1. 보안 로깅
-> 적절한 인가 권한 없이 자원에 접근하는지 분석할 목적
2. 운영 로깅
-> 문제 발생 알림이나 잠재적으로 취해야 할 조건과 같이 시스템 운영자에게 유용한 정보를 제공
3. 법규
-> 시스템과 데이터 보안을 향상시키도록 강제하는 컴플라이언스 때문에 로깅
4. 애플리케이션 디버그 로깅
-> 개발자에게 유용한 정보를 줌
우리나라는 3번에 의한 로깅이 많은 것 같다.
| Flume 설계 (0) | 2015.09.11 |
|---|---|
| 로깅 매커니즘 (0) | 2015.09.10 |
| 로그 정의 및 관련 용어 정리 (0) | 2015.09.10 |
| 로그 데이터의 기초 (0) | 2015.09.10 |
| flume Sources 예제1 (0) | 2015.09.09 |
로그 정의
로그는 이벤트 부터 순차적으로 올라간다.
다음을 보자
"이벤트는 시간, 발생회수와 이벤트 및 조직 환경과 관련된 세부 사항을 포함한다."
"이벤트 필드는 이벤트의 성격을 나타낸다. 이벤트 필드의 예로 날짜, 시간, 소스 IP, 사용자 식별, 호스트 목적지를 포함한다."
"이벤트 기록은 하나의 이벤트를 묘사하는 전체 이벤트 필드의 집합이다."
"로그는 이벤트 기록 집합이다. 데이터 로그, 행위로그 등"
이벤트 << 이벤트 필드 << 이벤트 기록 << 로그
용어 정리
감사: 조직 환경에서 로그를 평가하는 프로세스
레코딩: 이벤트 기록과 같은 하나의 이벤트와 관련된 이벤트 필드를 저장하는 행위
로깅: 이벤트 기록을 로그로 수집하는 행위 -> ex) 텍스르 로그 파일에 로그 항목을 저장하거나, 데이터베이스에 데이터 감사 기록을 저장하는 행위
보안사고: 조직 환경에서 문제가 발생했음을 가리키는 하나 이상의 보안 이벤트
| 로깅 매커니즘 (0) | 2015.09.10 |
|---|---|
| 로깅 하는 이유 (0) | 2015.09.10 |
| 로그 데이터의 기초 (0) | 2015.09.10 |
| flume Sources 예제1 (0) | 2015.09.09 |
| flume 설치 및 예제 (2) | 2015.09.09 |
로그 데이터의 개념
로그 메시지는 컴퓨터 시스템, 장치, 소프트웨어 등에서 발생하는 특정한 자극에 대앙해 발생한다.
로그 데이터는 로그 메시지로 부터 얻을 수 있는 정보들이다.
ex) 웹 서버는 웹 페이지에 접근하면 로그를 남긴다. 사용자 본인 인증이 필요한 페이지에 접근하면 로그 메시지는 사용자 이름을 확인한다. 이는 로그 데이터의 일례로 사용자 이름을 이용해 누가 자원에 접근했는지 알 수 있다.
로그 메시지는 다음과 같이 일반적인 카테고리로 분류할 수 있다.
|
정보(Info) |
일어난 일을 알리도록 설계한 정보성 메시지 |
|
디버그(Debug) |
실행 중인 애플리케이션 코드 문제점 확인할 목적 |
|
경고(Warn) |
시스템에 무언가가 없거나 필요한 상황과 관련되어 있지만, 없다 해도 시스템 동작에 영향 안미침 |
|
에러(Error) |
시스템의 다양한 레벨에서 발생하는 에러를 전달하는 데 사용 |
|
경보(Alert) |
관심이 필요한 사건이 발생했음을 의미 |
로그 데이터의 수집과 전송
수집
중앙 로그 수집기
1. 복수 위치에서 로그 메시지를 저장하는 중장 집중 장소다.
2. 로그 백업 복사본을 저장하는 장소다.
3. 로그 데이터 분석을 수행하는 장소다.
전송
syslog는 syslog 프로토콜을 이용하여 전송 가능.
* Windows Event Log의 경우 syslog로 변환해서 syslog 서버로 포워딩 할 수 있는 이벤트 로그 상단에서 동작하는 오픈소스 애플리케이션이 있다.
로그 환경
우선해야 할 일:질의
ex)
지켜야 하는 법규와 컴플라이언스 요구사항이 무엇인가?
장기간 보관에 대한 요구사항은 얼마나 필요한가?
LAN 나 WAN 장비에서 오는 로그 데이터를 수집할 예정인가?
수집에서 정확히 관심을 가지는 부분은 무엇인가?
로그 메시지 생성
다양한 소스
-유닉스와 윈도우 시스템
-라우터
-스위치
-방화벽
-무선 AP
-가상 사설망 서버
-안티바이러스 시스템
-프린터
-각종 보안장비
로그 메시지 필터링과 정규화
우선순위 별로 필터링, 정규화
정규화는 파싱기법을 이용.
ex) 210.22.215.77 -> 65.12.12.12
==> -> 을 대상으로 출발지와 목적지 IP 식별 가능
정규화 필드 예제
Type: Attempted Information leak
Timestamp: July 19 2014
Priority: High
Protocol: ICMP
Source Ip : 210.22.215.77
Destination Ip : 65.12.12.12
Source port : NULL
Destination port: NULL
RAW log: SourceFire SFIMS: ICMP PING NMAP ...........................
로그 메시지 수집
로그 메시지 분석
로그 메시지 장기 보관
** 효율적인 로그 분석은 환경에 대한 지식이 필요하다.
==> 당신의 관점에서 특히 모든 로컬 사용자만 존재할 경우, 해외 사용자 로깅이 의심스로울 수 있다. 하지만, 다른 사이트는 전 세계 사용자를 대상으로 할 수 있으므로, 무엇이 정상인지 판단하기 어렵다.
| 로깅 하는 이유 (0) | 2015.09.10 |
|---|---|
| 로그 정의 및 관련 용어 정리 (0) | 2015.09.10 |
| flume Sources 예제1 (0) | 2015.09.09 |
| flume 설치 및 예제 (2) | 2015.09.09 |
| flume windows install (0) | 2015.09.07 |
테스트할 내용
CentOS_5.5 (flume 설치됨 192.168.209.129) 에서 Ubuntu (192.168.209.132) telnet 사용 기록 수집
1. 테스트 전 telnet 접속을 허용 시켜줘야 한다.
telnet용 계정 생성 useradd tel
passwd tel
telnet unable to connect to remote host no route to host
다음과 같은 에러가 나오면
CentOS 방화벽을 임시로 stop ==> service iptables stop
텔넷 관련 설정 http://egloos.zum.com/butcher18/v/326292
2. telnet 접속 완료
3. CentOS (flume 설치됨) flume conf 설정
4. 수집 확인
응???
왜 안되지???
souces 더 공부하고 와야겠다
port 를 23 말고 1024 위 포트로 수정 하였더니 오류는 사라짐.
2323 포트를 방화벽에서 열어줘야 될듯..
다음 방법으로 포트 열어주자 !!
이런 또 다른 에러..!!
나중에 이어서 ..
| 로그 정의 및 관련 용어 정리 (0) | 2015.09.10 |
|---|---|
| 로그 데이터의 기초 (0) | 2015.09.10 |
| flume 설치 및 예제 (2) | 2015.09.09 |
| flume windows install (0) | 2015.09.07 |
| flume 관련 내용 (0) | 2015.09.07 |
