상태 로그 분석에서 데이터 입력 구성 수정

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 기존 데이터 입력 구성에 새 경로를 추가하거나 데이터 입력 MID 서버 의 대상 및 포트를 수정하여 데이터 입력 상태 로그 분석 의 구성을 변경합니다.

    시작하기 전에

    필요한 역할: evt_mgmt_admin

    프로시저

    1. 다음으로 이동 모두 > 상태 로그 분석 > 데이터 입력 > 데이터 입력.
    2. 데이터 입력 테이블에서 기록을 엽니다.
    3. 데이터 입력 구성을 수정합니다.
      설명
      이름 데이터 입력의 이름입니다.
      설명 데이터 입력에 대한 설명입니다.
      포트
      MID 서버의 포트입니다.
      주:
      다른 프로세스에서 포트를 차지할 수 없습니다. 조직의 보안 팀이 선택한 포트를 여는지 확인합니다.
      MID 로그가 스트리밍되는 대상 MID 서버 입니다.
      주:
      • 기본 인증을 지원하는 로그 수집 기능이 있는 MID 서버만 선택할 수 있습니다. mTLS를 지원하는 MID 서버는 목록에 표시되지 않습니다.
      • 단일 MID 서버에 로그를 스트리밍하는 최대 데이터 입력 수의 기본값은 10입니다. MID 서버 속성에서 이 수를 수정할 수 있습니다.
      표 1. 설정
      설명
      경로 로그가 스트리밍되는 전체 경로입니다. 와일드카드를 사용할 수 있습니다.
      주:
      이 열은 Winlogbeat을 사용하는 시스템에서는 Windows 사용할 수 없습니다.
      서비스 인스턴스 로그 데이터를 바인딩할 서비스 인스턴스입니다.
      주:
      관련 서비스 인스턴스가 없는 경우 만들기 서비스 인스턴스 CI를 추가합니다. 새 서비스 인스턴스의 상태를 운영으로 설정하십시오.
      구성요소 이상 탐지 및 상관 관계에 사용되는 로그에 대한 컨텍스트로 사용되는 장치 유형 또는 스택 계층입니다. 예: Tomcat

      구성요소는 일반적으로 CMDB의 CI를 나타냅니다. 종종 여러 구성요소가 단일 서비스 인스턴스에 함께 클러스터됩니다.
      소스 유형 특정 애플리케이션을 처리하고 로그 데이터를 구문 분석하는 방법을 상태 로그 분석 정의하는 소스 유형입니다. 예: Tomcat Catalina.

      로그 형식의 다양성에 따라 각 데이터 입력에 여러 소스 유형이 있을 수 있습니다. 서비스 인스턴스 및 구성요소는 소스 유형을 개수에 제한 없이 가질 수 있습니다.
      Filebeat만 사용하는 / Windows 시스템에서 여러 줄 메시지를 Linux 처리하는 경우:
      일치 Filebeat가 일치하는 라인을 이벤트에 결합하는 방법을 다음 또는이전에 지정합니다.
      부정 로그 줄에서 식별된 패턴을 부정할지 여부를 정의하는 부울입니다. 기본값은 false입니다.
      정규 표현식 일치할 정규 표현식입니다.
      주:
      Rsyslog 구성 파일을 수정하여 애플리케이션 로그 외에 에이전트 전송 시스템 로그를 만들 수 있습니다. 자세한 내용은 Now Support 지식베이스의 Rsyslog [KB0954507]를 사용한 시스템 로그 배송 문서를 참조하십시오.
    4. 업데이트를 선택합니다.
    5. OR Beats 에이전트만 사용하는 Rsyslog 데이터 입력의 경우 서버 측 구성 파일을 다시 작성하여 엔드포인트 장치에 설치합니다.
      1. 구성 파일 다시 빌드를 선택합니다.

        상태 로그 분석 가 파일을 재구성하여 첨부 파일 관리 섹션에 저장합니다. 사용된 에이전트에 따라 재구성된 파일은 rsyslog.yml, filebeat.yml 또는 winlogbeat.yml로 저장됩니다.

        시스템은 파일이 재구성된 날짜 및 시간을 서픽스로 추가하여 이전 구성 파일의 이름을 파일 이름에 자동으로 바꿉니다.

      2. 엔드포인트에 데이터 입력 유형에 따라 재구성된 구성 파일을 설치합니다.
        데이터 입력 유형 작업
        Rsyslog
        1. 파일을 다운로드하여 엔드포인트 장치의 /etc/rsyslog.d/rsyslog.conf 디렉터리에 설치합니다.
        2. rsyslogd -N1 명령을 실행하여 구성을 확인합니다.
        3. 출력을 검증합니다. 오류가 포함되어 있는 경우 /var/log/messages 시스템 로그 파일에서 오류 메시지를 확인하고 오류를 수정합니다.
        4. sudo systemctl restart rsyslog 명령을 실행하여 다시 시작합니다Rsyslog.
        Linux
        1. 파일을 다운로드하여 엔드포인트 장치의 /etc/filebeat/ 디렉터리에 설치합니다.
        2. sudo service filebeat restart 명령을 실행하여 에이전트 서비스를 다시 시작합니다.
        주:
        생성된 구성은 변경된 지 6시간을 초과한 파일을 무시합니다. 필요한 경우 구성에서 이 설정을 변경할 수 있습니다.
        Windows(Filebeat 또는 Winlogbeat)를 사용합니다.Beats
        1. 파일을 다운로드하여 엔드포인트 장치의 C:\Program Files\ 디렉터리에 설치합니다.
        2. PowerShell에서 적절한 명령을 실행하여 에이전트 서비스를 다시 시작합니다.
          • Filebeat: PS > Restart-Service filebeat
          • Winlogbeat: PS > Restart-Service winlogbeat
        주:
        생성된 구성은 변경된 지 6시간을 초과한 파일을 무시합니다. 필요한 경우 구성에서 이 설정을 변경할 수 있습니다.