사용 매뉴얼
개요
대상 사용자: BeyondTrust BeyondInsight을 운영하며 EPM(엔드포인트 권한 관리)·애플리케이션 감사 로그를 로그프레소 소나에서 조회·분석하려는 보안 담당자.
이 앱은 BeyondInsight Event Forwarder가 전송한 이벤트를 수집해, 아래 업무를 지원합니다.
- EPM 권한 상승·룰 적용 이벤트 조회
- BeyondInsight 웹 콘솔의 애플리케이션 감사(로그인·객체 작업) 추적
- 로그 유형별 위험도(
risk) 기준 이벤트 선별
기본 개념·용어
| 용어 | 의미 | 관련 리소스 |
|---|---|---|
| 로그유형 | 로그를 분류하는 값. EPM, APPAUDIT, TEST, UNKNOWN 중 하나 | 로그 스키마 |
| 위험도 | 이벤트 심각도를 LOW, MEDIUM, HIGH로 정규화한 값 | 로그 스키마 |
| 가변필드(msg) | 고정 필드 외 항목이 저장됨. 로그 유형별 가변 필드를 담는 맵(Key-Value) 타입 필드. | 로그 스키마 |
주요 화면·메뉴 경로
| 기능 | 경로 |
|---|---|
| 앱 관리 | 앱 |
| 쿼리 실행 | 분석 > 쿼리 |
| 로그 스키마 | 수집 > 로그 스키마 |
| 수집기 | 수집 > 수집기 |
작업 시나리오
시나리오 1: EPM 권한 관리 이벤트 조회
목적: BeyondTrust EPM이 적용한 권한 상승·룰 적용 이벤트를 확인해, 엔드포인트에서 어떤 권한 정책이 동작했는지 파악합니다.
사전 조건:
- BeyondTrust EPM 수집기가 동작 중이며
EPM_BEYONDTRUST테이블에 로그가 적재되어 있어야 합니다. (설치 매뉴얼 참고)
수행 절차:
- 분석 > 쿼리로 이동합니다.
- 아래 쿼리를 실행합니다.
table EPM_BEYONDTRUST
| search log_type == "EPM"
| fields _time, user, category, event_description, risk
결과 확인:
아래와 같이 EPM 이벤트가 조회됩니다.
| _time | user | category | event_description | risk |
|---|---|---|---|---|
| 2026-06-29 16:07:47 | test_user | EPM for Windows | Custom Rule Applied | LOW |
event_description으로 적용된 룰·동작을,risk로 심각도를 확인합니다.
실패 대응:
| 증상 | 원인 | 해결 |
|---|---|---|
| 결과 0건 | 수집 미동작 또는 테이블명 오류 | 설치 매뉴얼의 수집 설정·테이블명 재확인 |
시나리오 2: 애플리케이션 감사(관리자 활동) 추적
목적: BeyondInsight 웹 콘솔에서 발생한 로그인·객체 작업 등 관리자 활동을 추적해, 누가 언제 어떤 작업을 했는지 확인합니다.
사전 조건:
EPM_BEYONDTRUST테이블에APPAUDIT유형 로그가 적재되어 있어야 합니다.
수행 절차:
- 분석 > 쿼리로 이동합니다.
- 아래 쿼리를 실행합니다.
결과 확인:
아래와 같이 감사 이벤트가 조회됩니다.
| _time | user | event_name | src_ip |
|---|---|---|---|
| 2026-06-29 10:29:00 | test_user | Login | 192.0.2.1 |
event_name으로 수행된 작업(Login 등)을,src_ip로 접속 출발지를 확인합니다.
실패 대응:
| 증상 | 원인 | 해결 |
|---|---|---|
| 결과 0건 | 감사 로그 미전송 | BeyondInsight Event Forwarder 전송 설정 확인 |
주의사항
- UNKNOWN 로그: 알려진 유형(EPM·APPAUDIT·TEST)으로 분류되지 않은 로그입니다. 신규 에이전트 유형이 유입되면 여기에 적재되므로 주기적으로 확인합니다.
- 가변 필드: 고정 필드 외 항목은
msg(맵)에 저장됩니다. 특정 가변 필드로 조회하려면msg.{필드명}형태로 참조합니다.