수집 문제 해결
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Security Operations에서 데이터 수집 및 정규화 중에 발생할 수 있는 오류를 설명하고 이러한 오류를 해결하는 방법을 설명합니다. 다음 표를 사용하여 수집 실패를 진단하고, 삭제된 로그를 식별하고, 다운스트림 영향을 평가하세요.
이 문서에서는 Google SecOps 전달자, Google SecOps 수집 API, Google SecOps API 피드, 서드 파티 기술 파트너와 같은 수집 방법의 오류를 설명합니다.
소스 및 수집 오류
다음과 같은 경우에 오류가 발생할 수 있습니다.
- 소스 시스템에서 데이터를 가져오는 경우
- Google SecOps 전달자 또는 서드 파티 피드가 외부 API 또는 리소스와 통신하려고 시도하는 경우
| HTTP 상태 코드 | 오류 이유 | 표준 오류 코드 | 오류 메시지 | Error description | 문제 해결 |
|---|---|---|---|---|---|
| 400 | 잘못된 요청 | INVALID_ |
잘못된 요청 매개변수입니다. | 시스템에서 소스에 대한 연결을 설정했지만 잘못된 인수로 인해 피드가 실패했습니다. | 소스 승인, 필수 역할, 모든 필수 필드가 올바르게 작성되었는지 확인합니다. ID, 리전 또는 이름에 잘못된 문자가 있는지 확인하고 폴링 간격과 같은 매개변수가 한도 내에 있는지 확인합니다. 피드 구성을 검토하고 피드 문서를 참고합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. |
| 401 | 승인되지 않음 | LOGIN_ |
인증에 실패했습니다. 사용자 인증 정보를 확인한 후 다시 시도해 주세요. | 시스템에서 연결을 설정했지만 사용자 인증 정보가 잘못되었거나 누락되어 승인이 실패했습니다. | 소스의 사용자 인증 정보를 확인하고 다시 입력하여 올바르고 만료되지 않았는지 확인합니다. |
| 403 | 금지됨 | ACCESS_ |
액세스가 거부되었습니다. 사용자 인증 정보에 이 리소스에 액세스할 권한이 없습니다. | 시스템에서 소스에 대한 연결을 설정했지만 사용자 인증 정보에 리소스에 필요한 권한이 없습니다. | 서비스 또는 인증 계정 또는 API 키에 리소스에 필요한 Identity and Access Management (IAM) 역할 또는 권한이 있는지 확인합니다. 자세한 내용은 피드 구성을 참고하세요. 예를 들어 Azure 포털에서 Azure Event Hub 연결 문자열을 다시 확인합니다. 또는 필요한 권한은 피드 문서를 참고하세요. 권한에 대한 자세한 내용은 소스 유형별 구성을 참고하세요. |
| 404 | URL을 찾을 수 없음 | FILE_ |
엔드포인트를 찾을 수 없습니다. URL 및 리소스 세부정보를 확인합니다. | 시스템에서 특정 파일 또는 엔드포인트를 찾을 수 없습니다. | 다음을 확인하세요.
문제가 계속되면 Google SecOps 지원팀에 문의하세요. |
| 429 | ACCESS_ |
피드가 시간 초과되었습니다. | 소스에서 요청 비율을 제한하고 있습니다. 소스에 접근하려는 시도가 너무 많아 피드가 실패했습니다. | 일반적으로 일시적인 문제입니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |
| 500 | 소스에 대한 연결이 설정되었지만 소스에서 데이터로 응답하지 않았습니다. | 소스를 사용할 수 있고 응답하는지 확인합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| 502 | 피드에 게이트웨이 오류가 발생했습니다. | 일시적인 오류이므로 애플리케이션에서 요청을 다시 시도합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| 503 | 일시적인 연결 문제입니다. | 소스 또는 게이트웨이가 응답하지 못했거나 시간 초과되었습니다. | 소스를 사용할 수 있고 응답하는지 확인합니다. 프로그래매틱 방식으로 API를 호출하는 경우 지터링된 지수 백오프를 사용합니다. | ||
| 504 | Google SecOps에서 소스 IP 주소 및 포트에 연결할 수 없습니다. | 일시적인 오류이므로 애플리케이션에서 요청을 다시 시도합니다. 다음을 확인하세요.
문제가 계속되면 Google SecOps 지원팀에 문의하세요. |
|||
| 일반 사용자 인증 정보 | 사용자 인증 정보의 유효성을 검사할 수 없습니다. 구성 세부정보를 확인합니다. | Google SecOps 콘솔에서 설정된 사용자 인증 정보 집합의 일반 구성 세부정보를 확인합니다. | |||
| CONNECTION_ |
시스템에서 소스에 대한 연결을 설정했지만 피드가 완료되기 전에 연결이 닫혔습니다. | 일시적인 오류이므로 애플리케이션에서 요청을 다시 시도합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| CONNECTION_ |
소스에 연결할 수 없습니다. | 시스템에서 네트워크 연결을 설정할 수 없습니다. 애플리케이션이 소스 IP 주소 및 포트에 연결할 수 없습니다. | 소스를 사용할 수 있고 방화벽이 연결을 차단하지 않으며 IP 주소가 올바른지 확인합니다. 다음을 확인하세요.
문제가 계속되면 Google SecOps 지원팀에 문의하세요. |
||
| DNS_ |
DNS 오류입니다. | 시스템에서 소스 호스트 이름을 확인할 수 없습니다. | 피드 매개변수 및 소스 이름 서버 설정의 URL을 확인합니다. 서버 호스트 이름에 오타가 있는지 확인합니다. | ||
| FILE_ |
시스템에서 소스에 대한 연결을 설정했지만 파일 또는 리소스에 문제가 발생했습니다. | 다음을 확인하세요.
문제가 계속되면 Google SecOps 지원팀에 문의하세요. |
|||
| GATEWAY_ |
API가 Google SecOps에서 수행한 호출에 게이트웨이 오류를 반환했습니다. | 피드의 소스 세부정보를 확인합니다. 애플리케이션에서 요청을 다시 시도합니다. | |||
| INTERNAL_ |
내부 오류로 인해 데이터를 수집할 수 없습니다. | 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| INVALID_ |
피드 구성에 잘못된 값이 포함되어 있습니다. | 피드 구성에서 잘못된 설정을 검토합니다. 올바른 구문은 피드 문서를 참고하세요. | |||
| INVALID_ |
소스에 대한 연결이 설정되었지만 응답이 잘못되었습니다. | 피드 구성을 확인합니다. 피드 설정에 대해 자세히 알아보세요. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| INVALID_ |
보안 키가 일치하지 않습니다. | 피드에 구성된 보안 키와 Google SecOps에서 HTTP 헤더에 수신한 키가 일치하지 않는지 확인합니다. 예를 들어 HTTPS 푸시 수집을 사용하는 경우입니다. | |||
| INVALID_ |
잘못된 SSL 인증서입니다. | 시스템에서 소스의 SSL 인증서를 확인할 수 없습니다. | 소스 승인을 확인하고 서버의 인증서가 유효하고 신뢰할 수 있는지 확인합니다. | ||
| NO_ |
소스에 대한 연결이 설정되었지만 소스에서 응답하지 않았습니다. | 소스가 Google SecOps의 요청을 지원할 수 있는지 확인합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| REMOTE_ |
소스에 대한 연결이 설정되었지만 소스에서 데이터로 응답하지 않았습니다. | 소스를 사용할 수 있고 데이터로 응답하고 있는지 확인합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| REMOTE_ |
소스에 대한 연결이 설정되었지만 소스에서 요청을 거부했습니다. | 피드 구성을 확인합니다. 자세한 내용은 피드 문서를 참고하세요. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| RESOURCE_ |
할당량 또는 비율 제한을 초과했습니다. | 높은 요청 볼륨 또는 데이터 한도로 인해 할당량 거부가 발생하는지 확인합니다. 소스에서 너무 자주 요청을 전송하고 있습니다. 할당량 사용량을 모니터링하고 필요한 경우 지원팀에 문의하세요. 예를 들어 수집 API 또는 Google Workspace를 사용하는 경우입니다. | |||
| SOCKET_ |
소스에 대한 연결이 설정되었지만 데이터 전송이 완료되기 전에 연결이 시간 초과되었습니다. | 일시적인 오류이므로 애플리케이션에서 요청을 다시 시도합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| TOO_ |
소스에서 여러 개의 오류가 발생하여 피드가 시간 초과되었습니다. | Google SecOps 지원팀에 문의하세요. | |||
| TRANSIENT_ |
피드에 일시적인 내부 오류가 발생했습니다. | 일시적인 오류이므로 애플리케이션에서 요청을 다시 시도합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. | |||
| UNSAFE_ |
IP 주소가 제한되어 애플리케이션에서 연결을 설정하지 못했습니다. | 일시적인 오류이므로 Google SecOps에서 요청을 다시 시도합니다. 문제가 계속되면 Google SecOps 지원팀에 문의하세요. |
파서 및 정규화 오류
이러한 오류는 수집 후 원시 로그를 통합 데이터 모델 (UDM)에 매핑하는 과정에서 발생합니다. 여기에서 오류가 발생하면 Google SecOps에서 로그를 삭제하거나 UDM 필드를 사용하여 로그를 검색하지 못할 수 있습니다.
| 파서 오류 유형 | Error description | 문제 해결 |
|---|---|---|
| Regex | 파서에 정규 표현식 문제가 있습니다. | 파서 로직을 확인합니다. 기본 제공 파서의 경우 Google SecOps 지원팀에 문의하세요. |
| Invalid_config | 파서의 구성 파일에 문제가 있습니다. | 파서 구성 파일을 검증하고 수정합니다. |
| 색인 이벤트 일괄 유효성 검사 오류 | 정규화된 데이터가 스키마 검사에 실패합니다. | 파서의 UDM 필드 매핑을 검토하여 요구사항을 충족하는지 확인합니다. |
| 백로그 | 시스템에서 정규화를 지연했습니다. | 원시 로그가 처리 대기 중인 큐에 있습니다. 지연이 계속되면 지원팀에 문의하세요. |
| LOG_PARSING_DROPPED_NO_EVENTS | 파서에서 이벤트를 생성하지 않아 로그가 삭제되었습니다. | 원시 로그를 확인하여 실제로 이벤트를 생성해야 하는 데이터가 포함되어 있는지 확인합니다. |
| LOG_PARSING_DROPPED_BY_FILTER | 파서의 명시적 삭제 필터로 인해 시스템에서 로그를 삭제했습니다. | 파서 코드에서 필터 조건을 검토합니다. 보안 값이 없는 로그의 경우 의도적인 경우가 많습니다. |
| LOG_PARSING_DROPPED_BY_FILTER: TAG_MALFORMED_ENCODING | 잘못된 JSON 또는 XML 인코딩으로 인해 파싱이 실패했습니다. | 로그 소스에서 지원되고 형식이 올바른 인코딩을 사용하고 있는지 확인합니다. |
| LOG_PARSING_NO_PARSER_FOUND | 시스템에 이 로그 유형의 파서가 없습니다. | 올바른 LogType을 설정했고 해당 유형에 파서가 활성 상태인지 확인합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.