지니언스 기술 블로그

Genian NAC와 Splunk연동하기 - Genians

Written by Genians | Aug 24, 2014 6:00:00 AM
 

요즘 여러모로 빅데이터가 이슈가 되고 있죠. Genian NAC도 내부망을 관리하는 제품이다 보니 다양한 내부단말들의 정보들이 저장되고 있습니다.
제품 자체적으로도 다양한 검색/필터/연동/통계기능등이 제공되지만 모든 관리자분들의 입맛에 맞지는 않죠.

최근에 이같은 문제에 대해서 좋은 방향을 제시해주고 있는 제품이 있는데 바로 Splunk라는 제품입니다.
IT환경에서 발생되는 다양한 데이터를 수집하여 관리자가 원하는 형태로 보여주는 제품인데 자세한 내용은 홈페이지(http://www.splunk.com)를 참고하시기 바랍니다.

GenianNAC를 Splunk와 연동하여 사용하고자 할때는 간단한 설정만으로 syslog연동을 통하여 사용하실 수 있습니다.

전체 감사기록에 대한 필터를 하나 만드신뒤 위에 보시는것과 같이 syslog 메시지 포멧을 정해주시면 됩니다.
Splunk에서 보다 쉽게 필드정의를 할 수 있도록 각 항목에 Key를 넣어주었습니다.

Splunk에서는 NAC에서 송신하는 syslog메시지를 받을수 있도록 데이터입력 설정을 아래와같이 해주시면 됩니다.


그러면 Splunk에 NAC의 감사기록들이 저장되기 시작합니다.
이제 관리자는 원하는 대로 Splunk를 이용하여 데이터를 얻으실 수 있습니다.
다만, Splunk가 일반인(?)이 사용하기에 쉬운 도구는 아닙니다.
때문에 약간의 기술적인 노력이 필요합니다.

요건 간단하게 만들어본 NAC 데쉬보드 예제입니다.

Splunk는 무료버전도 있으므로 구매전에 테스트해볼 수 있고 현재 국내에서 관련된 기술지원을 제공하는 업체가 있으니 해당업체의 도움을 받으셔도 됩니다.