구축환경
CentOS 7.6 Minimal - (www.centos.org)
VirtualBox 7.0 - (www.virtualbox.org)
Log 서버
Log 클라이언트
알고가기
Log란 말 그대로 기록이다. 특정 이벤트가 발생했을 때 기록을 남기는데, 시스템 및 사용자에 대한 분석을 하기 위함이다. 종류는 시스템 로그, 애플리케이션 로그, 커널 로그 등이 있고 심각도에 따라서 0-7단계까지 구분하여 기록한다.
Emergency: 가장 높은 심각도
Debug: 가장 낮은 심각도
예를 들어 4단계인 Warning을 기본 로그 기록 단계로 설정한다면, 4단계까지의 이벤트에 대해서만 기록하게 되는 것이다.
서버/클라이언트 모두
yum install -y rsyslog rsyslog-doc → rsyslog 설치
systemctl start rsyslog && systemctl enable rsyslog → rsyslog 시작
서버
내 서버 머신 기준 15, 16, 19, 20번 주석(#) 제거
☞ TCP/UDP 514번 포트로 로그를 수신할 모듈을 로드 하는 것(TCP, UDP 둘 중 하나만 해도 된다.)
wq! → 저장 후 나오기
systemctl restart rsyslog → rsyslog 재시작
firewall-cmd --permanent --add-port=514/tcp → 514/tcp 포트 허용
firewall-cmd --permanent --add-port=514/udp → 514/udp 포트 허용
firewall-cmd --reload → 재시작
클라이언트
vi /etc/rsyslog.conf → 파일 수정모드 진입
:set nu→ 넘버링
90번 주석 해제 후 *.* @@서버IP주소:514 로 수정
92번 *.* @서버IP주소:514 추가
★ 90번과 92번에서 @의 의미
@@ : udp 이용
@: tcp 이용
wq! → 저장 후 나오기
systemctl restart rsyslog → rsyslog 재시작
서버
①
yum install -y net-tools → net-tools 설치
netstat -a → 이 명령어로 모든 네트워크 정보를 확인 할 수 있다.
netstat -natpl | grep 514 → 514번 포트의 네트워크 정보를 확인할 수 있다.
현재는 우리가 rsyslog를 모두 514번으로 지정해두었기 때문에 모자이크한 부분은 각각 서버, 클라이언트이다. 잘 연결된 것을 볼 수 있다.
②
yum install -y lsof → lsof 설치
lsof -i tcp:514 → 514/tcp 포트의 현재 상태 확인
밑줄을 보면 현재 모자이크 처리된 부분이 클라이언트IP주소다. 연결이 잘 되었다는 것을 볼 수 있다.
실시간 작업유무 테스트
서버
tail -f /var/log/messages → tail 즉 꼬리 밟기를 하겠다는 뜻이다. 실시간으로 작업유무를 볼 수 있다.
클라이언트에서 몇가지 명령어들을 실행해보고 로그서버에서 기록들을 받아오는지 확인하자.
클라이언트
간단하게 ssh 데몬을 멈췄다가 시작해봤다. 이제 다시 서버로 가서 기록을 받아오는지 확인할 차례다.
서버
로그가 실시간으로 잘 반영되는 것을 확인할 수 있었다. ssh 데몬을 멈춤과 시작 모두 잘 받아오는 중.
tail모드가 실행 중일 때는 실시간으로 로그를 계속 받아오기 때문에 그만 보고싶다면 ctrl + c 를 눌러서 빠져나오면 된다.
또한 서버에서 vi /var/log/messages 명령어로 파일에 들어가면 실시간이 아닌 '저장된' 로그들을 열람할 수 있다.
이번 포스팅은 여기서 마쳐야겠다.
다음에 언젠가는 로그와 관련된 loganalyzer을 포스팅할텐데 아마 오늘 포스팅과 거의 비슷할거 같다.
'정보보안실무 > 서버, 클라우드' 카테고리의 다른 글
S-Part. 12 Loganalyzer 구축하기 - [인스테도뷰] (0) | 2023.03.19 |
---|---|
S-Part. 11 DNS 구축하기 - [인스테도뷰] (0) | 2023.03.19 |
S-Part. 09 NFS 서버와 클라이언트 구축하기 - [인스테도뷰] (0) | 2023.03.18 |
S-Part.08 PUTTY 접속하기 - [인스테도뷰] (0) | 2023.03.18 |
S-Part.07 MariaDB 실습 - [인스테도뷰] (0) | 2023.03.18 |