1. RDB ElasticSearch 비교RDBElasticSearchDatabaseIndexTableTypeRowDocumentColumnField 참고사이트http://sarc.io/index.php/aws/565-aws-elasticsearch-index-document

출처: https://zeltser.com/security-incident-log-review-checklist/ http://www.tecmint.com/linux-directory-structure-and-important-files-paths-explained/ -> Linux Directory Structure and Important Files Paths Explained This cheat sheet presents a checklist for reviewing critical logs when responding to a security incident. It can also be used for routine log review. It was authored by Dr. Anton Chuv..

^(?[^ ]* [^ ]* [^ ]*) (?[^ ]*) \[(?[^ ]*)\] \[Attack_Name=]*(?[^\]]*)\]\, \[Time=]*(?[^\]]*)\]\, \[Hacker=]*(?[^\]]*)\]\, \[Victim=]*(?[^\]]*)\]\, \[Protocol=]*(?[^\/]*)\/(?[^\]]*)\]\, \[Risk=]*(?[^\]]*)\]\, \[Handling=]*(?[^\]]*)\]\, \[Information=]*(?[^\]]*)\]\, \[SrcPort=]*(?[^\]]*)\]$ ^(?[^ ]* [^ ]* [^ ]*) (?[^ ]*) \[(?[^ ]*)\] \[Attack_Name=]*(?[^\]]*)\] \[Time=]*(?[^\]]*)\] \[Src_ip=]*(?[^..

Rsyslog conf 상황에 맞게 필터링 하기 위와 같은 문법을 이용하면 특정 ip를 필터링 할 수 있다. msg에 들어 있는 값들로 필터링을 하며, 위 로그는 침해사고시 분석할만한 주요 로그들을 분류하여 보았다. syslogtag을 확인화며 위와 같은 tag일 때 로그를 분류 함

# kill all INTF-FLAP messages... if $msg contains 'INTF-FLAP' then /dev/null &~ ## Cisco ACS Accounting... if ($fromhost-ip=='172.17.16.20') and ($programname == 'CSCOacs_TACACS_Accounting') then /var/log/tacacs_acct.log &~ ## CiscoACS 5.4 TACACS Authentication if ($fromhost-ip=='172.17.16.20') and ($programname == 'CSCOacs_Passed_Authentications') then /var/log/tacacs_auth.log &~ # Logging for ..

프로그램 사용법 위 프로그램을 실행 시키고 Text에 303-456-1234를 입력한다. Req.Expression 에 정규 표현식을 써주고 Apply 해주면된다. 정규 표현식 [0-9] -> 0부터 9까지의 숫자를 찾아라 [01235] -> 01235 만 찾는다. \d -> 숫자를 잡아줌 \D -> 숫자 이외의 문자를 잡아줌 . -> 아무 문자나 찾을 수 있다. (행의 끝에 오는 개행 문자는 제외) (\d)\d\1 -> (\d)는 첫 번째 숫자를 찾은 후 그 값을 기억 예제에서는 3 \d는 다음 숫자를 찾고 기억해두지 않는다 예제에서는 0 \1은 기억해둔 숫자를 가리킨다. 예제에서는 3이다. 수량자 앞에는 무엇인가 있어야 한다. 없으면 에러남 ? -> ?는 하나 이하라는 뜻 -? 인 경우..

국내 전화번호 0[2-6]{1,2}(\)|-)?[2-9]\d{3,4}-?\d{4} 지역 번호는 0으로 시작하고 2~6까지의 숫자로 이뤄지며, 국번은 2~9 사이 숫자로 시작하며 세 자리 혹은 네자리이다. 1. 0으로 시작 2. 2~6 사이가 1개 이상 2개 이하 3. ) 또는 -가 있거나 없거나 4. 2~9사이 1개 5. 0~9사이가 3개 이상 4개 이하 6. 0~9 사이가 4자리 이메일 주소 확인 ^[a-zA-Z0-9.-_]+@([a-zA-Z0-0-_]{2,63}\.)+[a-zA-Z]{2,4}$ 1. ^문장의 시작부터 $ 끝까지 체크 2. 대소문자 구분 없이 a-z, 0-9, . ,-,_의 1개 이상 3. @ 4. 대소문자 구분 없이 a-z, 0-9, . ,-,_의 2글자 이상 63자 이하의 글자가 오..

http://stackoverflow.com/questions/26595620/how-to-install-ruby-2-1-4-on-ubuntu-14-04 => 우분투 ruby 설치 http://qiita.com/y_matsuwitter/items/901065962edb7ea8c6ec => GEM path 설정 출처: http://neverstoplearning.tistory.com/entry/%EB%A1%9C%EA%B7%B8%EC%88%98%EC%A7%91%EA%B8%B0-fluentd-on-redhat-enterprise-linux-6 mysql 로 출력을 설정하기 위한 플러그인을 설치합니다. # td-agent-gem install fluent-plugin-mysql # td-agent-gem lis..

http://exynoa.tistory.com/197 https://wikidocs.net/1642

출처:http://webdir.tistory.com/142 리눅스에서 파일 내용을 확인하는 명령어들을 살펴 봅니다. 각종 로그 파일을 살펴보거나 문서들을 살펴볼때 유용합니다. cat cat 명령어는 텍스트로 된 파일일 경우 그 내용을 정상적으로 출력하지만 바이너리 파일일 경우에는 출력은 하지만 알아볼 수 없다. 그리고 2개 이상의 파일이름이 지정되면 모든 파일이 연결되어 보여진다. 사용법 : cat [옵션] 파일명 test 파일을 열어봄cat test 각 행에 번호를 붙여서 출력cat -b test 빈 행에도 번호를 붙임cat -n test 연속되는 2개이상의 빈 행을 한행으로 출력cat -s test more more 명령어는 특정파일의 내용을 확인하는 그 페이지에서 바로 vi 로 파일을 열어서 편집을..