로그 관련 법규 - 정보통신망법
·
프로젝트 관련 조사/로그 관련
출처: http://blog.naver.com/innerbus_co
로그관련 법규 - 산업기술 유출 방지법
·
프로젝트 관련 조사/로그 관련
출처: http://blog.naver.com/innerbus_co
보안장비 -> 아마존 서버 로그 전송
·
프로젝트 관련 조사/로그 관련
보안장비 -> 아마존 서버로 로그를 전송하여 LogAnalyzer로 띄워주는 단계까지 구축하였다. syslog를 보안장비로 부터 받으려면 보안장비에서 아마존 서버로 ip를 설정하여 보내주면 되고, 아마존 서버에서는 다음과 같이 514번 포트를 인바운드 설정을 해주어야 한다. 이렇게 설정후 아마존 서버 방화벽에서도 514port를 등록해주면 제대로 로그가 전달 된다. 명령어: (Ubuntu 기준) ufw allow udp/514 ==> 514port 허용
LogAnalyzer message parser 소스 코드
·
프로젝트 관련 조사/로그 관련
/*   *********************************************************************   * LogAnalyzer - http://loganalyzer.adiscon.com   * -----------------------------------------------------------------   *   * Drupal MSG Parser is used to split Drupal fields if found    * in the msg    *                                                   *   * LogAnalyzer is free software: you can redistribute it and/or ..
LogAnalyzer Sources 설정
·
프로젝트 관련 조사/로그 관련
Data Sources 텍스트 파일이나 DB가 가능하다. Admin center -> Sources 에서 설정해 줄 수 있다. Add New Sources 소스로는 네가지로 설정이 가능하다. 현재 상황으로는 1번만 필요하여 1번만 사용하였지만 다른 형태로 소스를 받아 올 수 있다는 것을 알 수 있다. 참고자료: http://loganalyzer.adiscon.com/doc/basics.html 1. 파일 형태로 소스 -> syslog 와 같은 것들을 소스로 넣어 줄 수 있음 -> 간단한 설정이며, 아래 syslog file 경로만 넣어 주면 된다. -> 여기서 중요한 부분이 Message Parsers 부분인데 이부분을 잘 활용하면 로그를 보다 깔끔하게 저장할 수 있을 것이다. 이에 관한건 나중에 따로 ..
로그 DB 설계 - 1
·
프로젝트 관련 조사/로그 관련
DB 로그 저장 계획 수립은 다음과 같은 몇가지 주요영역에 초점을 맞추어야 한다. 저장 대상 - 헤더 정보: 이벤트 타임스탬프와 관련 이벤트 IP 정보 - 몸체: 이벤트 메시지 - 분석과 요약 결과: 동향 보고 요약 신속한 검색 - 우선순위: 메시지의 중요도 또는 관련 중요성 - 날짜와 시간: 이벤트가 발생한 시점 - 생성 호스트: 이벤트를 생성한 시스템 - 메시지: 발생한 이벤트 세부 사항 보고 -> 보고서 요청 시 신속히 생성 할 수 있도록 보통 추가 보고 테이블이 필요 - 분석결과: 검토하고 조치가 필요한 흥미로운 사항이 있는 전형적인 로그 항목 모음 - 호스트탕 심각도에 따른 이벤트수: 조직 내 공격 패턴이나 문제점을 신속히 발견하는데 유용 - 시간 기반 요약 수치: 많은 조직은 공유할 일별, 주..
loganalyzer 설치
·
프로젝트 관련 조사/로그 관련
출처: http://tecadmin.net/setup-loganalyzer-with-rsyslog-and-mysql/ This article is second part of the article Setup Rsyslog with MySQL and LogAnalyzer on CentOS/RHEL systems. In the first part we have integrated Rsyslog with MySQL database server, and all the logs are now saving in database. For recalling below is few configuration details which we used in part-1 to setup it. Rsyslog MySQL Databa..
tcpdump - 네트워크 패킷 덤프
·
프로젝트 관련 조사/로그 관련
tcpdump - dump traffic on a network * tcpdump 실행하기 $sudo tcpdump -n ; -n 은 대부분의 네트워크 관련 명령어에서 IP 주소를 호스트명으로 변환하지 않는 옵션 * tcpdump 종료하기 Ctrl + C * tcpdump 출력 필터링 하기 $sudo tcpdump -n host dev ; dev 호스트와 주고 받은 패킷만을 수집하고자 하는 경우 $sudo tcpdump -n not host dev ; dev 호스트만 제외하고 수집하고자 하는 경우 $sudo tcpdump port 80 ; 80 포트만 수집하고자 하는 경우 $sudo tcpdump port 80 or port 443 ; 80 또는 443 포트 수집 $sudo tcpdump -w outpu..
[syslog] Ubuntu rsyslog 및 시스로그 포맷
·
프로젝트 관련 조사/로그 관련
출처: http://egloos.zum.com/mcchae/v/11109562 syslog(시스로그)는 1980년대에 메일 전송의 로그를 전송하기 위해 시작되었고, 현재는 수많은 보안 장비들이 syslog를 지원하고 있습니다. 뭐 간단하게는 우리가 읽을 수 있는 문자로 UDP 패킷 514 포트로 보낸다는 것 이외는 특별할 것이 없다고 생각했습니다만, 막상 그 내막을 보면 또 히스토리가 있습니다. 우선 기본적으로 어느 일반적인 syslog를 받는다고 하고, syslog를 받을 서버에서 wireshark를 설치한 다음 패킷 캡쳐를 해 보았습니다. 보통은 이런 모습을 보입니다. 위와 같이 UDP 헤더가 끝나고, "" 라는 문자열이 나옵니다. 이것은 BSD의 syslog를 지정한 RFC3164 에서 출발하여, ..
syslog 실무가이드
·
프로젝트 관련 조사/로그 관련
출처:https://www.linux.co.kr/home/lecture/?leccode=278 참조할 강좌 1 : 리눅스 시스템로그구성 및 로그모니터링법 참조할 강좌 2 : 리눅스 로그파일 관리(logrotate) 1. 로그파일 개론 시스템에서 로그란 어떤의미를 가지고 있을까? 시스템관리에 있어서 무시못할 일이 로그파일분석과 관리일 것이다. 시스템에 이상징후가 발생을 했을 때, 시스템관리자가 가장먼저 확인해 보는 것이 로그파일이다. 시스템이 해킹을 당했다고 느낄에 우린 로그파일에 의존하게된다. 어디서(IP Address) 누가(ID) 어떻게(port) 들어와서 어떤작업을 했는지를 확인하려할 때 우린 전적으로 로그파일에 의존하게 된다. 로그파일을 잘 관리함으로 인해서 시스템관리자에게 마지막 희망을 주기도 ..

티스토리툴바