LogQuest Tip
From 컴플라이언스 & 클라우드컴퓨팅 기업 이너버스
[edit]
Installation/Upgrade/License
[edit]
라이센스 갱신
- 30일 혹은 60일 라이센스 사용 후 정품 라이센스로 변경을 원하실 경우 제품을 삭제 후 재설치 하여야 합니다.
[edit]
LogQuest VF Server 프로그램의 업그레이드 방법
[edit]
Tip
[edit]
숨겨진 기능 1
- LogQuest 정보로그창의 맨 위 파란색 바를 더블클릭하면 왼쪽 프로젝트와 패턴 패널이 사라지고 로그만 넓게 볼 수 있습니다.
[edit]
숨겨진 기능 2
- 입력할 수 있는 텍스트 필드(라인이동, 하이라이트, 검색, whois등등)에 오른쪽마우스를 클릭해보세요.
- 붙여넣기, 복사, 삭제 할 수 있는 팝업이 뜹니다.
[edit]
LogQuest 서버 쪽에 암호가 들어있는 파일
- config/server.properties 안에 있습니다.(LogQuest Server 모듈은 별도 구매해야 합니다.)
- LQ VF 클라이언트에서 LogCenter로 접속할 때에 이 파일 안에 있는 비밀번호를 참조합니다.
[edit]
Usage
[edit]
LogCenter로 접속 시의 기본 비밀번호는 뭔가요?
- 초기 비밀번호는 !1q2w3e 로 설정되어있습니다.
[edit]
리눅스에 서버를 설치했습니다. LogQuest 서버모듈은 어느 경로에 제품이 설치되나요?
- LQ_VF 5.0 버전에서는 기본적으로 /root 디렉토리 아래에 제품명으로 설치가 됩니다만 사용자가 설치 시에 선택이 가능합니다.((LogQuest Server 모듈은 별도 구매해야 합니다.)
- /root/Innerbus_LogQuest_Vf_Server
[edit]
컬럼 고급설정의 예
- <133>ns5gt: 를 (133)과 (ns5gt)로 컬럼 구분
- {delete}<{split}>{split}:{delete}
- device_id=ns5gt 를 (ns5gt)만 남도록 구분
- {delete}devide_id={string}
- start_time="2007-01-01 01:10:21" 에서 (2007-01-01 01:10:21)만 남도록 설정
- {delete}start_time="{split}"{delete}
[edit]
정규표현식의 사용
- 사용자가 주로 사용할 정규식등을 예상하여 예문을 작성해야 할것임.
- 정규식 예
| 번호 | 정규식 | 설명 |
|---|---|---|
| 1 |
c[a-z]* | c로 시작하는 영단어 |
| 2 |
c[a-z] | c로 시작하는 두 자리 영단어 |
| 3 |
c[a-zA-Z] | c로 시작하는 두 자리 영단어
(a~z 또는 A~Z, 즉 대소문자 구분안함) |
| 4 |
c[a-zA-Z0-9] | c로 시작하고 숫자와 영어로 조합된 두 글자 |
| 5 |
.* | 모든 문자열 |
| 6 |
c. | c로 시작하는 두 자리 |
| 7 |
c.* | c로 시작하는 모든 문자열(기호포함) |
| 8 |
c\. |
c.와 일치하는 문자열 '.'은 정규식표현에 사용되는 문자이므로 escape문자인 '\'를 사용해야한다. |
| 9 |
c\d | c와 숫자로 구성된 두 자리 문자열 |
| 10 |
c.*t | c로 시작하고 t로 끝나는 모든 문자열 |
| 11 |
[b|c].* | b 또는 c로 시작하는 문자열 |
| 12 |
[^b|c].* | b 또는 c로 시작하지 않는 문자열
|
| 13 |
.*a.* |
a를 포함하는 모든 문자열 |
| 14 |
[b|c].{2} |
b 또는 c로 시작하는 세 자리 문자열. (b 또는 c 다음에 두 자리이므로 모두 세 자리) |
| 15 |
.*&Gotopage=1$ |
'&Gotopage=1'로 끝나는 문자열. |
| 16 |
.*(0:36:41|65.54.188.79).* |
'0:36:41' 또는 '65.54.188.79' 를 포함하는 문자열 |
- 정규식은 유효성을 검사하는데 자주 사용합니다. 아래는 IP의 유효성 검사에 사용하는 정규식입니다.
(([2][5][0-5]|[2][0-4][0-9]|[0-1][0-9][0-9]|[0-9][0-9]|[0-9])\\.){3}
([2][5][0-5]|[2][0-4][0-9]|[0-1][0-9][0-9]|[0-9][0-9]|[0-9])
- 위의 정규식이 어떻게 IP 유효성을 검사는데 사용되는지 확인해 볼까요?
- 위 정규식은 다시 이렇게 쓸 수 있습니다.
1. A = ([2][5][0-5]|[2][0-4][0-9]|[0-1][0-9][0-9]|[0-9][0-9]|[0-9])
2. (A\\.){3}A
- 우선 IP가 어떤 규칙을 갖고 있는지 생각해 보죠.
- IP는 "???.???.???.???" 이런 형태로 되어 있죠.
- "."을 기준으로 4구역으로 나눌 수 있습니다.
- 각구역은 0~255까지의 숫자만 입력할 수 있습니다.
- 각 자리가 어떤 의미가 있는지는 네트워크관련 서적을 참고해 보시구요:)
- 좀 간단해 보이는 2번 부터 시작하죠
- (A\\.){3}A
- "A."문자열이 3자리 반복되고 "A"문자열로 끝나야 한다는 의미 입니다.
- A.A.A.A 와 같은 의미죠.
- 표의 8번, 14번을 참고하면 금방 이해 하실 수 있습니다.
- 1번은 무지하게 길지만 별거 아닙니다.
- 파이프구분자가"|" 있습니다. 우선 파이프구분자는 "또는" 이라는 의미죠.
- 파이프로 문자들을 나누어 보면
- [2][5][0-5]
- [2][0-4][0-9]
- [0-1][0-9][0-9]
- [0-9][0-9]
- [0-9]
- 대괄호"["는 문자열 1자리를 말합니다. 그러니까
- [2][5][0-5]: 3자리 문자열
- [2][0-4][0-9]: 3자리 문자열
- [0-1][0-9][0-9]: 3자리 문자열
- [0-9][0-9]: 2자리 문자열
- [0-9]: 1자리 문자열
- 괄호 안의 숫자는 범위를 나타내죠.
- [2][5][0-5]: 250-255까지의 숫자로만 구성된 문자열
- [2][0-4][0-9]: 200-249까지의 숫자로만 구성된 문자열
- [0-1][0-9][0-9]: 000-199까지의 숫자로만 구성된 문자열
- [0-9][0-9]: 00-99까지의 숫자로만 구성된 문자열
- [0-9]: 0-9까지의 숫자로만 구성된 문자열
- 이제 2개를 합쳐보면 되겠죠.
- "(250-255 또는 200-249 또는 000-199 또는 00-99 또는 0-9)."이 3번 반복
- "(250-255 또는 200-249 또는 000-199 또는 00-99 또는 0-9)"으로 끝나야 함.
[edit]
날짜포맷 설정에 사용되는 문자의 의미?
- 특수한 경우의 예
- 20070319.00h53m56s
- 날짜포멧에서 다음과 같이 추가정의하여 적용합니다. : yyyyMMdd.HH'h'mm'm'ss's'
- Wed, 4 Jul 2001 12:08:56 -0700
- EEE, d MMM yyyy HH:mm:ss Z
- 20070319.00h53m56s
- 보다 많은 예제와 각 문자의 세부 의미는 다음 페이지를 참조하세요
[edit]
프로젝트 생성 시에 파일 목록 필터에서 파일크기 필터 시 압축파일의 사이즈 기준은?
- 압축파일은 압축된 파일 자체의 크기가 아닌, 압축을 하기 전의 원본 로그 사이즈를 기준으로 필터가 됩니다.
[edit]
여러개의 zip 파일을 선택하여 한 번에 필터링 하는 방법
- zip압축의 경우에는 gzip과는 달리 하나의 압축 파일에 다수의 파일이 들어있을 수가 있습니다. 그래서 원본 로그 탭에서 여러개의 zip 파일을 선택하여 바로 필터 등을 할 수가 없는데요, 이 때에는 작업마법사를 사용하여 하실 수가 있습니다. 아래의 동영상을 참고하세요
- 동영상
[edit]
LogQuest는 무엇을 할 수 있고, 어떠한 보고서를 보여줄 수 있나요?
- 기존의 로그분석 소프트웨어의 문제점은 정해진 포맷의 로그만 지원을 하며, 또한 정해진 보고서만 볼 수가 있었습니다. 이너버스의 LogQuest는 원본로그를 사용하여 지속적으로 늘어나는 장비들과 그에 따라 새롭게 늘어나는 로그 형식에 구애받지 않습니다. 사용자가 원하는 보고서를 생성을 통한 통계는 물론 해당하는 원본로그까지 찾을 수 있도록 해줍니다.
- 생성할 수 있는 보고서의 예
- 특정 포트나 IP등을 통하여 공격시도/전파되는 바이러스나 웜의 흔적 확인
- 허용하지 않았거나 일반적이지 않은 포트로 나가거나 들어오는 트래픽에 대한 요약 및 Drill Down하여 해당하는 원본 로그 조회가 가능
- 로그인 실패 요약을 통하여 오랜 시간에 걸친 느린 공격에 대한 공격 의심자 확인
- 기타 내/외부의 시스템 침입 흔적이나, 바이러스/웜의 전파, 사내 직원들의 네트워크 사용, HTTP< FTP, SMTP 등의 서비스 사용현황 및 세부 사용자 등
[edit]
LogQuest에서 어느 사용자가 언제 접속을 시도하였는지 알 수 있나요?
- 기본적으로 LogQuest는 로그를 기반으로 분석을 합니다. 이에 따라 기본적으로 위의 내용에 대한 정보가 로그에 포함이 되어 있어야 합니다.
- 로그에 포함되어 있지 않은 내용을 가지고는 당연히 위의 결과를 알 수는 없습니다.
[edit]
해킹에 대한 시도는 LogQuest에서 확인이 가능한가요?가능하다면 어떻게 확인이 가능한가요?
- (네트워크 장비나 방화벽 관련 로그를 오픈해서 이상 접속자의 해킹 시도 흔적이나 이러한 시도로 부터 어떤 조치를 취할 수 있는지 등)
- 방화벽에서 Rule에 의해 하나의 이벤트에 대해 과다 트래픽을 유발시키는 IP에 대해서는 접근이 차단이 됩니다. 하지만, 예를 들어 1,200,000 트래픽 유발 IP는 차단하라고 했지만 실제로 1,000,000씩 5분마다 접속한다면 하루 전체의 해당 IP가 유발하는 BandWidth는 실로 엄청납니다.
- 실제로 실시간으로 들어오는 패킷을 정책적으로 아무리 차단하더라도 정책허용 범위내의 정보를 얻는것은 원시로그에서 일일이 수작업으로 확인하는 방법 밖엔 없습니다.
- 특정한 목적을 가지고 DOS공격을 한다면 현실적으로 매우 막기가 어렵습니다.
- 일단, Rule의 약 30% 정도 아래의 트래픽 값을 원시로그에서 추출한 다음, 추출된 원시로그 에서, IP별로 횟수 및 트래픽 양을 조사한다면, 상위 IP가 어떤 목적으로 사이트에 접속 또는 공격하는지를 객관화 할 수 있습니다.
- 여기서 얻어진 정보를 바탕으로 역으로 방화벽 정책에 IP를 차단한다든지, 룰을 변경/추가한다든지 등의 피드백을 할 수 있습니다.
[edit]
윈도우 로그로는 어떠한 정보를 추출해 낼수 있나요?
- 이벤트 ID를 바탕으로 시스템 이벤트에 대한 발생 내역을 확인할 수 있습니다.
