PLURA V5 서비스는 정보보안을 목적으로 보안에 관한한 직접적이고 디테일한 접근을 시도 하고 있습니다.

◈ SYSLOG 정책 이란

  • 리눅스는 기본적으로 Syslog를 통해 기능별로 로그를 기록합니다.
  • /etc/rsyslog.conf 의 내용입니다.
    #### RULES ##### Log all kernel messages to the console.
    # Logging much else clutters up the screen.
    #kern.* /dev/console
    # Log anything (except mail) of level info or higher.
    # Don’t log private authentication messages!
    *.info;mail.none;authpriv.none;cron.none /var/log/messages
    # The authpriv file has restricted access.
    authpriv.* /var/log/secure
    # Log all the mail messages in one place.
    mail.* -/var/log/maillog
    # Log cron stuff
    cron.* /var/log/cron
    # Everybody gets emergency messages
    #*.emerg *
    # Save news errors of level crit and higher in a special file.
    uucp,news.crit /var/log/spooler
    # Save boot messages also to boot.log
    local7.* /var/log/boot.log

◈ 프루라 서비스 SYSLOG 정책

  • 프루라 서비스를 설치하면 최신 버전의 Rsyslog가 설치 및 업데이트되며, CEETemplate이 추가됩니다.
    template(name=”CEETemplate” type=”list”) {
    constant(value=”{“)
    constant(value=””@ceelog”: “)
    constant(value=”{“) property(format=”jsonfr” name=”timegenerated” dateformat=”rfc3339″)

    constant(value=”,”) property(format=”jsonfr” name=”msg”)
    constant(value=”}”)
    constant(value=”}n”)
    }
  • 프루라 에이젼트는 모든 Syslog들을 Ceelog에 기록합니다.
  • *.* 는 모든 “기능”과 “심각도”의 로그를 기록한다는 의미입니다.
    ex) authpriv.info /var/log/secure : authpriv라는 기능에 심각도가 info이상부터 로그를 /var/log/secure에 기록한다는 의미임.
  • *.* 이 부분은 사용자가 기업의 특성에 맞게 수정할 수 있습니다.
    $ModLoad mmjsonparse
    *.* :mmjsonparse:
    *.* /var/log/ceelog; CEETemplate
  • /var/log/ceelog 의 내용은 다음과 같습니다
    [root@centos6 ~]# tail -f /var/log/ceelog
    –––––[pyellow][2015-11-19 15:36:41]–––––
    –––––[pyellow][2015-11-19 15:37:41]–––––
    {“@ceelog”: {“timegenerated”:”2015-11-19T15:42:48.277991+09:00″,”programname”:”rsyslogd”,”hostname”:”centos6″,”syslogtag”:”rsyslogd:”,”pri”:”46″,”pri-text”:”syslog.info”,”syslogfacility”:”5″,”syslogfacility-text”:”syslog”,”syslogseverity”:”6″,”syslogseverity-text”:”info”,”msg”:” [origin software=”rsyslogd” swVersion=”8.14.0″ x-pid=”32139″ x-info=”http://www.rsyslog.com”] exiting on signal 15.”}}

    {“@ceelog”: {“timegenerated”:”2015-11-19T15:42:48.447644+09:00″,”programname”:”rsyslogd”,”hostname”:”centos6″,”syslogtag”:”rsyslogd:”,”pri”:”46″,”pri-text”:”syslog.info”,”syslogfacility”:”5″,”syslogfacility-text”:”syslog”,”syslogseverity”:”6″,”syslogseverity-text”:”info”,”msg”:” [origin software=”rsyslogd” swVersion=”8.14.0″ x-pid=”7463″ x-info=”http://www.rsyslog.com”] start”}}