- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
Supported OS
OSSEC - 내부 감사
OSSEC - 방화벽
OSSEC - 개요
OSSEC - PAM
OSSEC - SSHD
OSSEC - Syslog
OSSEC - 웹
OSSEC - Windows
OSSEC은 오픈 소스 호스트 기반 침입 탐지 시스템입니다. 로그 분석, 무결성 검사, Windows 레지스트리 모니터링, 루트킷 탐지, 실시간 알림 및 능동적 대응을 수행합니다. 다양한 IT 인프라에서 보안 이벤트를 모니터링 및 관리하는 데 도움이 됩니다.
이 통합은 다음 유형의 로그를 수집합니다.
즉시 사용 가능한 대시보드를 통해 이와 같은 로그에 관한 인사이트를 자세히 시각화하세요.
OSSEC Security 통합을 설치하려면 다음 Agent 설치 명령을 실행하고 아래 단계를 따르세요. 자세한 내용은 통합 관리 설명서를 참조하세요.
참고: Agent 버전 >= 7.57.0에서는 이 단계가 필요하지 않습니다.
Linux 명령
sudo -u dd-agent -- datadog-agent integration install datadog-ossec_security==1.0.0
로그 수집은 기본적으로 Datadog 에이전트에서 비활성화되어 있습니다. datadog.yaml
에서 활성화하세요.
logs_enabled: true
이 구성 블록을 ossec_security.d/conf.yaml
파일에 추가하여 로그 수집을 시작하세요.
UDP 방법을 사용하여 OSSEC 알림 데이터를 수집합니다. 사용 가능한 구성 옵션은 샘플 ossec_security.d/conf.yaml을 참조하세요.
logs:
- type: udp
port: <PORT>
source: ossec-security
service: ossec-security
참고: 서비스 및 소스 값은 파이프라인의 작동에 필수적인 파라미터이기 때문에 변경하지 않는 것이 좋습니다.
/var/ossec/etc/ossec.conf
에 다음 구성을 추가합니다.
이 예에서는 모든 알림이 포트 8080의 1.1.1.1로 JSON 형식으로 전송됩니다.
<syslog_output>
<server>1.1.1.1</server>
<port>8080</port>
<format>json</format>
</syslog_output>
server
태그에는 Datadog Agent가 실행되고 있는 IP 주소가 포함되어야 합니다.
port
태그에는 Datadog Agent 수신 중인 포트가 포함되어야 합니다.
참고: OSSEC Security 파이프라인은 JSON 형식의 로그만 파싱하므로 JSON 형식을 사용해야 합니다.
client-syslog 프로세스를 활성화합니다.
/var/ossec/bin/ossec-control enable client-syslog
OSSEC 서비스를 다시 시작합니다.
/var/ossec/bin/ossec-control restart
OSSEC 서버는 기본적으로 방화벽 알림 로그를 전달하지 않습니다. OSSEC 서버를 통해 방화벽 알림 로그를 전달하려면 아래 단계를 따르세요.
/var/ossec/rules/firewall_rules.xml
에서 firewall_rules.xml
파일을 찾습니다.
firewall_rules.xml
을 편집하여 파일에서 아래 줄의 모든 항목을 제거합니다.
<options>no_log</options>
/var/ossec/bin/ossec-control restart
Datadog 는 기본적으로 모든 로그가 UTC 표준 시간대에 있을 것으로 예상합니다. OSSEC 로그의 표준 시간대가 UTC가 아닌 경우, OSSEC Security Datadog 파이프라인에서 올바른 표준 시간대를 지정하세요.
OSSEC Security 파이프라인에서 표준 시간대를 변경하는 방법:
Datadog 앱에서 Pipelines 페이지로 이동합니다.
Filter Pipelines 검색창에 “OSSEC Security"을 입력합니다.
OSSEC Security 파이프라인로 마우스를 가져가 Clone 버튼을 클릭합니다. 그러면 OSSEC Security 파이프라인의 편집 가능한 복제본이 생성됩니다.
다음 단계에 따라 Grok 파서를 편집합니다.
Edit
버튼을 클릭합니다.UTC
문자열을 OSSEC 서버의 표준 시간대의 TZ 식별자로 변경합니다. 예를 들어, 시간대가 IST인 경우 값을Asia/Calcutta
로 변경합니다.Agent 상태 하위 명령을 실행하고 확인 섹션에서 ossec_security
를 찾습니다.
형식 | 이벤트 유형 |
---|---|
JSON | syslog, sshd, pam, ossec, windows, firewall, ftpd, web_access |
OSSEC Security 통합에는 메트릭이 포함되어 있지 않습니다.
OSSEC Security 통합에는 이벤트가 포함되지 않습니다.
OSSEC Security 통합에는 서비스 검사가 포함되어 있지 않습니다.
포트 바인딩 중 권한 거부됨
포트 바인딩 중 Agent 로그에 Permission denied 오류가 표시되는 경우,
1024 아래 포트 넘버에 바인딩하려면 상위 권한이 필요합니다. setcap
명령을 사용하여 포트에 대한 액세스 권한을 부여합니다.
sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
getcap
명령을 실행하여 설정이 올바른지 확인합니다.
sudo getcap /opt/datadog-agent/bin/agent/agent
예상 결과:
/opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
참고: Agent를 업그레이드할 때마다 이 setcap
명령을 다시 실행합니다.
데이터가 수집되지 않음:
방화벽이 활성화된 경우 구성된 포트에서 트래픽이 우회되는지 확인하세요.
이미 사용 중인 포트:
Port <PORT_NUMBER> Already in Use 오류가 표시되면 다음 안내를 참조하세요. 아래는 포트 514에 대한 예시입니다.
Syslog를 사용하는 시스템에서 Agent 포트 514에서 OSSEC 로그를 수신하는 경우 Agent 로그에 Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use
오류가 나타날 수 있습니다. 이 오류는 기본적으로 Syslog가 포트 514에서 수신 대기하기 때문에 발생합니다. 이 오류를 해결하려면 다음 단계 중 하나를 수행하세요 .
추가 도움이 필요하면 Datadog 지원팀에 문의하세요.