반응형
출처: http://security-guys.blogspot.kr/2010/03/windows-syslog.html
Windows 이벤트 로그를 Syslog로 보내기
Unknown Attack을 탐지 대응하기 위해서 - 특히 본사 PC를 장악한 뒤 내부망으로 통한 공격이 증대하는 상황에서 - 보안 장비 로그 뿐만 아니라 시스템 로그와 애플리케이션 로그를 함께 분석하는 것이 점점 중요해지고 있습니다.
Unix 계열은 전통적으로 Syslog를 지원하기 때문에 별 문제가 되지 않습니다.
하지만 Windows 이벤트 로그는 별도의 바이너리 형식으로 저장되기 때문에 외부로 통합 관리하기가 어렵습니다. Vista 부터는 xml 형식으로 저장되기는 하지만 여전히 불편합니다.
오픈소스로 제공되는 Snare 를 설치하면 원하는 로그를 지정해 Syslog 로 보낼 수 있습니다.
아래 화면처럼 보안감사 로그, 응용프로그램 로그, 시스템 로그 등을 지정할 수 있을 뿐만 아니라 보안감사 로그의 경우 성공감사, 실패 감사 등 필요한 내용을 지정해 보낼 수 있습니다. Include/exclude 를 이용해 필터링도 가능합니다.
이외에도 다양한 에이전트를 제공하는데, IIS 웹로그를 보내는데에는 Snare Epilog 를 사용할 수 있습니다.
아래 화면에서 보듯이 다양한 로그 형식을 지원합니다. IIS 뿐만 아니라 Exchange 로그도 Syslog 로 보낼 수 있습니다.
반응형
'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글
| 정규표현식 강좌 (0) | 2015.11.10 |
|---|---|
| 리눅스 cat, more, less, head, tail - 파일내용 확인 (0) | 2015.11.09 |
| event log --> syslog 변환 & 운영 (0) | 2015.11.09 |
| bash shell로 만드는 간단한 로그 정리 프로그램 (0) | 2015.11.05 |
| 로그 분석 전 준비 단계 (0) | 2015.11.05 |