http://ftp.ics.uci.edu/pub/centos0/ics-custom-build/BUILD/rsyslog-3.19.7/doc/rsyslog_conf.html https://answers.splunk.com/answers/79844/example-rsyslog-conf-for-multiple-data-sources-with-uf.html http://serverfault.com/questions/400293/syslog-ip-ranges-to-specific-files-using-rsyslog Examples Below are example for templates and selector lines. I hope they are self-explanatory. If not, please see..

출처: http://egloos.zum.com/mcchae/v/11109562 syslog(시스로그)는 1980년대에 메일 전송의 로그를 전송하기 위해 시작되었고, 현재는 수많은 보안 장비들이 syslog를 지원하고 있습니다. 뭐 간단하게는 우리가 읽을 수 있는 문자로 UDP 패킷 514 포트로 보낸다는 것 이외는 특별할 것이 없다고 생각했습니다만, 막상 그 내막을 보면 또 히스토리가 있습니다. 우선 기본적으로 어느 일반적인 syslog를 받는다고 하고, syslog를 받을 서버에서 wireshark를 설치한 다음 패킷 캡쳐를 해 보았습니다. 보통은 이런 모습을 보입니다. 위와 같이 UDP 헤더가 끝나고, "" 라는 문자열이 나옵니다. 이것은 BSD의 syslog를 지정한 RFC3164 에서 출발하여, ..

출처: 해킹사고의 재구성 - 최상용 1. 중요 메소드를 중점적으로 추출 웹 접근 로그의 99%는 GET 방식의 요청에 대한 기록이며, POST 방식의 요청에 대한 기록은 상대적으로 소량이다. 하지만 웹 해킹 시도는 POST요청 속에 해커의 요청이 숨겨져 오는 경우가 많으므로 웹 접근 로그 중 메소드 필드에 'POST'가 포함되어 있거나 'PUT'이 포함되어 있는 경우의 로그만을 걸러내서 일차적으로 살펴봐야 한다. 2. 중요 스크립트를 중점적으로 추출 웹 접근 로그는 jsp,asp,php와 같은 스크립트 이외에도 이미지 파일, js 파일 , css 파일 등이 홈페이지에 접속할 때마다 기록되므로 스크립트 파일 외의 파일에 대한 요청 기록이 많은 부분을 차지한다. 그러므로 스크립트를 호출하고, GET 요청에 ..

출처: 해킹사고의 재구성 - 최상용 1. SQL 인젝션을 이용한 인증 모듈 우회 웹로그에는 SQL injection 공격이 남지 않는다. 이유는 웹 응용 프로그램 개발 시, 사용자 로그인 폼을 POST방식으로 전송하기 때문이다. POST방식은 사용자의 모든 요청 값이 기록되는 GET방식과는 달리, POST 헤더 이후의 부분은 데이터로 인식해 웹 접근 로그에 기록하지 않기 때문이다. 이런 상황에서 웹 로그만을 참고하여 SQL을 탐지하려면 다음과 같은 방법을 사용해야 한다. 1) 로그인 실패를 몇 회이상 지속적으로 할 경우 의심을 할 수 있다. 2) 에러로그에 실패 로그를 보고 의심 할 수 있다. 웹 접근 로그 분석 방법 1) 로그 중 POST 메소드가 포함되어 있는 로그만을 걸러내어 보는 방법 2) 일정부..

출처: http://acc.giro.or.kr/secu_view.asp?seq=7887 http://elven.kr/archives/361 윈도우 운영체제 기반의 피해시스템에서 공격자의 침투경로를 파악하기 위해서는 어떠한 정보가 필요할까요? 인터넷 기록 및 레지스트리 등을 확인 및 분석하여 악성코드에 어떻게 감염되었는지도 살펴볼 정보 중 하나이나, 가장 중요한 아티팩트는 윈도우 이벤트 로그라고 볼 수 있습니다. 이 이벤트 로그는 외부에서의 시스템 접속과 사용자 계정 설정 변경 등 침투/피해 시점 당시 발생하였던 다양한 정보를 저장하고 있으며 분석가는 이를 통해 보다 효율적인 접근이 가능합니다. 이번 포스트에서 다룰 내용은 분석 시 활용할 수 있는 로그 설명과 이벤트 ID 등 기초적인 내용이며, 실제 이벤..

https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-4-on-ubuntu-14-04

There are a few concepts that are core to Elasticsearch. Understanding these concepts from the outset will tremendously help ease the learning process. 아래의 몇가지 개념들을 이해한다면 매우 쉽게 시작할 수 있다. Near Realtime (NRT) Elasticsearch is a near real time search platform. What this means is there is a slight latency (normally one second) from the time you index a document until the time it becomes searchable. ..

출처: http://asuraiv.blogspot.kr/2015/08/elasticsearch-logstash-elasticsearch.html Elasticsearch output Plugin Elasticsearch의 output 플러그인은 'node', 'transport', 'http' 의 3가지 프로토콜이 있다. 여기서는 Elasticsearch 클러스터의 9200번포트로 직접 접속하여 데이터를 전송하는 방식인 'http' 프로토콜을 통해서, Logstash와 연동해보도록 한다. 1. 기초 아래와 같은 클러스터 구조가 있다. 일단 간단하게 stdin 으로 json 데이터를 입력받고, Elasticsearch에 색인하는 작업부터 해보겠다. logstash.conf 파일은 아래와 같이 작성한다. i..

인용: 해킹사고의 재구성 - 최상용 wtmp, wtmpx ==> 사용자의 로그인/로그아웃 이력, 시스템의 셧다운/ 부팅 이력 등이 포함되어 있으며 last명령으로 내용 확인 가능 utmp, utmpx ==> 시스템에 현재 로그인한 사용자의 상태를 기록한 파일로 사용자 이름, 터미널 장치 이름, 원격 로그인 시 원격 호스트명, 사용자가 로그인한 시간 등이 기록되어 있으며, who,w, whodo, users, finger 등의 명령을 사용해 관련된 정보를 알아 낼 수 있다. sulog ==> 사용자가 su라는 명령을 사용한 기록을 갖고 있으며, 날짜와 시간, 성공/실패 , 사용한 터미널 이름, from 사용자, to 사용자 등의 정보를 포함한다. 리눅스 시스템에서는 해당 로그가 messages 파일 또는 ..

0. Access log 125.131.10.12 - - [11/Dec/2013:00:01:45 -0800] "GET /xampp/status.php HTTP/1.1" 200 3891 "http://cadenza/xampp/navi.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:25.0) Gecko/20100101 Firefox/25.0" 125.131.10.12 -> 클라이언트가 접속한 주소 [11/Dec/2013:00:01:45 -0800] -> 접속 시간 GET -> 메소드 정보 /xampp/status.php -> 요청한 페이지 HTTP/1.1 -> HTTP 버전 200 -> 응답 코드 1. 메소드 -> 메소드는 GET,POST, PUT, DELE..