`17:46:26
module_flag
3
date
6
time
UTM_ADMINHOST
type
172.16.108.152
protocol
4430
policy_id
172.16.108.211
src_ip
50005
src_port
eth0
dst_ip
unknown
dst_port

in_nic

out_nic

snat_type
1021
snat_ip
8
snat_port
724
sent_data
7
sent_pkt

rcvd_data
31
rcvd_pkt
2
duration
기관코드
state
1
reason
DMZ
inst_code
INTERNAL
tcp_flag
111111
in_zone
222
out_zone
4
rule_id

nat_id

ip_ver

dnat_type
ICMP   Ping of Death
dnat_ip

dnat_port

detect_desc


Geny
2018-10-04 11:59
조회 9



샘플로그

20170329092201 <174>Mar 29 09:20:00 penta-np syslogmd:  INTRUSION  DETECTION TIME : 17/3/29 9:20:0  SOURCE IP : 192.168.14.222  URI : /favicon.ico  RULE NAME : ErrorHandling  HOST NAME : sis.skylife.co.kr  DESTINATION IP : 218.145.71.19:80  RESPONSE TYPE : Error code  RISK : 0  RAW DATA : teswef


정규식

([^\s]*)\s<([^>]*)[^:]*:[^:]*:[^:]*:[^:]*:[^:]*:[^:]*:[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)


파싱데이터칼럼필드명
20170329092201logtim
174pri
192.168.14.222src_ip
/favicon.icourl
ErrorHandlingtmp
sis.skylife.co.krhostnm
218.145.71.19:80dst_ip
Error codetype
0tmp2
teswefdata




샘플로그

20170329000405 <174>Mar 28 23:54:08 penta-np syslogmd:  SYSTEM  CPU USED : 1.1092 % MEM USED : 25.9059 %


정규식

([^\s]*)\s<([^>]*)[^:]*:[^:]*:[^:]*:[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^\n]*


파싱데이터칼럼필드명
20170329000405logtim
174pri
1.1092tmp
25.9059tmp2




샘플로그

20170329000425 <174>Mar 28 23:54:28 penta-np syslogmd:  NETWORK  CPS : 24  TPS : 24  TRANSACTION SIZE(Kbyte) : 71  BYPASS : OFF


정규식

([^\s]*)\s<([^>]*)[^:]*:[^:]*:[^:]*:[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)[^:]*:\s([^\s]*)


파싱데이터칼럼필드명
20170329000425logtim
174pri
24tmp
24tmp2
71tmp3
OFFtmp4


샘플 로그
20180829000001 <174>Aug 28 23:59:50 SLSGDC04-WAF01 syslogmd:  INTRUSION  DETECTION TIME : 18/8/28 23:59:49  SOURCE IP : 178.17.166.149  URI : /item/itemView.ssg  RULE NAME : RequestHeaderFiltering  HOST NAME : www.ssg.com  DESTINATION IP : 202.8.173.70:80  RESPONSE TYPE : Error code  RISK : 40  RAW DATA : GET /item/itemView.ssg?itemId=1000020026141 HTTP/1.1  Host: www.ssg.com  User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:61.0) Gecko/20100101 Firefox/61.0  Proxy-Connection: Keep-Alive  Accept-Encoding: gzip

정규식
([^\s]*)\s[^\s]*\s[^\s]*\s[^\s]*\s([^\s]*)[^\:]*\:\s\s(INTRUSION)[^\:]*\:\s([^\s]*\s[^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\n]*)


파싱데이터칼럼필드명
20180829000001 
logtim
SLSGDC04-WAF01
device_name
INTRUSION
syslogmd
18/8/28 23:59:49
detection_time
178.17.166.149
src_ip
/item/itemView.ssg
URl
RequestHeaderFiltering
rule_name
www.ssg.com
host_name
202.8.173.70:80
dst_ip
Error
response_type
40
risk
GET /item/itemView.ssg?itemId=1000020026141 HTTP/1.1  Host: www.ssg.com  User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:61.0) Gecko/20100101 Firefox/61.0  Proxy-Connection: Keep-Alive  Accept-Encoding: gzip
message



샘플로그
20180829000002 <174>Aug 28 23:59:51 SLSGDC04-WAF01 syslogmd:  SYSTEM  CPU USED : 12.0981 % MEM USED : 48.1896%

정규식
([^\s]*)\s[^\s]*\s[^\s]*\s[^\s]*\s([^\s]*)[^\:]*\:\s\s(SYSTEM)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\n]*)



파싱데이터칼럼필드명
20180829000002
logtim
SLSGDC04-WAF01
device_name
SYSTEM
syslogmd
12.0981
cpu_used
48.1896%
mem_used





샘플로그
20180829000012 <174>Aug 29 00:00:01 SLSGDC04-WAF01 syslogmd:  NETWORK  CPS : 2040  TPS : 2043  TRANSACTION SIZE(Kbyte) : 19097  BYPASS : OFF

정규식
([^\s]*)\s[^\s]*\s[^\s]*\s[^\s]*\s([^\s]*)[^\:]*\:\s\s(NETWORK)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\s]*)[^\:]*\:\s([^\n]*)


파싱데이터칼럼필드명
20180829000012
logtim
SLSGDC04-WAF01
device_name
NETWORK
syslogmd
2040
CPS
2043
TPS
19097
transaction_size
OFF
bypass





샘플로그
20180829000012 <174>Sep 20 11:56:28 SLSGDC04-WAF01 syslogmd:  AUDIT  MESSAGE : Time modification started in time server

정규식
([^\s]*)\s[^\s]*\s[^\s]*\s[^\s]*\s([^\s]*)[^\:]*\:\s\s(AUDIT)[^\:]*\:\s([^\n]*)


파싱데이터칼럼필드명
20180829000012
logtim
SLSGDC04-WAF01
device_name
AUDIT
syslogmd
Time modification started in time server
message





샘플로그
20171218014051 <174>Dec 18 01:58:46 EXT-WAF#1 syslogmd: [WAPPLES] SYSTEM [WAPPLES] CPU USED : 7.64193 [WAPPLES]% MEM USED : 42.9203%

정규식
(\d{14})\s*<([^\>]*)[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)[^\]]*\]\s*SYSTEM[^\:]*\:\s*([^\s]*)[^\:]*\:\s*([^\%]*)[^\n]*


파싱데이터칼럼필드명
20171218014051
logtim
174
pri
EXT-WAF#1
log_type
7.64193
CPU_USED
42.9203%
MEM_USED





샘플로그
20180724094402 <174>Jul 24 09:44:28 penta-np syslogmd: [WAPPLES] NETWORK [WAPPLES] CPS : 62 [WAPPLES] TPS : 71 [WAPPLES] TRANSACTION SIZE(Kbyte) : 212 [WAPPLES] BYPASS : OFF

정규식
([^\s]*)\s<([\d]*)>[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)\s*[^\s]*\s*[^\s]*\s*NETWORK\s*[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)\s*[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)\s*[^\s]*\s*[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)\s*[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\n]*)


파싱데이터칼럼필드명
20180724094402
logtim
174
pri
penta-np
logtype
62
CPS
71
TPS
212
TRANSZCTION_SIZE
OFF
BYPASS





샘플로그
20171218234256 <174>Dec 19 00:01:00 EXT-WAF#1 syslogmd: [WAPPLES] AUDIT [WAPPLES] MESSAGE : Time modification started in time server [WAPPLES] SOURCE : W1200E-1330011

정규식
(\d{14})\s*<([^\>]*)>[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)\s*[^\s]*\s*\[WAPPLES\]\sAUDIT\s*\[WAPPLES\]\s*MESSAGE\s*\:\s*([^[]*)\[WAPPLES\]\s*SOURCE\s*\:\s*([^\n]*)


파싱데이터칼럼필드명
20171218234256
logtim
174
pri
EXT-WAF#1
log_type
Time modification started in time server
message
W1200E-1330011
wapple_id





샘플로그
20171218014658 <174>Dec 18 02:04:53 EXT-WAF#1 syslogmd: [WAPPLES] INTRUSION [WAPPLES] DETECTION TIME : 17/12/18 2:4:53 [WAPPLES] SOURCE IP : 125.128.75.161 [WAPPLES] URI : /history.back [WAPPLES] RULE NAME : CrossSiteScripting [WAPPLES] HOST NAME : xn--or3bi2dc3g8ng8wm.com [WAPPLES] DESTINATION IP : 192.168.100.132:80 [WAPPLES] RESPONSE TYPE : Error code [WAPPLES] RISK : 0 [WAPPLES] RAW DATA : /history.back

정규식
(\d{14})\s*<([^\>]*)>[^\s]*\s*[^\s]*\s*[^\s]*\s*([^\s]*)\s*[^\s]*\s*\[WAPPLES\]\sINTRUSION\s*\[WAPPLES\]\s*DETECTION\s*TIME\s*\:\s*([^\[]*)\[WAPPLES\]\s*SOURCE\s*IP\s*\:\s*([^\s]*)\s*\[WAPPLES\]\s*URI\s*\:\s*([^\s]*)\s*\[WAPPLES\]\s*RULE\s*NAME\s*\:\s*([^\s]*)\s*\[WAPPLES\]\s*HOST\s*NAME\s*\:\s*([^\s]*)\s*\[WAPPLES\]\s*DESTINATION\s*IP\s*\:\s*([^\s]*)\s*\[WAPPLES\]\s*RESPONSE\s*TYPE\s*\:\s*\s*([^\[]*)\[WAPPLES\]\s*RISK\s*\:\s*([^\s]*)\s*\[WAPPLES\]\s*RAW\s*DATA\s*\:\s*([^\n]*)


파싱데이터칼럼필드명
20171218014658
logtim
174
pri
EXT-WAF#1
log_type
17/12/18 2:4:53
detection time
125.128.75.161
source IP
/history.back
URI
CrossSiteScripting
rule name
xn--or3bi2dc3g8ng8wm.com
host name
192.168.100.132:80
destination IP
Error code
response type
0
risk
/history.back
raw data



Geny
2018-10-02 18:30
조회 2


샘플로그

20151006111310 <85>login: FAILED LOGIN 1 FROM sp-Kang_HoKyung FOR root, Authentication failure


정규식

([^\s]*)\s<([^>]*)>login:\s(FAILED LOGIN)\s[^\s]*\s[^\s]*\s([^\s]*)\s[^\s]*\s([^\s]*)[^\n]*


파싱데이터칼럼필드명
20151006111310
logtim
85
pri
FAILED LOGIN
event
sp-Kang_HoKyung
user_name
root
user_id



샘플로그

20151006111313 <85>login: ROOT LOGIN ON pts/2 FROM sp-Kang_HoKyung


정규식

([^\s]*)\s<([^>]*)>login:\s(ROOT LOGIN)\s[^\s]*\s[^\s]*\s[^\s]*\s([^\s]*)


파싱데이터칼럼필드명
20151006111313
logtim
85
pri
ROOT LOGIN
event
sp-Kang_HoKyung
user_name


Geny
2018-10-02 18:17
조회 2


샘플로그

20180723041939 <14>1 2018-07-22T19:20:55.001114Z [fw4_traffic] []2018-07-23 04:20:55,UlsanUniv-FW1,123755,9685,1259,15490,120356478,821066


정규식

([^\s]*)\s<([^>]*)[^\s]*\s[^\s]*\s\[(fw4_traffic)\]\s*\[\][^\s]*\s*[^\,]*\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\n]*)    


파싱데이터칼럼필드명
20180723041939
logtim
14
pri
fw4_traffic
log_type
UlsanUniv-FW1
machine name
123755
allow packets
9685
deny packets
1259
sessions
15490
max sessions
120356478
allow bytes
821066
deny bytes



샘플로그

20180331042941 <14>1 2018-03-30T19:30:54.894564Z   [fw4_rule_traffic] []2018-03-31 04:30:55,UlsanUniv-FW2,341,ALLOW,0,0,0,290


정규식

([^\s]*)\s<([\d]*)>[^\s]*\s*[^\s]*\s*\[(fw4_rule_traffic)\]\s*[^\,]*\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\,]*)\,([^\n]*)    


파싱데이터칼럼필드명
20180331042941
logtime
14
pri
fw4_rule_traffic
log_type
UlsanUniv-FW2
machine_name
341
fw_ruleID
ALLOW
action
0
packets
0
bytes
0
sessions
290
max sessions