로그파일
※ /var은 시스템을 운영할 때 발생하는 로그가 위치한 디렉토리
※ 부분 리눅스 환경에서는 /var/log에 로그가 위치
룰, 경로에 대한 상세 정보는 /etx/rsyslog.conf에서 관리
| /var/log/secure | 사용자들의 원격(ssh, telnet, ftp 등) 로그인 정보를 저장하는 로그 이 경로를 통해 확인하시면, timestamp, 호스트 명, PID값, 메시지 내용이 기록되어 있고, 보통 login, tcp_wrappers, xinetd 관련 로그가 남습니다. ※ 모든 접속에 대한 내용이 남기에 불법 침입이 의심될때는 이 로그 파일 확인!! ※ root계정 로그인에 시도(성공)한 IP 확인 # cat /var/log/secure* | grep Accepted | awk '{print $9"\t"$11"\t"$14}' | sort | uniq |
| /var/log/message | syslog.conf에서 로그로 기록하지 않도록 지정한 것을 제외한 시스템의 모든 사항들을 기록 |
| /var/log/dmesg | 시스템이 부팅할 때 보이는 시스템 정보 메시지들이 기록 ※ dmesg 명령어를 통해 파일 내용 확인 가능 |
| /var/log/wtmp | 사용자들의 최근에 접속했던 내용 기록 ※ last 명령어를 통해 파일 내용 확인 가능 ※ 지난 달의 로그 파일 보기 # last -f wtmp.1 (logrotate 데몬 사용 시) ※ 접속에 실패한 기록만 확인 |
| /var/log/btmp | 실패한 로그인 정보 히스토리 로그 ※ lastb 명령어를 통해 파일 내용 확인 가능 |
| /var/log/utmp | 현재 시스템에 로그인한 각 사용자의 상태를 저장하는 바이너리 파일 ※ w, who, finger 명령어를 통해 파일 내용 확인 가능 |
| /var/log/vtmp | 로그인, 로그아웃, 시스템 재부팅 관련 로그 |
| /var/log/httpd | 웹서버를 사용할 경우 httpd 데몬 관련 로그가 기록 |
| /var/log/xferlog | ftp 데이터 전송에 관한 로그 |
| /var/log/conman | 유닉스 도메인 스트림 소켓 로그 |
| /var/log/ppp | Point to Point 프로토콜 데몬 로그 |
| /var/log/rpmpkgs | 설치된 패키지의 목록을 기록 |
| /var/log/Samba | Samba 관련 로그 |
| /var/log/spooler | UUCP, NEW 장치에 위험 or 상태 이상의 로그 발생시 메시지 기록 |
| /var/log/vbox | Virtual Box 관련 로그 |
분석 도구
1. logrotate
log 파일이 방대해져서 시스템의 많은 공간을 차지하게 되는 우려가 있는데, 이러한 것을 방지해서 로그 관리를 자동화하는 프로그램
ㅁ 특징
- 로그파일을 압축해서 보관한다.
- 지정한 용량만큼 찼을때 다른 파일로 순환시킨다.
- 작업 시 에러가 발생했을때 지정한 주소로 메일을 보낸다.
- 하루, 주, 월 단위로 로그파일 분리 할 수 있다.
- 분리한 로그파일의 퍼미션을 조절할 수 있고, 압축 여부를 지정할 수 있다.
ㅁ 파일
1) /etc/logrotate.conf (데몬 설정파일)
| weekly | 로그 회전 주기를 설정 [ yearly (매년) | monthly (매월) | weekly (매주) | daily (매일) ] |
| rotate ## | 정리할 로그의 개수를 지정하는 부분. 로그 회전주기에 따라 진행 |
| errors root | root에게 에러 메세지를 보낼 것을 설정 |
| create | 로그파일을 정리한 후 로그파일을 생성여부 [ create : 로그파일 생성 | empty : 로그파일 생성 안함 ] |
| dateext | Logrotate가 실행한뒤 로그파일에 날짜를 부여 |
| compress | 로그파일 압축여부 (압축하여 로그파일의 크기를 조절할수 있include [경로] 다) |
| include [경로] | logrotate에 적용될 각종 로그파일들을 보관하는 디렉터리 지정 |
권장설정
# vi /etc/logrotate.conf
monthly // 파일별로 1개월의 로그 저장
rotate 6 // 6개월 분량의 로그를 보관
create // 로그 파일은 매월 새롭게 생성
compress // 로그 파일은 압축해서 보관
include /etc/logrotate.d // 기본 로그 파일 설정을 로드2. sysmon
MS사의 Sysinternals suite에 포함된 시스템 모니터링 툴이다.
설치를 하게되면 시스템에 상주하며 작업들을 모니터링하고 windows 이벤트로그에 기록을 저장한다.
프로세스 생성이나 네트워크 연결, 파일 생성 시간 변경 등 기본적인 이벤트로그에 비하여 좀 더 자세한 정보를 제공.
수집된 결과를 자동으로 분석하여 결과를 제공하지는 않지만 이벤트뷰어나 별도의 SIEM 에이전트를 사용해 수집된 정보를 직접 분석하여 시스템에서 일어난 악성행위나 비정상적인 활동 등을 파악 할 수 있다.
1) 설치 (cmd)
# 설정파일을 통한 설치
sysmon –accepteula –i c:\windows\config.xml
# 기본 설정으로 설치 후 설정파일 적용
sysmon -accepteula –i
sysmon –c c:\windows\config.xml
※ -accepteula : 설치 시 자동으로 EULA 수락
# 기본 설정으로 변경
sysmon –c --
2) 이벤트
확인 방법
Window + R > eventvwr.msc
응용프로그램 및 서비스 로그 / Microsoft / Windows / Sysmon / Operational
| 이벤트 ID | 작업 범주 | 설명 |
| 1 | Process creation | 새로 생성된 프로세스에 정보이며 커맨드라인 컨텍스트와 전체 해시값 등을 제공 |
| 2 | A process changed a file creation time | 프로세스에 의해 파일의 작성 시간이 수정되었을때 생성 |
| 3 | Network connection | 시스템의 TCP 및 UDP 연결을 기록하며 출발지와 목적지의 Hostname,IP 주소 등을 제공 |
| 5 | Process terminated | 프로세스 종료 대한 이벤트 |
| 10 | Process Access | 다른 프로세스에 의해 프로세스가 실행 됐을 때 생성되는 이벤트 |
| 11 | FileCreate | 새로운 파일이 생성되거나 존 파일이 덮어쓰기 되었을 때 발생하는 이벤트 |
| 12~14 | RegistryEvent | 레지스트리 생성, 삭제, 값 지정, 키나 값의 변경에 대한 이벤트 |
| 22 | DNS Event (DNS query) | 성공 여부에 상관없이 DNS 쿼리가 발생할 때 생성 (Windows 7 이상만 가능) |
| 23 | FileDelete | 파일이 삭제됨 |
3) ELK 와 연동
(추가 예정)
참고 : https://m.blog.naver.com/innerbus_co/221439737250
https://jihwan-study.tistory.com/74
https://server-talk.tistory.com/271
참고자료
'리눅스' 카테고리의 다른 글
| 리눅스 쉘 스크립트 사전 ver.0208 (0) | 2022.02.08 |
|---|---|
| [Container]LXC (0) | 2021.07.09 |
| [리눅스] 우분투 X-Window 설치 (0) | 2021.07.08 |
| [리눅스]리눅스 명령어 사전 (0) | 2021.04.28 |
| 리눅스 보안 점검(CCE 점검) (0) | 2021.04.28 |
