Unique Life

Data Sources

텍스트 파일이나 DB가 가능하다.

Admin center -> Sources 에서 설정해 줄 수 있다.

Add New Sources

소스로는 네가지로 설정이 가능하다. 현재 상황으로는 1번만 필요하여 1번만 사용하였지만 다른 형태로 소스를 받아 올 수 있다는 것을 알 수 있다.

참고자료:

http://loganalyzer.adiscon.com/doc/basics.html

1. 파일 형태로 소스

-> syslog 와 같은 것들을 소스로 넣어 줄 수 있음

-> 간단한 설정이며, 아래 syslog file 경로만 넣어 주면 된다.

-> 여기서 중요한 부분이 Message Parsers 부분인데 이부분을 잘 활용하면 로그를 보다 깔끔하게 저장할 수 있을 것이다. 이에 관한건 나중에 따로 포스트할 예정이다.

2. MYSQL 형태로 소스

3. PDO 형태로 소스

4. MongoDB 형태로 소스

1번으로 설정해주면 LogAnalyzer가 밑에 화면처럼 자동으로 대입 해준다.

좀더 잘 넣을려면 메시지 파싱을 해주어야 한다.

DB 로그 저장 계획 수립은 다음과 같은 몇가지 주요영역에 초점을 맞추어야 한다.

저장 대상

- 헤더 정보: 이벤트 타임스탬프와 관련 이벤트 IP 정보

- 몸체: 이벤트 메시지

- 분석과 요약 결과: 동향 보고 요약

테스트 환경 보안장비 로그

<웹 방화벽 로그>

[비공개_비공개-3333] [Attack_Name=SQL Query Injection-Scan-2] [Time=2015/10/05 14:29:08] [Src_ip=비공개] [Dst_ip=192.168.33.31 {ip-192-168-33-31.ap-northeast-1.compute.internal} ] [Protocol=16/80] [Filter=Inbound] [Action=CHANGE OF PAGE] [Src_port=15652]

<IPS 로그>

[비공개-2222] [Attack_Name=(0006)UDP Flooding], [Time=2015/10/05 10:41:30], [Hacker=192.168.32.224 {ip-192-168-32-224.ap-northeast-1.compute.internal} ], [Victim=192.168.33.31 {ip-192-168-33-31.ap-northeast-1.compute.internal} ], [Protocol=udp/55775], [Risk=High], [Handling=Defence], [Information=], [SrcPort=49458]

보안장비용 DB Table 항목

- 장비명

- Attack_Name

- Time

- Src_ip = Hacker

- Dst_ip = Victim

- Protocol

- SrcPort

웹서버 및 기타 로그에 대한 DB Table 항목은 다음 포스팅에 올리겠습니다.

출처: http://tecadmin.net/setup-loganalyzer-with-rsyslog-and-mysql/

This article is second part of the article Setup Rsyslog with MySQL and LogAnalyzer on CentOS/RHEL systems. In the first part we have integrated Rsyslog with MySQL database server, and all the logs are now saving in database. For recalling below is few configuration details which we used in part-1 to setup it.

Rsyslog MySQL Database: Syslog
Rsyslog MySQL Username: rsyslog
Rsyslog MySQL Password: MYSQLPASSWORD

Lets start the setup of LogAnalyzer on your Linux system with Rsyslog database using following steps.

Step 1: Download and Extract LogAnalyzer

Download the LogAnalyzer latest version from its official download site or use following command to download 3.6.5 ( Current latest version ) version and extract it.

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
# tar xzf loganalyzer-3.6.5.tar.gz

After extracting copy the required files to web server default document root as below.

# mv loganalyzer-3.6.5/src /var/www/html/loganalyzer

Step 2: Create Config File

Now create a blank configuration file named config.php in loganalyzer directory and setup write permission to apache user.

# cd /var/www/html/loganalyzer
# touch config.php
# chown apache:apache config.php
# chmod 777 config.php

Step 3: Start Web Installer

After completing above steps open following url in your favorite web browser to start LogAnalyzer web installer.

  http://tecadmin.net/loganalyzer/intall.php

Now follow the web installer steps as per below given screen shots.

Step 3.1: Just click Next.

Step 3.2: Make sure config.php is writable and click Next.

Step 3.3: Fill the database details for loganalyzer, we can also use same database used for Rsyslog and click Next.

Step 3.4: In this step installer will create database table, if tables already found, you will get an warning of data overwritten. We just need to click Next.

Step 3.5: This screen will show the result of table creation’s. Just click Next

Step 3.6: Create an Administrator account and click Next.

Step 3.7: Fill the Rsyslog database details and click Next.

Step 3.8: LogAnalyzer installation has been completed. We just need to click Finish.

Step 3.9: Login to LogAnalyzer using Administrator credentials created in Step 3.6.

Congratulation’s! on successful configuration of LogAnalyzer with Rsyslog MySQL database. Read other article to configure Rsyslog to collect logs on central server. So we can monitor all server logs at on place using LogAnalyzer.

tcpdump - dump traffic on a network

* tcpdump 실행하기

$sudo tcpdump -n

; -n 은 대부분의 네트워크 관련 명령어에서 IP 주소를 호스트명으로 변환하지 않는 옵션

* tcpdump 종료하기

Ctrl + C

* tcpdump 출력 필터링 하기

$sudo tcpdump -n host dev

; dev 호스트와 주고 받은 패킷만을 수집하고자 하는 경우

$sudo tcpdump -n not host dev

; dev 호스트만 제외하고 수집하고자 하는 경우

 

$sudo tcpdump port 80

; 80 포트만 수집하고자 하는 경우

$sudo tcpdump port 80 or port 443

; 80 또는 443 포트 수집

 

$sudo tcpdump -w output.pcap

; output.pcap 파일로 저장

$sudo tcpdump -C 10 -w output.pcap

; 10M 단위로 output.pcap1 ~ 파일 저장

$sudo tcpdump -C 10 -W 5 -w output.pcap

; 10M 단위로 저장파일 5개까지만 저장(총 50M내에서 순환기록)

 

$sudo tcpdump -r output.pcap

;수집한 결과 파일 output.pcap을 실시간 처럼 재생