logstash13 클라우드와 온프레미스 환경 각각의 장단점 고려한 보안로그 통합관리 AWS 환경에서 CloudWatch, Data Firehose, S3, Logstash 및 OpenSearch를 사용하여 로그를 처리하고 관리하는 과정에서 겪고 계신 문제는 흔히 발생할 수 있습니다. 이와 같은 복잡한 파이프라인에서 로그 형식과 데이터 처리의 호환성 문제를 해결하는 데에는 여러 접근 방법이 있습니다. 다음은 상황에 맞는 몇 가지 효과적인 방안을 제안드립니다.1. CloudWatch Logs와 Data Firehose Transformation 사용AWS Data Firehose는 로그 데이터를 처리하고 변환할 수 있는 기능을 제공합니다. Data Firehose의 변환 기능을 사용하여 CloudWatch에서 오는 로그 데이터를 S3로 전송하기 전에 필요한 형식으로 변환할 수 있습니다. 이.. 2024. 7. 21. Linux 프로세스 및 파일 추가/변경/삭제 이벤트 로그수집 및 감사 auditd를 통해 실행되는 프로세스 이벤트와 파일 추가/변경/삭제 이벤트를 로그로 기록하고 수집할 수 있습니다. 강력한 Linux 감사 프레임워크로, 다양한 시스템 이벤트를 모니터링하고 기록할 수 있습니다. 이를 위해서는 auditd를 설정하고 필요한 규칙을 정의해야 합니다. 다음은 auditd를 설정하고 프로세스 및 파일 이벤트를 모니터링하는 방법입니다.auditd 설치: CentOS 5에서는 auditd를 다음과 같이 설치할 수 있습니다.yum install auditauditd 서비스 시작: auditd 서비스를 시작하고 부팅 시 자동으로 시작되도록 설정합니다.service auditd startchkconfig auditd on규칙 정의: /etc/audit/audit.rules 파일에 규칙을 .. 2024. 7. 18. 사용자 세션을 장악하는 세션 고정(Session Fixation) 공격 기법 웹 보안은 공격자로부터 사용자의 데이터를 보호하고, 시스템의 무단 접근을 차단하기 위해 필수적입니다. 세션 고정과 같은 공격은 사용자의 세션을 탈취하여 민감한 정보에 접근하거나 권한을 부여받지 않은 행동을 할 수 있게 합니다. 이를 방지하기 위해, 다음과 같은 배경 지식과 대응 방안, 그리고 유사 위험의 모니터링 및 관리 전략을 제시합니다.배경 내용세션 고정 공격은 공격자가 임의의 세션 ID를 생성하거나 선택하여 사용자에게 강제로 사용하게 만든 후, 사용자가 해당 세션 ID로 인증 절차를 완료하면 공격자가 해당 세션을 탈취하는 공격입니다. 공격자는 이를 통해 사용자의 인증된 세션을 제어할 수 있게 됩니다. 이 공격의 핵심은 웹 애플리케이션의 세션 관리 취약점을 이용하는 것입니다.대응 방안1. 세션 관리 .. 2024. 5. 23. 네트워크 패킷 실시간 수집분석 효율적인 중복제거 및 특이사항 필터링 네트워크 패킷을 syslog를 통해 수집할 때, 데이터의 양이 많아 중복 항목을 효율적으로 제거하는 방법(Network Packet Deduplication Strategies)은 여러 가지가 있습니다. 중복 데이터를 제거하는 것은 저장 공간을 절약하고, 분석을 더 빠르고 정확하게 만들어줍니다.해시 함수 사용: 각 패킷에 대한 해시 값을 계산하고, 이 값을 기반으로 중복을 확인합니다. SHA-256 또는 MD5와 같은 해시 함수를 사용하여 각 패킷의 고유한 지문을 생성할 수 있습니다. 이 방법은 데이터의 무결성 검사에도 유용합니다.데이터 정규화: 데이터를 분석하기 전에, 가능한 한 모든 패킷을 표준 형식으로 정규화합니다. 이것은 IP 주소, 타임스탬프 등의 필드에서 발생할 수 있는 미세한 차이를 제거하여.. 2024. 5. 15. 실시간 파이프라인 데이터 수집을 위한 Logstash의 grok 필터 설정 실시간 파이프라인(Real-time Data Pipeline) 기능을 통한 데이터 수집을 위해 로그 메시지를 구문 분석하고 필드를 추출하기 위한 Logstash의 grok 필터 설정 부분에 대해서 아래 예제 코드를 통해서 각 부분별로 정리해보고자 합니다. #Initial log extraction mutate { gsub => ["message", "([\\w]+)Usuario:", "$1 Usuario:"] } grok { match => { "message" => [ "()?%{GREEDYDATA:ts} %{HOSTNAME:.. 2024. 5. 2. 이전 1 2 3 다음 728x90
