[정보처리기사 필기] 시스템 보안 구축 - 156. 로그 분석

1. 로그 Log의 개념

• 시스템 사용에 대한 모든 내역을 기록해 놓은 것
• 이러한 로그 정보를 이용하면 시스템 침해 사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있음
• 로그 정보를 정기적으로 분석하면 시스템에 대한 침입 흔적이나 취약점을 확인할 수 있음

2. 리눅스 LINUX 로그

• 시스템의 모든 로그를 var / log 디렉터리에서 기록하고 관리
• 로그 파일을 관리하는 syslogd 데몬은 etc / syslog.conf 파일을 읽어 로그 관련 파일들의 위치를 파악한 후 로그 작업을 시작
• syslog.conf 파일을 수정하여 로그 관련 파일들의 저장 위치와 파일명을 변경할 수 있음

3. 리눅스의 주요 로그 파일

로그	데몬	파일명	내용
커널 로그	kernel	/dev/console	커널에 관련된 내용을 관리자에게 알리기 위해 파일로 저장하지 않고 지정된 장치에 표시함
		var/log/wtmp	• 성공한 로그인/로그아웃에 대한 로그 기록 • 시스템의 시작/종료 시간에 대한 로그 기록
		var/run/utmip	현재 로그인한 사용자의 상태에 대한 로그 기록
		var/log/btmp	실패한 로그인에 대한 로그 기록
		var/log/lastlog	마지막으로 성공한 로그인에 대한 로그 기록
부팅 로그	boot	/var/log/boot	부팅 시 나타나는 메시지들을 기록
크론 로그	crond	/var/log/cron	작업 스케줄러인 crond의 작업 내역 기록
시스템 로그	syslogd	/var/log/messages	커널에서 실시간으로 보내오는 메시지들을 기록
보안 로그	xinetd	/var/log/secure	시스템의 접속에 대한 로그 기록
FTP 로그	ftpd	/var/log/xferlog	FTP로 접속하는 사용자에 대한 로그 기록

4. 윈도우 Windows 로그

• 이벤트 로그 형식으로 시스템의 로그를 관리
• Windows의 이벤트 뷰어를 이용하여 이벤트 로그를 확인할 수 있음
  • Windows 이벤트 뷰어의 실행 방법 : 제어판 → 관리 도구 → 이벤트 뷰어

5. Windows 이벤트 뷰어의 로그

• 응용 프로그램 : 응용 프로그램에서 발생하는 이벤트가 기록됨, 기록되는 이벤트는 응용 프로그램 개발자에 의해 결정
• 보안 : 로그온 시도, 파일이나 객체 생성, 조회, 제거 등의 리소스 사용과 관련된 이벤트가 기록됨
• 시스템 : Windows 시스템 구성 요소에 의해 발생하는 이벤트가 기록
• Setup : 프로그램 설치와 관련된 이벤트가 기록
• Forwarded Events : 다른 컴퓨터와의 상호 작용으로 발생하는 이벤트가 기록