참고 자료
[4]보안 로그 분석
보안 로그 분석
velog.io
보안관제 로그분석 : 네이버 블로그 (naver.com)
보안관제 로그분석
-로그란 시스템의 모든 기록을 담고있는 정보 시스템 성량, 오류, 경고 및 운영정보에 관한 중요정보를 담...
blog.naver.com
[보안] 로그 분석
보안관제 & 침해사고 개요 보안관제 내. 외부로부터의 해킹 시도 모니터링 -> 해킹시도 차단(긴급대응) -> 상황전파 (-> 피해분석) 침해사고 분석 (상황전파 ->) 피해분석 -> 해킹사고 원인 분석 ->
2-juhyun-2.tistory.com
내용 요약
-로그
시스템의 모든 기록을 담고 있는 정보
시스템의 성량, 오류, 경고 및 운영정보에 관한 중요 정보를 담고 있음
로그 분석을 통해 외부로부터의 침입감지 및 추적, 시스템 성능관리, 시스템 장애원인 분석, 시스템 취약점 분석 가능
-로그의 중요성
시스템 취약점 분석
시스템 성능 관리
외부로부터의 침입 감지 및 추적 가능
시스템에서 발생하는 모든 문제에 대한 유일한 단서로 장애 발생 시 복구에 필요한 자료가 됨
안전한 로그관리= 시스템 로컬에 로그를 저장 x, DB서버를 연동 및 원격로그서버 구축
주기적을 로그를 백업하여 시스템의 오류 및 장애로 인한 로그손실을 낮춰야함
-로그 분석 방식
1) 웹서버 로그 분석
1. 방문객이 웹 사이트에 남긴 자료를 근거로 웹 사이트 운영형태, 방문형태에 관한 정보를 분석함
웹 사이트에 방문객 방문-> 에이전트로그, 엑세스로그, 에러로그, 리퍼러로그가 웹서버에 파일형태로 기록
에이전트로그: 웹 브라우저의 이름, OS, 해상도, 버전 등에 대한 정보를 제공
액세스로그: 누가 사이트에 접근했는지
에러로그: 오류가 있는지
리퍼러로그: 경유지사이트와 검색엔지 키워드의 단서 파악
웹 사이트 분석-> 월, 시간, 요일, 계정 별 접속 통계자료를 얻을 수 있음(웹 사이트 운영 및 마케팅 자료로 사용 됨)
2. 웹 로그 분석 툴
구글 애널리틱스, 네이버 애널리틱스
2) 리눅스
nmap, tripwire같은 보안툴 설치 -> 리눅스의 기본 로그파일에 관한 새로운 로그파일이 생성됨
1. /dev/console -kerne - 콘솔로그 = 콘솔에 부려지는 메세지를 기록한 로그파일 = 커널에 관한 정보를 시스템 콘솔에 뿌려준다.
커널에 관련된 정보 = 시스템에 관한 중요한 정보로써, 시스템풀,다운에 관한정보 -> 콘솔로그(장치명)를 통해서 -> 콘솔로 로그를 관리자에게 전달하고자함.
2. /var/log/messages - 모든데몬 - 시스템 로그 파일
시스템에 관한 중요한 이벤트 모두를 기록하는 파일이다.
중요한 이벤트에 관해 계속적으로 모니터링하는 경우 =ex) /var/log/secure 보안인증을 위한 메세지로그파일과 같이.
tail -f /var/log/messages 명령어를 친다.
3. /var/log/secure - xinetd - 보안인증을 위한 메세지 로그파일 = tcpd 로그파일
xinetd데몬에 의한 로그파일이다.
tcp 23번 포트(telnet), 21번 포트(ftp), 22번 포트(ssh) 등을 통해 접속하는 로그에 관한 기록을 하는 파일이 /etc/syslog.conf파일에 설정되어있다.
계속적인 모니터링을 하는 경우 , tail -f /var/log/secure 친다.
4. /var/log/maillog - sendmail, pop(qpopper) - 메일관련데몬에 의해 기록되는 메일로그파일
메일 로그파일에 관한 모니터링을 하려면, tail -f /var/log/maillog 친다.
5. /var/log/cron - crond - 크론에 관한 로그를 기록하는 크론로그파일
시스템에는 크론crond에 관한 로그파일이 존재한다 -> 어디에위치? /var/log/cron에.
크론데몬은 /usr/sbin/crond이고 이 데몬에서 남겨지는 기록은 /var/log/cron에 기록되어 진다.
tail -f /var/log/cron 치면, 크론로그에 관한 모니터링을 할 수 있다.
6. /var/log/demesg -kernel -부팅시 메세지에관한 기록을 저장하는 로그파일.
부팅시 , 장애나 오류가 있었는지 확인하기 위해서는 -> /var/log/boot.log 부팅로그파일을 확인하면 된다.
부팅로그에 관한 모니터링 시 -> tail -f /var/log/boot.log 친다.
일반적으로 부팅시 메세지들을 확인할 때는 /var/log/dmesg 파일을 살펴본다.
이 파일안의 내용을 확인하고자 할 때 쓰는 명령어는 /bin/dmesg 에 존재함.
ls -l /bin/dmesg 치면 , 부팅시 메세지의 내용을 확인할 수 있다.
-> 만약, 부팅시 로그기록을 확인하고 싶다면,
dmesg | grep [관련문자] 치자.
ex) 부팅시, disk에 관한 로그기록을 보고싶다.
dmesg | grep disk
7./var/log/xferlog - vsftpd, proftpd - ftp, cute_ftp, ncftp 접속시 이 로그파일에 기록된다.
업로드한 파일, 다운로드한 파일 등 자세한 기록과 함꼐 이 파일에 기록된다.
more xferlog 치면 파일에대한 상세한 기록이 나오는데,
이 파일을 전송한 시각 : 전송소요시간 : 전송한 호스트 네임 : 파일 크기 : 파일 이름 : 전송방식 : Special action flag : direction : access방식 : user사용자이름 : ftp 서비스방식 : 0 or | (none or RFC931 인증방식을 사용함을 의미) : * 인증된사용자 : 완료상태(c) or 불완전상태(i)