JDBC 프로토콜 구성 옵션
QRadar 는 JDBC 프로토콜을 사용하여 여러 데이터베이스 유형의 이벤트 데이터를 포함하는 테이블 또는 보기에서 정보를 수집합니다.
JDBC 프로토콜은 아웃바운드/활성 프로토콜입니다. QRadar 에는 JDBC용 MySQL 드라이버가 포함되어 있지 않습니다. MySQL JDBC 드라이버가 필요한 DSM 또는 프로토콜을 사용하는 경우 http://dev.mysql.com/downloads/connector/j/에서 플랫폼 독립적 MySQL Connector/J 을 다운로드하여 설치해야 합니다.
- JAR (Java™ Archive) 파일을 /opt/qradar/jars 및 /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/에 복사하십시오.
- 다음 명령을 입력하여 Tomcat 서비스를 다시 시작하십시오.
systemctl restart tomcat - 다음 명령을 입력하여 이벤트 콜렉션 서비스를 다시 시작하십시오.
systemctl restart ecs-ec-ingress
| 매개변수 | 설명 |
|---|---|
| 로그 소스 이름 | 로그 소스의 고유 이름을 입력하십시오. |
| 로그 소스 설명 (선택사항) | 로그 소스에 대한 설명을 입력하십시오. |
| 로그 소스 유형 | 로그 소스 유형 목록에서 JDBC 프로토콜을 사용하는 디바이스 지원 모듈(DSM)을 선택하십시오. |
| 프로토콜 구성 | JDBC |
| 로그 소스 ID | 로그 소스의 이름을 입력하십시오. 이 이름은 공백을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스에서 고유해야 합니다. 로그 소스가 정적 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하는 경우 로그 소스 ID 값의 전부 또는 일부로 어플라이언스의 IP 주소 또는 호스트 이름을 사용하십시오 (예: 192.168.1.1 또는 JDBC192.168.1.1). 로그 소스가 정적 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하지 않는 경우 로그 소스 ID 값에 임의의 고유 이름을 사용할 수 있습니다 (예: JDBC1, JDBC2). |
| 데이터베이스 유형 | 이벤트가 들어 있는 데이터베이스의 유형을 선택하십시오. |
| 데이터베이스 이름 | 연결할 데이터베이스의 이름입니다. |
| 스키마( Snowflake 전용) | 이 매개변수는 지정된 데이터베이스 사후 연결에 사용할 기본 스키마 또는 빈 문자열을 지정합니다. 지정된 스키마는 지정된 기본 역할에 권한이 있는 기존 스키마여야 합니다. |
| IP 또는 호스트 이름 | 데이터베이스 서버의 IP 주소 또는 호스트 이름입니다. |
| 창고( Snowflake 전용) | 이 매개변수는 사후 연결을 사용할 가상 웨어하우스 또는 비어 있는 문자열을 지정합니다. 지정된 웨어하우스는 지정된 기본 역할에 특권이 있는 기존 웨어하우스여야 합니다. |
| 역할( Snowflake 전용) | 이 매개 변수는 드라이버에 의해 시작된 Snowflake 세션에서 사용할 기본 액세스 제어 역할을 지정합니다. 지정된 역할은 드라이버에 대해 지정된 사용자에게 이미 지정된 기존 역할이어야 합니다. 지정된 역할이 사용자에게 지정되지 않으면 드라이버가 세션 시작 중에 역할을 사용하지 않습니다. |
| 포트 | JDBC 포트를 입력하십시오. JDBC 포트는 원격 데이터베이스에서 구성된 리스너 포트와 일치해야 합니다. 데이터베이스에서는 수신 TCP 연결을 허용해야 합니다. 유효한 범위는 1 - 65535입니다. 기본값은 다음과 같습니다.
데이터베이스 인스턴스 매개변수를 구성하고 MSDE 데이터베이스 유형이 있는 경우 포트 매개변수를 공백으로 두십시오. |
| username | 데이터베이스의 QRadar 에 대한 사용자 계정입니다. |
| 키 쌍 인증( Snowflake 전용) | 사용자 아이디와 비밀번호와 같은 기본 인증 대신 키 쌍 인증을 사용하여 인증을 강화할 수 있습니다. 이 옵션을 활성화하면 비밀번호 필드가 숨겨집니다. 참고: Snowflake 서버는 매우 정밀한 원자시계 동기화 시간을 사용하여 QRadar 서버와 Snowflake 서버가 모두 동일한 시간대와 밀접하게 동기화된 타임스탬프(~30)로 구성되도록 합니다.
|
| 개인 키 파일 이름 ( Snowflake 전용) | QRadar 의 /opt/qradar/conf/trusted_certificates/jdbc/ 디렉터리에 있는 개인 키 파일 이름입니다. 개인 키 파일을 생성하려면 QRadar 와 통신하도록 JDBC 구성하기를 참조하세요. |
| 비밀번호 | 데이터베이스에 연결하는 데 필요한 비밀번호입니다. |
| 비밀번호 확인 | 데이터베이스에 연결하는 데 필요한 비밀번호입니다. |
| 인증 도메인(MSDE 전용) | Microsoft JDBC을 사용 안함으로 설정하면 인증 도메인 매개변수가 표시됩니다. Windows 도메인인 MSDE의 도메인입니다. 네트워크에서 도메인을 사용하지 않는 경우 이 필드를 공백으로 두십시오. |
| 데이터베이스 인스턴스 (MSDE 또는 Informix 전용) | 데이터베이스 인스턴스입니다(필요한 경우). MSDE 데이터베이스는 하나의 서버에 여러 SQL Server 인스턴스를 포함할 수 있습니다. SQL 데이터베이스 분석을 위해 기본값과 다른 포트 번호를 사용하는 경우 이 매개변수를 공백으로 두십시오. |
| 사전정의된 조회(선택사항) | 로그 소스에 대해 사전정의된 데이터베이스 조회를 선택하십시오. 로그 소스 유형에 대해 사전 정의된 조회를 사용할 수 없는 경우 없음 옵션을 선택할 수 있습니다. 특정 통합에 대한 구성 안내서에서 사전 정의된 조회를 사용하도록 명시하는 경우 목록에서 이를 선택하십시오. 그렇지 않으면 없음 을 선택하고 나머지 필수 값을 채우십시오. |
| 테이블 이름 | 이벤트 레코드를 포함하는 테이블 또는 보기의 이름입니다. 테이블 이름은 특수 문자인 달러 부호($), 숫자 부호(#), 밑줄(_), 엔 대시(-) 및 마침표(.)를 포함할 수 있습니다. |
| 선택 목록 | 이벤트에 대해 테이블을 폴링할 때 포함할 필드 목록입니다. 쉼표로 구분된 목록을 사용하거나 별표(*)를 입력하여 테이블 또는 보기에서 모든 필드를 선택할 수 있습니다. 쉼표로 구분된 목록을 정의한 경우, 목록에는 비교 필드 매개변수에 정의된 필드가 포함되어야 합니다. |
| 비교 필드 | 조회 사이에 테이블에 추가되는 새 이벤트를 식별하는 테이블 또는 보기의 숫자 값 또는 시간소인 필드입니다. 이 매개변수 값을 설정하면 프로토콜은 이전에 프로토콜에서 가져온 이벤트를 식별하여 중복 이벤트가 작성되지 않도록 합니다. |
| 준비된 명령문 사용 | 준비된 명령문을 사용하면 JDBC 프로토콜 소스가 SQL문을 설정한 후 서로 다른 매개변수를 사용하여 해당 SQL문을 여러 번 실행할 수 있습니다. 보안 및 성능을 위해 대부분의 JDBC 프로토콜 구성에서는 준비된 명령문을 사용할 수 있습니다. |
| 시작 날짜 및 시간 (선택사항) | 데이터베이스 폴링의 시작 날짜 및 시간을 선택하거나 입력하십시오. 형식은 yyyy-mm-dd HH:mm입니다. 여기서 HH는 24시간시계를 사용하여 지정됩니다. 이 매개변수가 비어 있으면 폴링이 즉시 시작되고 지정된 폴링 간격으로 반복됩니다. 이 매개변수는 프로토콜이 이벤트 콜렉션을 초기화하기 위해 대상 데이터베이스에 연결하는 시간 및 날짜를 설정하는 데 사용됩니다. 폴링 간격 매개변수와 함께 사용하여 데이터베이스 폴링에 대한 특정 스케줄을 구성할 수 있습니다. 예를 들어, 이러한 매개변수를 사용하여 폴링이 매시 5분간격으로 발생하는지 확인하거나 폴링이 매일 정확히 오전 1시에 발생하는지 확인하십시오. 이 매개변수는 대상 데이터베이스에서 이전 테이블 행을 검색하는 데 사용할 수 없습니다. 예를 들어, 매개변수를 지난 주로 설정하면 프로토콜이 이전 주의 모든 테이블 행을 검색하지 않습니다. 프로토콜은 초기 연결에서 비교 필드 의 최대값보다 최신인 행을 검색합니다. |
| 폴링 간격 | 이벤트 테이블을 조회하는 간격을 입력하십시오. 더 긴 폴링 간격을 정의하려면 H(시간) 또는 M(분)을 숫자 값에 추가하십시오. 최대 폴링 간격은 1주입니다. |
| EPS 제한 | QRadar 가 수집하는 초당 최대 이벤트 수입니다. 데이터 소스가 EPS 제한을 초과하면 데이터 콜렉션이 지연됩니다. 데이터는 여전히 수집된 후 데이터 소스가 EPS 제한을 초과하는 것을 중지할 때 수집됩니다. 유효한 범위는 100-20 ,000입니다. |
| 보안 메커니즘 (Db2 전용) | 목록에서 Db2 서버가 지원하는 보안 메커니즘을 선택하십시오. 보안 메커니즘을 선택하지 않으려면 없음을 선택하십시오. 기본값은 없음입니다. Db2 환경에서 지원되는 보안 메커니즘에 대한 자세한 내용은 IBM® 지원 웹사이트 ( https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html )를 참조하세요 |
| 이름지정된 파이프 통신 사용(MSDE 전용) | Microsoft JDBC을 사용 안함으로 설정하면 이름지정된 파이프 통신 사용 매개변수가 표시됩니다. MSDE 데이터베이스에는 데이터베이스 사용자 이름 및 암호가 아닌 Windows 인증 사용자 이름 및 암호를 사용하기 위한 사용자 이름 및 암호 필드가 필요합니다. 로그 소스 구성은 MSDE 데이터베이스에서 이름 지정된 파이프인 기본값을 사용해야 합니다. |
| 데이터베이스 클러스터 이름 | 클러스터 환경에서 SQL Server를 실행하는 경우 이름지정된 파이프 통신이 제대로 작동하도록 클러스터 이름을 정의하십시오. 이 매개변수는 이름지정된 파이프 통신 사용 을 사용하고 MSDE 데이터베이스 유형 옵션을 선택하는 경우에 필요합니다. |
| NTLMv2 사용(MSDE 전용) | Microsoft JDBC을 사용 안함으로 설정하면 NTLMv2 매개변수가 표시됩니다. NTLMv2 인증이 필요한 SQL Server와 통신할 때 MSDE 연결에서 NTLMv2 프로토콜을 사용하려면 이 옵션을 선택하십시오. 이 옵션은 NTLMv2 인증이 필요하지 않은 MSDE 연결에 대한 통신은 인터럽트하지 않습니다. NTLMv2 인증이 필요하지 않은 MSDE 연결에 대한 통신은 인터럽트하지 않습니다. |
| Microsoft JDBC 사용(MSDE 전용) | Microsoft JDBC 드라이버를 사용하려면 Microsoft JDBC을 사용으로 설정해야 합니다. 이 매개변수는 기본적으로 사용하도록 설정됩니다. |
| SSL 사용 (MSDE 전용) | MSDE 연결이 SSL을 지원하는 경우 이 옵션을 사용하십시오. |
| SSL 인증서 호스트 이름 | 이 필드는 Microsoft JDBC 및 SSL 사용 이 모두 사용 가능한 경우에 필요합니다. 이 값은 호스트의 완전한 도메인 이름 (FQDN) 이어야 합니다. IP 주소가 허용되지 않습니다. SSL 인증서 및 JDBC에 대한 자세한 정보는 다음 링크의 프로시저를 참조하십시오.
|
| 신뢰할 수 없는 인증서 허용(MSDE만 해당) | 엔드포인트에서 인증서 체인을 사용하여 확인할 수 없는 인증서를 사용하는 경우 이 옵션을 사용하도록 설정합니다. 여기에는 자체 서명된 인증서 또는 CA 신뢰로 가져오지 않으려는 사설 CA의 인증서가 포함됩니다. 기본값 또는 시스템에서 신뢰하는 스토어에서 인증서가 유효성을 검사하는 공용 CA( SaaS 제품, 공용 클라우드 인프라 등)에서 발급한 인증서가 있는 엔드포인트에는 이 옵션을 사용하지 마세요. 이 옵션을 사용하는 경우 인증서를 PEM 또는 DER로 인코딩된 바이너리로 다운로드하여 .cert 또는 .crt 확장자를 사용하여 /opt/qradar/conf/trusted_certificates/ 위치에 넣어야 합니다. 참고: 이 매개변수를 사용하려면 데이터베이스 유형을 MSDE로 설정 > Microsoft JDBC 사용 (토글) > SSL 사용 (토글)을 선택합니다.
이 옵션은 NTLMv2 에서는 사용할 수 없습니다jtds드라이버는 사용자 지정 TrustManager 구현을 지원하지 않습니다. |
| Oracle 암호화사용 (Oracle 전용) | Oracle 암호화 및 데이터 무결성 설정은 Oracle 고급 보안으로도 알려져 있습니다. 선택된 경우 Oracle JDBC 연결을 사용하려면 서버에서 클라이언트와 유사한 Oracle 데이터 암호화 설정을 지원해야 합니다. |
| 데이터베이스 로케일 (Informix 전용) | 다국어 설치의 경우 설치 프로세스 (또는 소프트웨어) 에 사용할 언어를 지정하십시오. 언어를 선택한 후 코드 세트 매개변수에서 설치에 사용되는 문자 세트를 선택할 수 있습니다. |
| 코드 세트 (Informix 전용) | 코드 세트 매개변수는 다국어 설치를 위해 언어를 선택하고 나면 표시됩니다. 이 필드를 사용하여 사용할 문자 세트를 지정하십시오. |
| 사용 가능 | 로그 소스를 사용하려면 이 선택란을 선택하십시오. (기본적으로 선택란이 선택됩니다.) |
| 신뢰성 | 목록에서 로그 소스의 신뢰성을 선택하십시오. 범위는 0 - 10입니다. 신뢰성은 소스 디바이스의 신뢰성 등급으로 판별되는 이벤트 또는 오펜스의 무결성을 나타냅니다. 여러 소스에서 동일한 이벤트를 보고하는 경우 신뢰성이 증가합니다. 기본값은 5입니다. |
| 대상 이벤트 콜렉터 | 로그 소스의 대상으로 사용할 대상 이벤트 콜렉터를 선택하십시오. |
| 통합 이벤트 | 로그 소스가 이벤트를 통합 (번들) 할 수 있도록 하려면 이벤트 통합 선택란을 선택하십시오. 기본적으로 자동으로 감지된 로그 소스는 QRadar의 시스템 설정에서 이벤트 통합 목록의 값을 상속합니다. 로그 소스를 작성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 겹쳐쓸 수 있습니다. |
| 이벤트 페이로드 저장 | 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 하려면 이벤트 페이로드 저장 선택란을 선택하십시오. 기본적으로 자동으로 감지된 로그 소스는 QRadar의 시스템 설정에서 이벤트 페이로드 저장 목록의 값을 상속합니다. 로그 소스를 작성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 겹쳐쓸 수 있습니다. |
| 고급 옵션 사용 | 고급 옵션을 사용하려면 이 선택란을 선택하십시오. 사용 안함으로 설정하면 기본값이 사용됩니다. |
| SQL문에서 사용 (잠금 없음) | 모든 SQL문에서 "WITH (NOLOCK)" 을 사용하여 테이블을 추가하려면 이 옵션을 사용하십시오. |
| 데이터베이스 인스턴스 (MSDE 또는 Informix 전용) | 필요한 경우 QRadar 에 대한 데이터베이스 인스턴스 매개변수입니다. MSDE 데이터베이스는 하나의 서버에 여러 SQL Server 인스턴스를 포함할 수 있습니다. SQL 데이터베이스 분석을 위해 기본값과 다른 포트 번호를 사용하는 경우 이 매개변수를 공백으로 두십시오. 참고: 데이터베이스 인스턴스 매개변수는 IPv6 주소를 사용할 때 MSDE 데이터베이스의 경우 필수입니다.
|