SMB Tail 프로토콜 구성 옵션

SMB Tail 프로토콜을 사용하도록 로그 소스를 구성할 수 있습니다. 이 프로토콜을 사용하여 원격 Samba 공유에서 이벤트를 감시하고 이벤트 로그에 새 라인이 추가될 때 Samba 공유에서 이벤트를 수신하십시오.

SMB Tail 프로토콜은 활성 아웃바운드 프로토콜입니다.
참고: SMB 트레일 및 종속 프로토콜 설치에 대한 자세한 내용은 SMB 테일 및 종속 프로토콜 설치를 참조하세요.
다음 표에는 SMB Tail 프로토콜의 프로토콜 특정 매개변수가 설명되어 있습니다.
표 1. SMB Tail 프로토콜 매개변수
매개변수 설명
프로토콜 구성 SMB Tail
로그 소스 ID IP 주소, 호스트 이름 또는 고유 이름을 입력하여 로그 소스를 식별하십시오.
서버 주소 SMB Tail 서버의 IP 주소 또는 호스트 이름입니다.
도메인

SMB Tail 서버의 도메인을 입력하십시오.

서버가 도메인에 있지 않은 경우 이 매개변수는 선택사항입니다.
username 서버에 액세스하는 데 필요한 사용자 이름을 입력하십시오.
비밀번호 서버에 액세스하는 데 필요한 비밀번호를 입력하십시오.
비밀번호 확인 서버에 액세스하는 데 필요한 비밀번호를 확인하십시오.
로그 폴더 경로 로그 파일에 액세스하는 데 필요한 디렉토리 경로입니다. 예를 들어, 관리자는 c$/LogFiles/ 디렉토리(관리 공유의 경우) 또는 LogFiles/ 디렉토리(공용 공유 폴더 경로의 경우)를 사용할 수 있습니다. 하지만 c:/LogFiles 디렉토리는 지원되는 로그 폴더 경로가 아닙니다.

로그 폴더 경로에 관리 공유(C$)가 들어 있는 경우 관리 공유(C$)에 대한 NetBIOS 액세스 권한이 있는 사용자는 로그 파일을 읽는 데 필요한 권한을 가집니다.

로컬 시스템 또는 도메인 관리자 권한으로도 관리 공유에 있는 모든 로그 파일에 충분히 액세스할 수 있습니다.
파일 패턴 이벤트 로그를 식별하는 정규식(regex)입니다.
SMB 버전

사용할 서버 메시지 블록(SMB)의 버전을 선택하십시오.

AUTO로 설정된 경우
클라이언트 및 서버가 사용에 동의하는 가장 높은 버전으로 자동 감지합니다.
SMB1
SMB1을 강제로 사용하게 합니다. SMB1 은 jCIFS.jar (Java™ ARchive) 파일을 사용합니다.
중요: SMB1 은 더 이상 지원되지 않습니다. 모든 관리자는 SMB2 또는 SMB3을 사용하도록 기존 구성을 업데이트해야 합니다.
SMB2
SMB2를 강제로 사용하게 합니다. SMB2 는 jNQ.jar 파일을 사용합니다.
SMB3
SMB3을 강제로 사용하게 합니다. SMB3은 jNQ.jar 파일을 사용합니다.
참고: 특정 SMB 버전 (예: SMBv1, SMBv2및 SMBv3) 으로 로그 소스를 작성하기 전에 지정된 SMB 버전이 서버에서 실행 중인 Windows OS에서 지원되는지 확인하십시오. 또한 SMB 버전이 지정된 Windows Server에서 사용 가능한지 확인해야 합니다.

어떤 Windows 버전이 어떤 SMB 버전을 지원하는지에 대한 자세한 내용은 Microsoft TechNet 웹 사이트 ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ )를 참조하세요.

Windows 및 Windows Server에서 SMBv1, SMBv2, SMBv3 을 감지, 사용 및 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Microsoft 지원 웹 사이트 ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server )를 참조하세요.
파일 읽기 강제 실행 선택란을 선택 취소하면 QRadar 가 수정된 시간 또는 파일 크기의 변경을 발견할 때만 로그 파일을 읽습니다.
반복적 파일 패턴이 하위 폴더를 검색하게 하려면 이 옵션을 사용하십시오. (기본적으로 선택란이 선택됩니다.)
폴링 간격(초) 새 데이터를 확인하기 위해 로그 파일을 조회하는 간격(초)인 폴링 간격을 입력하십시오. 기본값은 10초입니다.
초당 이벤트 수 제한 초당 SMB Tail 프로토콜이 전달하는 최대 이벤트 수입니다.
파일 인코딩 로그 파일에서 이벤트가 사용하는 문자 인코딩입니다.
파일 제외 목록 특정 파일 디렉토리가 열리지 않도록 하는 정규식 목록입니다. 목록에는 행당 하나의 정규식이 포함되어 있습니다.

파일 또는 디렉토리가 정규식 중 하나와 일치하면 해당 파일 또는 디렉토리가 열리지 않습니다. 파일이 사용 중이면 다른 애플리케이션이 파일을 사용하지 못할 수도 있습니다. 이 매개변수를 사용하여 해당 파일의 잠금을 방지하거나 프로토콜이 특정 파일에 액세스하지 못하게 하십시오.

패턴은 전체 로그 폴더 경로에 적용되지 않습니다. 경로에 나열된 최종 디렉토리에만 적용됩니다. 이 패턴은 로그 폴더 경로의 디렉토리에 있는 모든 파일 또는 디렉토리에 적용됩니다.

다음 목록은 이 필드에 입력할 수 있는 예제입니다.

/j50.*\.log

dhcp\.mdb

dhcp\.tmp