Loading...

Windows 에이전트에서 WEF(Windows Event Forwarding)를 사용하는 방법
기술 문서 ID:   KB77092
마지막으로 수정한 날짜:  2018-11-16
등급:


환경

McAfee Database Event Monitor for SIEM(NitroView DBM) 9.x
McAfee Enterprise Log Manager(NitroView ELM) 9.x
McAfee Enterprise Security Manager(NitroView ESM) 9.x
McAfee Event Receiver(NitroView Receiver) 9.x

 

요약

이 문서에서는 Windows 에이전트에서 SIEM과 함께 Windows Event Forwarding을 구성하는 방법에 대해 설명합니다.

해결책

WEF(Windows Event Forwarding)는 Microsoft Vista에 도입된 Microsoft 운영 체제 기능으로, WEF를 사용하면 하나 또는 여러 이벤트 소스 컴퓨터에 있는 로그를 중앙 집중식 Windows 시스템(일반적으로 이벤트 수집기라고 함)에 전달하도록 구성할 수 있습니다. McAfee Event Collector는 이렇게 수집된 로그를 읽은 후 수신기에 보내도록 설계되었습니다.

참고: Vista는 이벤트 수집기 또는 이벤트 소스에 필요한 최소 운영 체제입니다.

사용자 환경을 구성하려면

  1. 이벤트를 WEF 이벤트 수집기에 전달하도록 이벤트 소스 시스템을 구성합니다.
  2. WEF 이벤트 수집기에이전트를 설치합니다.
  3. 단일 호스트를 추가하고 호스트 이름/IP이벤트 수집기 IP 주소를 추가합니다.
  4. 구성을 생성합니다. Windows 이벤트 로그를 선택하고 구성 이름을 지정합니다.
  5. Windows 이벤트 영역에서 이벤트 전달을 선택합니다.
     
    참고: WEF를 사용하여 전달된 이벤트 이외의 로그에도 전달할 수 있습니다. 전달된 이벤트가 기본값입니다.
     
  6. 이 단계에는 두 가지 옵션이 있습니다.

    1. WEF 선택 - 이벤트 소스별로 데이터 소스를 세분화해야 하는 경우 WEF 상자를 선택합니다.
    2. WEF 선택 취소- 이벤트 소스가 여러 개 있는 경우에는 이벤트 소스별로 데이터 소스를 유지하는 것이 어려울 수 있습니다. 예를 들어 도메인 그룹 정책의 일부로 이벤트 전달 기능을 구성할 경우 실제로 몇 개의 이벤트 소스가 이벤트를 전달하는지 파악하기 어려울 수 있습니다. 이 경우에는 WEF를 선택하지 않습니다. 이렇게 하면 모든 이벤트가 에이전트 데이터 소스 아래에 수집됩니다.
       
  7. 수신기에서 이벤트 수집기의 데이터 소스를 만듭니다. 이 단계는 에이전트와 수신기 간의 통신을 허용하도록 수신기 측에서 방화벽을 여는 데 필요한 단계입니다. 설정은 다음과 같습니다.

    1. 공급업체: Microsoft
    2. 모델: WMI 이벤트 로그
    3. 데이터 검색: MEF
    4. 이름: DS 이름
    5. IP 주소: 에이전트가 설치되어 있는 시스템의 IP 주소
    6. 암호화 사용: 에이전트의 설정과 동일하게 지정
참고: 바로 전 단계에서 WEF 옵션을 선택하지 않은 경우에는 다음 단계를 생략해도 됩니다.

이벤트 소스별로 데이터 소스를 유지해야 하는 경우에는 에이전트가 설치되어 있으며 해당 서버에 이벤트를 전달하는 Windows 시스템 각각에 데이터 소스를 만들어야 합니다.
  1. 공급업체: Microsoft
  2. 모델: WMI 이벤트 로그
  3. 데이터 검색: MEF
  4. 이름: DS 이름
  5. IP 주소: IP를 사용하지 않음
  6. 호스트 ID: 로그를 전달하는 Windows 시스템의 호스트 이름을 사용합니다. 이렇게 설정하는 이유는 이벤트 소스 시스템의 IP 주소는 전달되는 이벤트에 포함되지 않기 때문입니다. 이벤트에는 호스트 이름만 포함됩니다.
  7. 암호화 사용: 에이전트의 설정과 동일하게 지정

고지 사항

이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.

이 문서 등급 평가