Security. unlimited possibilities

<Log Parser>

Log Parser는 마이크로소프트에서 제공하는 무료 도구로서 이벤트 로그 분석 시, 많은 양의 로그에서 원하는 정보만 추출하거나 통계를 낼 때 사용가능한 도구이다. 기본적으로 SQL문 기반으로 사용되며, 현재 배포된 최신버전은 2.2 버전이다.

http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

다만, 위 파일은 설치하여야 사용이 가능하기 때문에, 하나의 PC에서 수집된 이벤트 로그를 분석할 때만 유용하다. 즉, 이동성이 없다. 따라서, 아래에는 "포터블버전"으로 생성한 Log Parser 파일을 첨부한다. ( USB에 담아서 사용하면 꽤 괜찮다. 다만 32bit버전에서 생성된 포터블버전임을 잊지말자! )

Portable_LogParser_v2.2.zip

[ Log Parser 도구 활용 ]

□ 많은 양의 이벤트 로그를 찾고자 하는 로그의 Event ID나 프로세스 이름 등 적은 정보만을 이용하여 사용자가 원하는 로그를 추출할 수 있다.

□ 점검 시 추출해 내고자 하는 정보가 같은 경우, SQL Query문을 파일로 기록하여, 매번 Query문을 입력하는 번거로움 없이 빠르게 정보를 가져올 수 있다.

□ 통계 데이터 추출을 통해 이상징후를 알아 볼수 있다. ( 예를들어 ,로그인 접근시도의 통계를 내어 접근시도의 증가율 등을 확인하여 공격시도가 있었는지 등을 확인 )

[ 사용법 ]

'Event_Log_Fields'

(S: string type / I: Integer type / T: timestamp)

'출력형식'

CSV / CHART / NEUROVIEW / NAT / W3C / TSV / DATAGRID

2부에.. 계속..

이 도구는 Windows에 기본 방화벽을 사용하는 사용자에게 꽤나(?) 유용한 도구이다. 방화벽의 복잡한 로그를 간편한 GUI를 통해 점검&확인할 수 있게 지원해 준다.

만약 이 도구를 사용하고자 한다면, 기본 방화벽의 로깅 기능을 활성화하는 것을 잊지 말아야 한다.

기본 방화벽의 로깅 설정은, 아래의 경로에서 설정/확인 가능하다.

제어판 > windows 방화벽 > 고급 설정 > Windwos 방화벽 속성 > 도메인 프로필 > 로깅 > 사용자 지정

참고로, 방화벽 로그파일의 기본 Path는 아래와 같다.

▷ %SYSTEMROOT%\system32\logfies\firewall\pfirewall.log

<시스템 요구사양>

Windwos XP / Vista / Windows 7 - 32bit/64bit

다운로드:

WinFWLogAnalyser.zip

보안업무와 관련된 로그를 점검&분석할 때 가장 많이 혼란스러워 하는 이유는 어떤 로그를 점검&분석해야 하는지를 목록화하는 것이다. 이는 상당한 경험이 있는 사람일지라도 마찬가지가 아닐까 생각한다.

아래의 보안 점검 체크리스트가 이와같은 혼란을 감소시킬 수 있을지는 모르지만, 참고하여 로그 점검&분석을 일상화하는데에는 좋은 자료가 될 수 있을 것이라는 생각이든다.

security-incident-log-review-checklist.docx

위 문서는 아래와 같은 구성으로 되어있다. ( 분석 대상에 맞는 타입의 체크리스트를 활용할 것 )

□ General Approach

□ Potential Security Log Sources

□ Typical Log Locations

□ What to Look for on Linux

□ What to Look for on Windows

□ What to Look for on Network Devices

□ What to Look for on Web Servers

□ Other Resources

또한, 위 체크리스트와 함께 윈도우 관련된 로그 점검&분석 때 항상 검색하게되는 이벤트ID가 잘 정리된 사이트 정보를 이 글에 함께 기록한다.

http://eventopedia.cloudapp.net/Events/?/Operating+System/Microsoft+Windows/Built-in+logs/Windows+2000-2003/Security+Log

The open source log management tools are:

1. OSSEC (ossec.net) an open source tool for analysis of real-time log data from Unix systems, Windows servers and network devices. It includes a set of useful default alerting rules as well as a web-based graphical user interface. This is THE tool to use, if you are starting up your log review program. It even has a book written about it.
   
2. Snare agent (intersectalliance.com/projects/index.html) and ProjectLasso remote collector (sourceforge.net/projects/lassolog) are used to convert Windows Event Logs into syslog, a key component of any log management infrastructure today (at least until Visa/W7 log aggregation tools become mainstream).
   
3. syslog-ng (balabit.com/network-security/syslog-ng/) is a replacement and improvement of classic syslog service - it also has a Windows version that can be used the same way as Snare
   
4. rsyslog (rsyslog.com) is another notable replacement and improvement of syslog service that uses traditional (rather than ng-style) format for syslog.conf configuration files. No Windows version, but it has an associated front-end called phpLogCon
5. Among the somewhat dated tools, Logwatch (logwatch.org), Lire (logreport.org) and LogSurfer (crypt.gen.nz/logsurfer) can all be used to summarize logs into readable reports.
   
6. sec (simple-evcorr.sourceforge.net) can be used for correlating logs, even though most people will likely find OSSEC correlation a bit easier to use
7. LogHound (ristov.users.sourceforge.net/loghound) and slct (ristov.users.sourceforge.net/slct) are more "research-grade" tools, that are still very useful for going thru a large pool of barely-structured log data.
8. Log2timeline (log2timeline.net/) is a useful tool for investigative review of logs; it can create a timeline view out of raw log data.
   
9. LogZilla (aka php-syslog-ng) (code.google.com/p/php-syslog-ng) is a simple PHP-based visual front-end for a syslog server to do searches, reports, etc