Splunk Integration (SIEM)

본 문서는 Xint의 감사 로그(Audit Log)를 Splunk와 연동하는 방법을 안내합니다.

메뉴 이동: [설정] -> [SIEM] 메뉴로 이동합니다.
통합 시작: Splunk 항목의 [연동 추가] 버튼을 클릭하여 설정 화면으로 진입합니다.
정보 입력: Splunk에서 생성한 HEC 정보를 입력합니다.
- HEC URL: 로그를 수신할 전체 URL을 입력합니다. (예: https://<splunk-host>:8088/services/collector/event)
- HEC Token: Splunk에서 발급받은 인증 토큰을 입력합니다.
- Index: 로그가 저장될 Splunk 인덱스 명을 입력합니다.
HEC URL 입력 시 프로토콜(https://)과 엔드포인트 경로(/services/collector/event)를 모두 포함해야 합니다.
연결 테스트: [연결 테스트] 버튼을 클릭하여 입력한 정보로 로그가 정상적으로 발송되는지 확인합니다.

테스트 수행 시 실제 테스트 로그가 Splunk로 전송되며, 성공 시 ‘연결됨’ 상태로 변경됩니다.
연동 완료: 테스트 완료 후 [연동 추가]를 클릭하면 설정이 저장됩니다. 설정이 활성화된 시점부터 발생하는 감사 로그가 Splunk로 실시간 전달됩니다.

Splunk로 전송되는 이벤트 명세는 감사 로그 - 이벤트 명세 항목을 참고해 주세요.