오늘은 FCS를 구성했을 때 서버와 클라이언트들이 어떻게 보고하고 작동하는지를 알아보겠습니다.
일반적으로 서버를 3대로 분리했을 경우 아래와 같은 그림으로 운영됩니다. 비록 서버가 한대일 경우도 아래 그림을 이해하시면 쉽게 이해하실 수 있을거라 생각이 듭니다.
1 FCS 아키텍쳐
1. FCS 중앙관리 콘솔에서 FCS Agent 정책을 OU 또는그룹별로 배포를 합니다.
FCS 에서 배포한 정책은 AD의 그룹정책 중 컴퓨터 정책으로 생성이 됩니다. AD는 각 해당 컴퓨터에 정책을 배포 합니다.
2. 각 클라이언트는 컴퓨터를 검사하기전 또는 주기적으로 FCS Agent의 엔진 업데이트를 검사합니다. 이 때 사내의 WSUS나 윈도우 업데이트 사이트를 찾습니다.
3. 클라이언트는 주기적으로 컴퓨터의 보안 상태를 보고하거나, 바이러스 발생시 FCS 컬렉션 서버에 보고를 합니다. 그리고, FCS 콘솔에서는 이렇게 모인 DB정보를 이용해서 리포트를 작성하거나 관리자에게 사내의 보안 상태를 리포팅합니다.
FCS의 구성요소를 설치하면 서버에는 MOM 2005 Server가 설치가 되고, 클라이언트에는 FCS Agent와 더불어 MOM Agent도 같이 설치가 됨을 확인 할 수 있습니다.
여기에서 FCS Agent는 FCS서버의 정책에 의해 Kernal Mode와 User Mode에서 AS(Anti-Spyware), AV(Anti-Virus) 작업을 진행합니다. 그리고 MOM Agent는 클라이언트에서 발생한 이벤트, 경고, 상태등을 MOM Server에 보고합니다.
아래 그림을 보시면 MOM Agent의 데이터 흐름을 쉽게 이해하실 수 있습니다.
2 FCS 데이터 흐름
1. (AM)Anti-Malware와 VA(Vulnerability Assessment) 서비스가 System Log에 경고를 기록합니다.
2. MOM Agent는 System Log에 있는 경고를 읽습니다.
3. MOM Agent는 이 로그 데이터(Event, Alerts, State Table)를 MOM Server DB에 보냅니다. 4-5, 만약 관리자가 보고(아이콘 모양 )를 클릭하면, SQL 리포팅 서비스가 리포트를 생성합니다. 이 리포는 XML(.rdl) 파일로 생성됩니다.
6. 이 생성한 파일은 웹 브라우저에서 보여지게 됩니다.
FCS는 6개의 역할 서버로 구성이 되지만 데이터 흐름을 보면 그렇게 복잡하지만은 않습니다.
FCS관리자 콘솔에서는 이미 다양한 리포팅을 제공하고 있습니다. 어차피 SQL DB의 내용을 쿼리해오는 것일 뿐입니다. 관리자가 다른 내용의 리포팅을 원하시면 SQL Report 기능을 이용해서 쿼리문을 만든다면 좀 더 다양하고 입맞에 맞는 리포트를 생성하실 수 있을거라 생각이 됩니다. 물론 전 SQL 엔지니어가 아니기때문에 다양한 쿼리 구문을 생성하진 못해봤지만 제가 SQL을 좀 더 공부해서 MOM DB를 이용 리포팅을 커스터마이징 하는 방법도 블로깅해보도록 하겠습니다.
5월 어린이날, 석가탄신일등을 이용해서 연휴 즐기시는 분들이 많으신데요, 공부도 공부지만 가정을 한번쯤 돌아보고, 몸과 마음을 충전하는 한달이 됐으면 좋겠습니다. 그럼, 전 다음주에 뵙겠습니다.
)를 클릭하면, SQL 리포팅 서비스가 리포트를 생성합니다. 이 리포는 XML(.rdl) 파일로 생성됩니다. 
