2019-01-11
Log File Analysis
; 컴퓨터 시스템의 모든 사용내역을 기록하고 있는 파일
1. Linux / Unix
- 경로 : /var/log
- 텍스트 형식의 로그파일 : cat/less, vi
- 바이너리형식의 로그파일 : btmp및 wtmp log (특정명령어사용)
- 시스템 관련된 데몬
- syslogd
- 각종 에러와 경고 메세지, 기타 일반메세지를 파일로 기록
- 실행파일 : /etc/rc.d/init.d/syslog (rsyslog-Linux)
- 파일 기본구성형식 (/etc/syslog.conf)
- selector field : facility & priority (누가 보낸 것인지 & 얼마나 중요한 것인지)
- action field : 어떻게 처리할 것인지 ( 파일 or 원격... )
훑어보기
[ dd if=/dev/sdb of=/root/sdb_image ]
하드를 sdb_image에 이미지 따올 때
[ /dev/console ]
[ 보안로그 ]
/var/log/secure
[ 로그인-아웃 정보 ]
/var/log/wtmp
바이너리 형태 -> hexdump등 사용
LOG 정보 옮기기
[ 실습 ]
- 환경 : CentOS 6
- SERVER : 로그인/아웃 내역을 전달해줄 SV
- LOGSERVER : SERVER의 내역을 전달 받을 SV
[ LogServer의 /etc/rsyslog.conf 설정 ]
UDP 관련 목록의 주석처리를 제거
[ Server의 /etc/rsyslog.conf 설정 ]
secure목록에 정보를 받을 sv의 IP를 입력
[ service rsyslog restart ]
[ LogSV에서 확인가능 ]
[ Wireshark ]
UDP로 전달 되기 때문에 'Syslog'로 전달되는 내용 확인가능
- klogd
- 부팅과 관련된 메시지 + 커널관련 메시지를 기록
- dmesg - 부팅과 관련된 메세지
2. Windows
- Log 대신 Event 라는 정보에 저장
No comments:
Post a Comment