출처: 해킹사고의 재구성 - 최상용 피해유형 취약점 공격 방법 로그 위/변조 SQL 구문 삽입 SQL 구문 삽입을 이용해 인가되지 않은 로그인을 성공한 후 게시물 소스파일 등 삭제 웹 로그, IPS, IDS SQL 구문 삽입을 통한 DB내 데이터 변조 웹 로그, IPS, IDS 파일 업로드 PUT 메소드를 이용한 원격 파일 업로드 웹 로그, IPS, IDS 웹셸을 업로드해 소스 파일 삭제, 소스 파일 내용 변경등 변조 웹 로그, IPS, IDS 허가 되지 않은 접근 터미널 서비스를 이용한 원격 접근 시스템 로그, 방화벽 RPC를 이용한 원격 접근 IPS,IDS messages,방화벽, loginlog, utmp, wtmp, last 로그, SU 로그 텔넷, FTP등 inet 서비스를 이용한 원격 접근 I..

출처: http://d2.naver.com/helloworld/273788 elasticsearch는 Shay Banon이 Lucene을 바탕으로 개발한 분산 검색엔진입니다. 설치와 서버 확장이 매우 편리하기 때문에 개발하고 있는 시스템에 검색 기능이 필요하다면 elasticsearch를 적용하는 것을 권장하고 싶습니다. 분산 시스템이기 때문에 검색 대상 용량이 증가했을 때 대응하기가 무척 수월하다는 것이 장점입니다. 이 글에서는 참고 자료의 내용을 바탕으로 기본적인 elasticsearch의 설치와 사용법을 설명하고, 실제 서비스에 적용할 때 고려해야 할 사항을 정리했습니다. elasticsearch의 특징 우선 관계형 데이터베이스에 익숙한 사람들을 위해 관계형 데이터베이스와 elasticsearch의..

https://www.elastic.co/guide/en/logstash/current/advanced-pipeline.html INPUT input { file { path => "/var/log/sniper3.log" start_position => beginning } } (path => "/var/log/sniper3.log") 자신이 원하는 소스들을 넣어준다. 위에서는 로그파일을 소스로 넣었으며, 해당 경로를 정확하게 입력해주어야 한다. (start_position => beginning) 을 설정을 안할경우 리눅스에서 tail sniper3.log와 비슷하게 읽게 된다. 맨 앞부터 읽을려면 beginning으로 설정을 해주어야 한다. Filter filter { grok { match => {..

https://www.elastic.co/guide/en/logstash/current/index.html logstash 기초 예제 logstash -e 는 바로 명령어를 칠 수 있도록 해주는 옵션이다. 메시지의 시간과 IP를 보여준다. 종료 할려면 Ctrl + D 를 누르면 된다.

출처: http://addio3305.tistory.com/43 Log4j는 자바기반의 로깅 유틸리티로, Apache에서 만든 오픈소스 라이브러리다. 갑자기 로그라고 하면 이게 무엇인가, 그걸 대체 어따 써먹는것인가!!!! 라고 생각할 수 있지만, 로그는 우리가 굉장히 많이 쓰고 있다. 예를 들어서, 개발을 하다가 어떤 변수의 값을 확인하고 싶으면 자연스럽게 System.out.println()으로 출력을 하는데, 이런것들이 모두 로그의 한 종류라고 생각할 수 있다. 그러면 그냥 System.out.println()으로 출력하면 되는데 왜 귀찮게 다른걸 사용하냐는 의문이 들 수 있다. 사실 우리가 혼자서 그냥 연습삼아 프로젝트를 만들거나 하면 System.out.println()은 큰 문제가 없지만, 실..

출처: http://asuraiv.blogspot.kr/2015/07/elasticsearch-logstash.html 1. 개요 Logstash는 입출력 도구이다. 다양한 종류의 로그 (System logs, webserver logs, error logs, application logs) 뿐만아니라 입력되는 모든 종류의 데이터를 가공하여 출력할 수 있다. Elasticsearch와 궁합이 잘 맞아 지금은 Elasticsearch의 공식 패키지에 포함되어 있다고 한다. 이제 그 Logstash 설치해보고 기본적인 개념들을 살펴보도록 한다. 2. Logstash 설치와 간단예제 일단 설치해보자. 1) download $ wget 'http://download.elastic.co/logstash/logst..

출처:http://resoliwan.blogspot.kr/2015/02/logstash-vs-flume-vs-fluentd.html 방법론 스크립트로 중앙 서버로 복사하는것 단순 중앙 저장, 네트워크 에러등 에러 처리 힘듬 syslog message generation client, message storage system, message report and analysis implementation syslog-ng rsyslog 데이터 량이 많아지고 여러 요구 조건이 나오면서 새로운 디자인이 나옴 이벤트 스트림에 특화됨 각서버당 로깅 클라이언트를 뛰움 클라이언트에서 중앙 서버(클러스터 or 어그리게이터)로 로깅을 쏨 모은 후 분산 그리고 확장 가능한 저장소에 저장(하둡 등) 수평적으로 분산 처리가 되..

출처: https://evilimp79.wordpress.com/2014/10/23/logstash-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/ logstash logstash 설치와 설정 기본적으로는 사이트에서 다운로드를 받고 bin/logstash를 실행시키면 됨. command line의 입력에 대한 로그를 처리하는것은 다음과 같이 수행한다. 1 bin/logstash -e 'input { stdin { } } output { stdout {} }' 만약 파일을 이용한 설정을 하기위해서는 .conf 파일을 직접 작성하여야 하며 해당 conf 파일을 이용하여 logstash를 실행시키기 위해서는 다음과 같이 실행한다. 1 bin/logstash agent -f logstash...

다운로드 주소 https://code.google.com/p/eventlog-to-syslog/