Monthly Archives: 6월 2020

You are here:--6월

[Install Agents] MySQL(CentOS) 로그 분석

1. mysql.conf 다운로드 rsyslog 사용 curl https://repo.plura.io/v4/module/rsyslog/78-mysql.conf -o /etc/rsyslog.d/78-mysql.conf 2. 78-mysql.conf 수정 > mysql error 로그 위치 확인 #vi /etc/rsyslog.d/78-mysql.conf 3. rsyslog 데몬 재 시작 service rsyslog restart 4. PLURA 에서 확인하기 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수 있습니다.(Syslog 필터등록 바로가기)

[Install Agents] 응용프로그램 로그 수집

응용프로그램 로그 中 특별한 키워드를 실시간 탐지하고 싶은 경우 어떻게 하면 될까요? 예를 들어, 아래와 같은 응용프로그램 로그 中 2020010100037 키워드를 실시간 탐지할 경우입니다. 1. 수집되는 로그 확인하기 2. conf 설정하기(rsyslog 사용) ※ 80-application.conf → conf 파일 생성하기 # cd /etc/rsyslog.d/ # vi /etc/rsyslog.d/80-application.conf 3. conf 파일 생성 ※ File = " 로그 경로

[Install Agents] xrdp 로그 분석

1. openvpn.conf 다운로드 rsyslog 사용 curl https://repo.plura.io/v4/module/rsyslog/80-xrdp.conf -o /etc/rsyslog.d/80-xrdp.conf 2. 80-openvpn.conf 수정 > /etc/xrdp/xrpd.ini 로그 위치 확인 [Logging] LogFile=xrdp.log LogLevel=DEBUG EnableSyslog=true SyslogLevel=DEBUG > /etc/xrdp/sesman.ini 로그 위치 확인 [Logging] LogFile=xrdp-sesman.log LogLevel=DEBUG EnableSyslog=1 SyslogLevel=DEBUG #vi /etc/rsyslog.d/80-xrdp.conf 3. rsyslog 데몬 재 시작 service rsyslog restart 4. PLURA 에서 확인하기   위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할 수

[Install Agents] Openvpn 로그 분석

1. openvpn.conf 다운로드 rsyslog 사용 curl https://repo.plura.io/v4/module/rsyslog/80-openvpn.conf -o /etc/rsyslog.d/80-openvpn.conf 2. 80-openvpn.conf 수정 > /etc/openvpn/server/server.conf 로그 위치 확인 log /var/log/openvpn.log log-append /var/log/openvpn.log #vi /etc/rsyslog.d/80-openvpn.conf 3. openvpn server conf 수정 > logging 레벨 확인 verb 4 #vi /etc/openvpn/server/server.conf 4. rsyslog 데몬 재 시작 service rsyslog restart 5. PLURA 에서 확인하기 위 내용을 활용해서 필터를 등록하면 탐지로그를 확인할

NTP 설정

모든 로깅 시스템에서 가장 중요한 것은 시간 동기화입니다. 1. NTP 동기화를 설정하기 CentOS 7 yum -y install ntpdate ntpdate time.google.com systemctl enable ntpdate timedatectl CentOS 8 dnf -y install chrony   vi /etc/chrony.conf #pool 2.centos.pool.ntp.org iburst pool time.google.com iburst   systemctl enable - - now chronyd chronyc sources dnf -y install ntpstat ntpstat timedatectl  

홈페이지 변조 해킹 기술 똑똑해져…보안 강화 필요

해커가 웹사이트를 공격한 후 필요한 정보를 탈취한 후, 이차적인 피해를 위해 홈페이지에 악성코드를 심는다. 혹은 웹 쉘을 이용하여 공격 성공된 사이트에 대하여 지속적인 연결을 유지하려고 한다. 이러한 공격은 홈페이지 위변조를 통해 이루어지는데. 인터넷 기사에 따르면 한국인터넷진흥원(KISA) 에서 2015년부터 연간 1,000회 이상씩 꾸준히 홈페이지 위변조 공격이 발생하고 있다.[1] 하지만 기존 SIEM 이나 보안장비들은 이러한 공격에 대하여