'프로젝트 관련 조사/로그 관련' 카테고리의 글 목록 (3 Page)

프로젝트 관련 조사/로그 관련

정규표현식 강좌 2015.11.10
리눅스 cat, more, less, head, tail - 파일내용 확인 2015.11.09
Windows 이벤트 로그를 Syslog로 보내기 2015.11.09
event log --> syslog 변환 & 운영 2015.11.09

정규표현식 강좌

호레 2015. 11. 10. 16:04

2015. 11. 10. 16:04

http://exynoa.tistory.com/197

https://wikidocs.net/1642

저작자표시

'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글

자주 쓰는 정규 표현식 (0)	2015.11.11
fluentd 이용하여 로그 mysql에 저장하기 (0)	2015.11.11
리눅스 cat, more, less, head, tail - 파일내용 확인 (0)	2015.11.09
Windows 이벤트 로그를 Syslog로 보내기 (0)	2015.11.09
event log --> syslog 변환 & 운영 (0)	2015.11.09

리눅스 cat, more, less, head, tail - 파일내용 확인

호레 2015. 11. 9. 22:47

2015. 11. 9. 22:47

출처:http://webdir.tistory.com/142

리눅스에서 파일 내용을 확인하는 명령어들을 살펴 봅니다. 각종 로그 파일을 살펴보거나 문서들을 살펴볼때 유용합니다.

cat

cat 명령어는 텍스트로 된 파일일 경우 그 내용을 정상적으로 출력하지만 바이너리 파일일 경우에는 출력은 하지만 알아볼 수 없다. 그리고 2개 이상의 파일이름이 지정되면 모든 파일이 연결되어 보여진다.

사용법 : cat [옵션] 파일명

test 파일을 열어봄

cat test

각 행에 번호를 붙여서 출력

cat -b test

빈 행에도 번호를 붙임

cat -n test

연속되는 2개이상의 빈 행을 한행으로 출력

cat -s test

more 명령어는 특정파일의 내용을 확인하는 그 페이지에서 바로 vi 로 파일을 열어서 편집을 할 수도 있으며 텍스트 파일의 내용을 한 페이지씩 차례대로 확인할 수 있다.

사용법 : more 파일명

more test

많은 양의 파일리스트를 확인할때 파이프를 이용해 연결

ls -l /etc | more

특정 파일의 내용을 확인하고 있는 상태에서 사용할 수 있는 키

h : more 명령어상태에서 사용할 수 있는 키 도움말 확인
Space Bar : 한 화면씩 뒤로 이동하기 (f와 동일)
Enter : 현재행에서 한 행씩 뒤로 이동하기
q : more 명령어 종료하기
f : 한 페이지씩 뒤로 이동하기(Space Bar 와 동일)
b : 한 페이지씩 앞으로 이동하기
= : 현재 위치의 행번호 표시하기
/문자열 : 지정한 문자열을 검색하기
n : /문자열로 검색한 문자열을 차례대로 계속해서 찾기
!쉘명령어 : more 명령어상태에서 쉘명령어를 실행하기
v : more 명령어로 열려있는 파일의 현재위치에서 vi를 실행하기

less

less는 more와 매우 유사하다.

사용법 : less 파일명

less test
ls -l | less

less 내부명령키

Space Bar 또는 f : 한 화면 뒤로 이동
b : 한 화면 앞으로 이동
Enter : 한 행씩 뒤로 이동
숫자+n : 원하는 페이지만큼 뒤로 이동, 이후부터는 n만 눌러도 숫자페이지만큼 이동
q : less 수행종료

head

head는 파일의 앞부분부터 확인하는 명령어이다.

사용법 : head 파일명

기본적으로 행의 앞부분 부터 10 행까지만 출력

head test

20행까지 출력

head -n 20 test

200 byte 까지의 내용을 출력

head -c 200 test

tail

tail은 특정파일에 계속 추가되는 모든 내용을 모니터링 할 수 있어 실무에서 유용하게 사용되는 명령어이다.

/var/log/ 디렉토리에 존재하는 많은 시스템로그파일들의 로그파일들에 저장되는 내용들을 실시간으로 계속 모니터링하기 위한 용도로 자주 사용된다.

사용법 : tail 파일명

기본적으로 파일에서 마지막 부분의 10개행을 화면에 출력

tail test

마지막 부분의 20개행까지 출력

tail -n 20 test

마지막에서 200byte 까지를 출력

tail -c 200 test

로그파일을 실시간 모니터링, 종료는 Ctrl-c

tail -f /var/log/messages

저작자표시

'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글

fluentd 이용하여 로그 mysql에 저장하기 (0)	2015.11.11
정규표현식 강좌 (0)	2015.11.10
Windows 이벤트 로그를 Syslog로 보내기 (0)	2015.11.09
event log --> syslog 변환 & 운영 (0)	2015.11.09
bash shell로 만드는 간단한 로그 정리 프로그램 (0)	2015.11.05

Windows 이벤트 로그를 Syslog로 보내기

호레 2015. 11. 9. 21:49

2015. 11. 9. 21:49

출처: http://security-guys.blogspot.kr/2010/03/windows-syslog.html

Windows 이벤트 로그를 Syslog로 보내기

Unknown Attack을 탐지 대응하기 위해서 - 특히 본사 PC를 장악한 뒤 내부망으로 통한 공격이 증대하는 상황에서 - 보안 장비 로그 뿐만 아니라 시스템 로그와 애플리케이션 로그를 함께 분석하는 것이 점점 중요해지고 있습니다.

Unix 계열은 전통적으로 Syslog를 지원하기 때문에 별 문제가 되지 않습니다.
하지만 Windows 이벤트 로그는 별도의 바이너리 형식으로 저장되기 때문에 외부로 통합 관리하기가 어렵습니다. Vista 부터는 xml 형식으로 저장되기는 하지만 여전히 불편합니다.

오픈소스로 제공되는 Snare 를 설치하면 원하는 로그를 지정해 Syslog 로 보낼 수 있습니다.

http://www.intersectalliance.com/projects/SnareWindows/index.html

아래 화면처럼 보안감사 로그, 응용프로그램 로그, 시스템 로그 등을 지정할 수 있을 뿐만 아니라 보안감사 로그의 경우 성공감사, 실패 감사 등 필요한 내용을 지정해 보낼 수 있습니다. Include/exclude 를 이용해 필터링도 가능합니다.

이외에도 다양한 에이전트를 제공하는데, IIS 웹로그를 보내는데에는 Snare Epilog 를 사용할 수 있습니다.

http://www.intersectalliance.com/projects/EpilogWindows/index.html

아래 화면에서 보듯이 다양한 로그 형식을 지원합니다. IIS 뿐만 아니라 Exchange 로그도 Syslog 로 보낼 수 있습니다.

ArcSight 같은 메이저 SIEM도 Snare 를 이용해서 Windows 로그를 수집하고 있다고 합니다.

저작자표시

'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글

정규표현식 강좌 (0)	2015.11.10
리눅스 cat, more, less, head, tail - 파일내용 확인 (0)	2015.11.09
event log --> syslog 변환 & 운영 (0)	2015.11.09
bash shell로 만드는 간단한 로그 정리 프로그램 (0)	2015.11.05
로그 분석 전 준비 단계 (0)	2015.11.05

event log --> syslog 변환 & 운영

호레 2015. 11. 9. 21:49

2015. 11. 9. 21:49

출처: http://chonnom.net/bbs/board.php?bo_table=B20&wr_id=157

윈도우 이벤트뷰어 로그를 한곳으로 통합해서 관리(WEB 환경에 DB)

윈도우 eventlog를 syslog 서버로 전송하기 위한 eventlog-to-syslog 프로그램 사용법

eventlog-to-syslog 은 win xp, win2k3, win2k8 및 64비트버전을 지원하며 유니코드 표현이 됩니다.

1) 다운로드 주소

http://code.google.com/p/eventlog-to-syslog/

2) 다운받은 파일을 압축을 풀고

evtsys.dll 파일과 evtsys.exe 파일을 C:\Windows\System32 폴더에 복사

3) 다음은 아래와 같이 서비스를 추가 / 삭제해서 이용하면 됩니다.

서비스 추가

C:\Windows\System32>evtsys -i -h 로그보낼서버 아이피

서비스 항목에서 시작유형을 자동으로...

이벤트로그를 받는 서버

서비스 삭제

동작중인 Eventlog to Syslog 서비스를 중지

C:\Windows\System32>evtsys -u

evtsys 커맨드에 대해서는 아래 URL 을 참고하세요...

http://chonnom.com/bbs/board.php?bo_table=B20&wr_id=156

PS C:\Users\Administrator> evtsys /?

Version: 4.4 (64-bit)

Usage: C:\Windows\system32\evtsys.exe -i|-u|-d [-h host] [-b host] [-f facility] [-p port]

[-t tag] [-s minutes] [-l level] [-n]

-i Install service

-u Uninstall service

-d Debug: run as console program

-h host Name of log host

-b host Name of secondary log host

-f facility Facility level of syslog message

-l level Minimum level to send to syslog.

0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info

-n Include only those events specified in the config file.

-p port Port number of syslogd

-q bool Query the Dhcp server to obtain the syslog/port to log to

(0/1 = disable/enable)

-t tag Include tag as program field in syslog message.

-s minutes Optional interval between status messages. 0 = Disabled

Default port: 514

Default facility: daemon

Default status interval: 0

Host (-h) required if installing.

Windows 2012

https://code.google.com/p/eventlog-to-syslog/issues/detail?id=78

# copy to c:\windows\system32
# evtsys -i -h piper.ddrit.com -l 0
# net start evtsys  [출처] SE 모지리네 촌놈닷컴::가상화, KVM, HYPER-V, Virtualization, 클라우드, CLOUD, LINUX, WINDOW,Security, DDOS, Network - http://chonnom.net/bbs/board.php?bo_table=B20&wr_id=157

저작자표시

'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글

리눅스 cat, more, less, head, tail - 파일내용 확인 (0)	2015.11.09
Windows 이벤트 로그를 Syslog로 보내기 (0)	2015.11.09
bash shell로 만드는 간단한 로그 정리 프로그램 (0)	2015.11.05
로그 분석 전 준비 단계 (0)	2015.11.05
로그 별 항목 정리 (0)	2015.11.04

PREV 이전 1 2 3 4 5 6 ···17 NEXT 다음

Unique Life