[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(46일차)

오늘 학습 주제

1. 리눅스 로그

2. 윈도우 로그

 

 

리눅스 로그

---

- syslog/rsyslog -

 

로그를 중앙 집중적으로 관리하는 패키지

 

/etc/rsyslog.conf 파일로 특정 구간에서 발생하는 로그가 특정 구역에 저장되게 설정 가능 

파일 내부 [Rule] 부분에 로그 관리 정책이 설정

 

[facililty].[priority]  [action] 형태로 설정

facility: 메시지를 발생시키는 프로그램 유형priority: 위험 정도로 설정한 수준보다 높을 경우 메시지 발생action: 메시지를 보낼 목적지나 행동들로 일반적으로 파일명 기재

 

facilirty 종류(What)
cron	cron, at과 같은 스케줄링 프로그램이 발생한 메시지
auth, security	login과 같이 인증프로그램 유형이 발생한 메시지
authpriv	ssh와 같이 인증을 필요한 프로그램 유형이 발생한 메시지 사용자 추가 시에도 메시지가 발생
daemon	telnet, ftp 등과 같이 여러 데몬이 발생한 메시지
kern	커널이 발생한 메시지
lpr	프린트 유형의 프로그램이 발생한 메시지

 

facilirty 종류(심각 수준, Level)
none	로그로 기록하지 않음
debug	프로그램을 개발 또는 테스트 할 때 발생하는 메시지
info	사용자가 알아둬야 할 기본정보 메시지
notice	특별한 주의를 필요하나 에러는 아닌 메시지
warning, warn	주의가 필요한 경고 메시지(무시해도 됨)
error, err	에러가 발생하는 경우의 처리가 필요한 경우 발생 메시지 소프트웨어 상에서 발생하는 오류 메시지
crit	크게 급하지는 않지만 시스템에 문제가 생기는 단계의 메시지 하드웨어 장치에 문제가 발생 시 생성
alert	즉각적인 조정을 해야 하는 상황 시스템 DB에 손상 등 즉시 수정해야 되는 상황
emerg, panic	모든 사용자들에게 전달되는 패닉 상황 블루스크린, 커널 패닉 등에서 발생

각 항목은 자신 아래의 모든 로그를 생성

 ex) kern.err → err, crit, alert, emerg 항목 로그 생성

 

action 종류(where)
file	지정한 파일에 로그를 기록
@host	지정한 호스트로 메시지를 전달 (IP 지정 가능)
user	지정한 사용자가 로그인한 경우 해당 사용자의 터미널로 전달 (계정명 설정)
*	현재 로그인되어 있는 모든 사용자의 화면으로 전달
콘솔 또는 터미널	지정한 터미널로 메시지를 전달

 

로그가 발생하면 로그 파일로만 저장되는 것이 아니라

콘솔이나 다른 호스트, 또는 폐기도 가능

 

 

 

 

 

윈도우 로그

---

- 윈도우 로그 -

	Type 1	Type 2
OS	Window 2000/XP/2003	Windows Vista /2008/7/10
로깅 데이터	System, security, Application	System, security, Application+
로그 저장형태	Binary	Binary, XML
로그 확장자명	.evt	.evtx
저장 경로	\windows\system32\config	\windows\system32\winevt\logs

 

윈도우에서는 로그를 이벤트라 지칭

운영체제가 업그레이드 됨에 따라 버전 별로 형태와 경로에 변화가 존재

 

리눅스: 

윈도우: 중앙 집중

 

 

- 이벤트 뷰어 -

 

응용 프로그램	윈도우 번들 소프트웨어의 활성화 여부 기록 응용 프로그램이 기록한 다양한 로그가 저장 - 활성화 여부를 기록하며 해당 프로그램의 개발자에 의해 로그 형태가 달라짐
보안	인가/비인가자들의 로그인 시도 및 파일 생성, 열람, 삭제 등의 자원 사용에 관한 기록 감사 정책을 통해 다양한 기록들이 저장
설정	인가/비인가자들의 로그인 시도 및 파일 생성, 열람, 삭제 등의 자원 사용에 관한 기록 감사 정책을 통해 다양한 기록들이 저장
시스템	서비스 실행 여부나 파일 시스템 필터, 디바이스 구성요소가 기록 -시스템 부팅 시 드라이버가 로드 되지 않은 경우와 같은 구성요소의 오류를 기록
전달된 이벤트 (forwarded events)	원격 컴퓨터에서 수집된 이벤트를 저장  구독을 사용하고 있다면 전달된 이벤트 로그에 기록

 

 

 

- 로그 필터링 -

정보	응용 프로그램, 드라이버 또는 서비스가 성공적으로 수행되었음을 기록
경고	시스템에 문제가 발생할 수 있는 문제를 미리 알려줌 디스크 공간이 부족 시 발생
오류	응용 프로그램 또는 구성 요소 외부에 있는 기능에 영향을 줄 수 있는 문제가 발생했음을 나타냄 - 데이타 손실이나 기능 상실 같은 중대한 문제 발생한 경우 - 시스템을 시작하는 동안 서비스가 로그되지 못했을 경우
위험	응용 프로그램 또는 구성 요소가 자동으로 복구할 수 없는 오류가 발생했음을 나타냄

 

 

 

- 이벤트 ID -

로그 유형에 따라 이벤트 ID가 부여

필요한 데이터를 따로 추출해 로그 분석 가능

이벤트 ID	설명
4726	계정 삭제
4624	로그인 성공
4625	로그인 실패
5142	네트워크 공유 개체가 추가
5632	무선 네트워크에 인증을 요청
4689	프로세스를 끝냄
6005	시스템 시작
6006	시스템 종료

 

 

 

- 감사 정책(Audit Policy) -

감사 정책에 따라 로그의 기록 여부가 결정

 

개체 액세스 감사 (권장값 : 감사안함)	객체에 대한 접근 성공/실패 여부를 기록할지 결정하는 항목 - 특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지 - 대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정 (ex. 파일 속성 탭 -> 보안탭) 검사안함 : 객체에 대한 접근을 성공하든 실패하든 로그를 기록 안함(로그가 매우 많이 생성)
계정 관리 감사 (권장값 : 실패)	계정 관리 이벤트를 감사할지 여부를 결정하는 항목 - 신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사 - 사용자의 계정이 잠겨(lock)있더라도 로그가 생성 실패 : 계정 관리 이벤트가 실패 했을 때 생성되는 로그
프로세스 추적 감사 (권장값 : 감사안함)	프로세스 생성, 종료 , 핸들 복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정하는 항목 감사안함 : 프로세스가 성공하든 실패하든 검사를 안함
권한 사용 감사 (권장값 : 실패)	사용자 권한을 이용하려고 할 때마다 이벤트를 생성 할 지 결정하는 항목 - 권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행 시 - 계정을 생성하거나 권한을 변경 시 관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성 실패 : 사용자 권한 사용에 실패 했을 때 생성되는 로그
시스템 이벤트 감사 (권장값 : 감사안함)	시스템 시작,종료 & 보안 로그에 영향을 미치는 이벤트를 기록할지를 결정 하는 항목 - 시스템의 다시 시작하거나 종료되는 경우 - 보안 로그 삭제 등 시스템의 주요한 사항에 대해 검사안함 : 위의 모든 행동에 대해 기록 안함
로그온 이벤트 감사 (권장값 : 성공,실패)	로컬계정에 대한 로그온/오프 성공/실패에 대한 이벤트를 기록할지를 결정하는 항목 - 계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사 성공,실패 : 로컬계정에 대한 로그온/오프 하였을때 성공 시 , 실패 시 모두 로그로 기록
계정 로그온 이벤트 감사 (권장값 : 성공,실패)	도메인 계정의 로그온 성공/실패 로그를 기록할지를 결정하는 항목 성공,실패 : 다른계정이 도메인으로 접속 하였을때 로그인 성공 시 , 실패 시 모두 로그로 기록
정책 변경 감사 (권장값 : 성공,실패)	감사 정책의 변경 시 성공과 실패 이벤트를 기록할지를 결정하는 항목 성공,실패 : 감사 정책의 변경 성공 시 , 실패 시 모두 로그로 기록
디렉터리 서비스 액세스 감사 (권장값 : 실패)	액티브 디렉터리의 SACL(시스템 액세스 제어 목록)에 있는 사용자가 해당 개체에 액세스를 시도 할 때 이벤트생성 할 지 결정하는 항목 실패 : SACL이 있는 액티브 디렉터리의 객체에 실패 했을 때 로그 생성

•