출처: http://security-guys.blogspot.kr/2010/03/windows-syslog.html Windows 이벤트 로그를 Syslog로 보내기 Unknown Attack을 탐지 대응하기 위해서 - 특히 본사 PC를 장악한 뒤 내부망으로 통한 공격이 증대하는 상황에서 - 보안 장비 로그 뿐만 아니라 시스템 로그와 애플리케이션 로그를 함께 분석하는 것이 점점 중요해지고 있습니다. Unix 계열은 전통적으로 Syslog를 지원하기 때문에 별 문제가 되지 않습니다. 하지만 Windows 이벤트 로그는 별도의 바이너리 형식으로 저장되기 때문에 외부로 통합 관리하기가 어렵습니다. Vista 부터는 xml 형식으로 저장되기는 하지만 여전히 불편합니다. 오픈소스로 제공되는 Snare 를 설치하면..

출처: http://chonnom.net/bbs/board.php?bo_table=B20&wr_id=157 윈도우 이벤트뷰어 로그를 한곳으로 통합해서 관리(WEB 환경에 DB) 윈도우 eventlog를 syslog 서버로 전송하기 위한 eventlog-to-syslog 프로그램 사용법 eventlog-to-syslog 은 win xp, win2k3, win2k8 및 64비트버전을 지원하며 유니코드 표현이 됩니다. 1) 다운로드 주소 http://code.google.com/p/eventlog-to-syslog/ 2) 다운받은 파일을 압축을 풀고 evtsys.dll 파일과 evtsys.exe 파일을 C:\Windows\System32 폴더에 복사 3) 다음은 아래와 같이 서비스를 추가 / 삭제해서 이용하면..

다른 서비스를 수집할려고 할 경우 array 배열에 수집을 원하는 서비스 이름을 추가해주면 된다.

로그 분석 전 준비 단계 로그 메시지 분리 로그 메시지를 호스트나 서비스로 분리할 수 있다면, 이를 통해 분석을 훨씬 쉽게 할 수 있다. 다음 작업도 훨씬 용이 하게 할 수 있다. - 특정 패턴 집합 개발: 서비스 별로 메시지를 분리하면 더 쉬움 - 각 패턴에서 '변수' 식별: 유형과 범위 - 오탐과 잘못된 데이터 확인 - 패턴 저장: 기본 텍스트 파일, 데이터 베이스 등 예) 다음은 다양한 곳에서 보내어진 syslog를 모아 놓은 파일을 열어 본 화면이다. syslog 는 위 그림과 같이 서비스 별로 (dbus, sshd, dhclient, NetworkManager) 구분 할 수 있다. 그러므로 위에서 설명한 서비스 별로 메시지를 분리 하면 좀더 쉽게 분석 할 수 있을 것이다. (서비스 별로 각각의 ..

http://httpd.apache.org/docs/current/logs.html 로그별 구성과 예제 아파치 Error 로그 날짜 & 시간 심각성 클라이언트 IP 오류 내용 [Wed Oct 11 14:32:522000] [error] [client127.0.0.1] client denied by server configuration: /export/home/live/ap/htdocs/test 아파치 Access 로그 클라이언트 IP 사용자의 userid 날짜 & 시간 클라이언트의 요청 내용 응답 코드 클라이언트에게 보내는 내용의 크기 127.0.0.1 - frank [10/Oct/2000:13:55:36 -0700] "GET /apache_pb.gif HTTP/1.0" 200 2326 Syslog ti..

출처:http://khanrc.tistory.com/entry/logstash-with-python logstash 데이터 분석을 하려면 데이터가 있어야 한다. 프로젝트마다 다르겠지만, 개인화 프로젝트에서는 그 데이터를 당연히 제공하는 서비스에서 수집한다. 소마 프로젝트 또한 마찬가지로 데이터 수집 과정이 있는데, 데이터 수집은 자연스럽게 로그 수집으로 이어진다. 그러면서 접하게 된 것이 바로 logstash이다. log aggregator 여러 노드(인스턴스)로부터 로그 데이터를 모아주는 프레임워크를 log aggregator라 부른다. 클라우드 환경이 대두되고, 빅데이터가 떠오르면서 자연스럽게 필요하게 된 모듈이라고 할 수 있다. log aggregator도 종류가 다양한데, facebook에서 사용..

제공: 한빛 네트워크 저자: Rich Bowen, 이대엽 역 원문: Sending Apache httpd Logs to Syslog 여러분의 아파치 서버가 매번 요청을 받을 때 마다 아파치 서버는 하나 혹은 여러 개의 로그파일에 로그내용을 만든다. 이러한 로그파일들은 방문자에 대한 통계적 분석에서부터 서버 공격에 대한 포렌식 분석에 이르기까지 다양한 목적에 있어 유용하게 이용된다. 수많은 경우에 있어 이러한 로그들을 로컬 파일시스템에 기록하게 하는 것은 아무리 줄잡아 말해도 불편한 일이다. 두 가지 구체적인 시나리오가 머리에 떠오르는데, 아마도 여러분들의 머리 속에는 다른 시나리오들도 생각날 것이다. 첫 번째 시나리오는 불행히도 내 개인적인 경험에 관한 것이다. 공격자가 서버를 손상시킬 때 그들은 종종 ..

출처 : http://cafe.naver.com/q69/5103 로그파일이란 ? 웹 서버를 관리하는 사용자에게 있어서 시스템의 성능은 상당히 중요한 문제로 인식되고 있으며, 로그 정보 와 시스템의 모니터링은 웹 서버의 성능을 파악하는데 중요합니다. 웹 서버를 운영하는 관리자들은 아파치의 확장된 로깅기능을 이용하여 웹 서버의 활동을 살펴볼 수가 있습니다. 기본적으로 아파치에서는 다음과 같은 로그파일 등을 제공하였습니다. n 에러로그 n 접속 로그 n 에이전트 로그 n 참조로그 에러로그에는 웹 서버 운영시에 발생되는 로그 및 CGI 와 같은 스크립트의 에러가 기록되게 되며, 우리가 생각하는 대부분의 접속 정보중의 하나인 ‘access.log’ 에는 서버로부터 전송되어 지는 정보가 기록되어 집니다. 사용자가 ..

시스템의 로그를 위해서, syslog를 사용하며. 해킹등에 대비해서 원격 로그저장을 생각하게 되는데, 문제는 원격 syslogd 데몬이 이걸 받아주도록 해야 하고, 관리자 권한이 없다면, 외부에서 받도록 설정할 수도 없고, 자기 서버만의 로그파일에 기록하지 못하겠죠. 그래서, 원격 서버상의 일반 사용자들도 시스템로그를 백업 받을 수 있도록 함 고쳐보았습니다. 제가 이렇게 한 이유는, 얼마전 아는 웹서비스 서버가 외국 해커에게 해킹을 당했습니다. 한번 봐달라고 해서 봤는데, 할게 없더군요. 초보 해커가 아닌이상 흔적은 있지만 정보가 될만한것은 모두 지웠습니다. 그래서, 분석할 정보가 없어서, syslog의 원격로그 기능을 생각하였지만, 로그백업서버를 운영할만한 상황도 아니고, 제것도 아닌데 운영할 필요도 ..

출처:http://blog.naver.com/PostView.nhn?blogId=junix&logNo=80087440477 로그서버 구축 1. 각 서버의 모든 로그를 로그서버에 원격 보관하고 웹에서 모니터링할 수 있는 환경 구축 1. 분산되어 있는 시스템 로그를 한곳에서 실시간 모니터링할 수 있어 서버 장애 모니터링 능력을 향상시킴 2. 각 서버 시스템로그의 백업 효과 2. 구성 서버 : x.x.x.27 클라이언트 : 전체 서버(현재는 x.x.x.44, x.x.x..20 2대로 테스트중) 데몬 : 로그서버 rsyslog, 웹프로그램 phplogcon 3. 데모 : 4. 설정 메뉴얼 * 클라이언트의 로그가 로그서버의 /var/log/messages 에 저장되는 구성 다시 이로그는 로그서버의 DB에 저장됨 ..