로그 분석 전 준비 단계

로그 분석 전 준비 단계

 

 

로그 메시지 분리

로그 메시지를 호스트나 서비스로 분리할 수 있다면, 이를 통해 분석을 훨씬 쉽게 할 수 있다. 다음 작업도 훨씬 용이 하게 할 수 있다.

 

- 특정 패턴 집합 개발: 서비스 별로 메시지를 분리하면 더 쉬움

- 각 패턴에서 '변수' 식별: 유형과 범위

- 오탐과 잘못된 데이터 확인

- 패턴 저장: 기본 텍스트 파일, 데이터 베이스 등

 

예)

 

 

다음은 다양한 곳에서 보내어진 syslog를 모아 놓은 파일을 열어 본 화면이다.

syslog 는 위 그림과 같이 서비스 별로 (dbus, sshd, dhclient, NetworkManager) 구분 할 수 있다.

그러므로 위에서 설명한 서비스 별로 메시지를 분리 하면 좀더 쉽게 분석 할 수 있을 것이다.

(서비스 별로 각각의 메시지가 따로 있다.)

 

rsyslogd 설정을 통해 sshd 서비스만 한 파일에 모아 놓은 후 위 그림과 같이 authentication failure 메시지의 rhost ip를 수집하게 되면 공격자의 공격 ip를 파악 할 수 있게 된다.