[정보처리기사 필기] 시스템 보안 구축 - 156. 로그 분석

1. 로그 Log의 개념

  • 시스템 사용에 대한 모든 내역을 기록해 놓은 것
  • 이러한 로그 정보를 이용하면 시스템 침해 사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있음
  • 로그 정보를 정기적으로 분석하면 시스템에 대한 침입 흔적이나 취약점을 확인할 수 있음

2. 리눅스 LINUX 로그

  • 시스템의 모든 로그를 var / log 디렉터리에서 기록하고 관리
  • 로그 파일을 관리하는 syslogd 데몬은 etc / syslog.conf 파일을 읽어 로그 관련 파일들의 위치를 파악한 후 로그 작업을 시작
  • syslog.conf 파일을 수정하여 로그 관련 파일들의 저장 위치와 파일명을 변경할 수 있음

3. 리눅스의 주요 로그 파일

로그 데몬 파일명 내용
커널 로그 kernel /dev/console 커널에 관련된 내용을 관리자에게 알리기 위해 파일로 저장하지 않고 지정된 장치에 표시함
var/log/wtmp • 성공한 로그인/로그아웃에 대한 로그 기록
• 시스템의 시작/종료 시간에 대한 로그 기록
var/run/utmip 현재 로그인한 사용자의 상태에 대한 로그 기록
var/log/btmp 실패한 로그인에 대한 로그 기록
var/log/lastlog 마지막으로 성공한 로그인에 대한 로그 기록
부팅 로그 boot /var/log/boot 부팅 시 나타나는 메시지들을 기록
크론 로그 crond /var/log/cron 작업 스케줄러인 crond의 작업 내역 기록
시스템 로그 syslogd /var/log/messages 커널에서 실시간으로 보내오는 메시지들을 기록
보안 로그 xinetd /var/log/secure 시스템의 접속에 대한 로그 기록
FTP 로그 ftpd /var/log/xferlog FTP로 접속하는 사용자에 대한 로그 기록

4. 윈도우 Windows 로그

  • 이벤트 로그 형식으로 시스템의 로그를 관리
  • Windows의 이벤트 뷰어를 이용하여 이벤트 로그를 확인할 수 있음
    • Windows 이벤트 뷰어의 실행 방법 : 제어판 → 관리 도구 → 이벤트 뷰어

5. Windows 이벤트 뷰어의 로그

  • 응용 프로그램 : 응용 프로그램에서 발생하는 이벤트가 기록됨, 기록되는 이벤트는 응용 프로그램 개발자에 의해 결정
  • 보안 : 로그온 시도, 파일이나 객체 생성, 조회, 제거 등의 리소스 사용과 관련된 이벤트가 기록됨
  • 시스템 : Windows 시스템 구성 요소에 의해 발생하는 이벤트가 기록
  • Setup : 프로그램 설치와 관련된 이벤트가 기록
  • Forwarded Events : 다른 컴퓨터와의 상호 작용으로 발생하는 이벤트가 기록