• 뉴스
  • 보안정보

보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

일반로그 수집을 통한 시스템 모니터링

2020.05.29

7,621


 

 

 

 

01. 개요

 

현재 당사의 SIEM은 시스템 및 솔루션의 보안 이벤트를 포함해 로깅되는 모든 이벤트를 수집/활용할 수 있다. 하지만 대부분의 고객사는 보안 이벤트를 기준으로 정책을 세우고 침해사고 발생 시 그에 따른 분석에 활용하는 보안 관제에 특화된 솔루션으로만 활용되고 있다. 

 

그러나 보안관제 영역에서 보여줬던 강점들 만큼이나 시스템 및 솔루션 관리를 위해서 활용하는 방법 또한 무궁무진하다. 이번 호에서는 시스템 및 솔루션의 로깅을 활용한 관리 및 서비스 장애 사전예방을 위한 방안을 살펴보자. 

 

02. SIEM 일반로그

 

SPiDER TM V5.0 에서는 각 프로세스 별로 로그를 텍스트 형태로 남기게 되는데, 이를 분석하여 프로세스 정상 동작 여부 및 장애 발생 시 트러블슈팅으로 활용한다.

 

아래 표에서는 각 프로세스 별 로그 위치, 로그 파일명, 프로세스에 대한 간략한 설명을 나타내고 있다.

 

 

 

03. SIEM 프로세스 모니터링

 

1) Virgo GM/LM 연결 실패 단일 경보 설정

 

 

Virgo GM과 LM간의 연결 실패 오브젝트 조건을 활용하여, 단일 경보 설정을 한다.

 

 -  로그유형이 Virgo 프로세스 중 analysis 인 경우

 -  analysis.log 로그 안에 result : false 문장이 포함되어 있는 경우

 -  analysis.log 로그 안에 “Thread_3” 문구는 제외

 

 

 

▶ 경보 발생 및 분석

 

실제 Virgo GM과 LM 간의 세션 연결 실패 시 아래 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 

 

 

2) Virgo 프로세스 자가보호 단일 경보 설정

 

 

Virgo 분석 엔진에서 룰 부하로 인해 자가보호로 바뀐 정책에 대해 단일 경보 설정을 한다.

 

 - 로그유형이 Virgo 프로세스 중 protection 인 경우

 - protection.log 로그 안에 status=pause 문장이 포함되어 있는 경우

 

 

▶ 경보 발생 및 분석

 

실제 룰 부하로 인해 경보가 중지될 경우 아래 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 


 

3) SpDbReader 에러 단일 경보 설정 

 

SpDbReader 프로세스 사용 중 데이터베이스와의 연결 문제 발생에 대해 단일 경보 설정을 한다.

 

 -  프로세스가 SpDbReader 인 경우

 - SpDbReader_error_alyac.js.log 로그 안에 jdbc.SQLServerException 문장이 포함되어 있는 경우

 



▶ 경보 발생 및 분석

 

SpDbReader 프로세스가 동작중인 상태에서 데이터베이스와의 연결 문제가 발생할 경우 아래와 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 

 

4) Middleware 에러 단일 경보 설정 

 

 

Middleware 프로세스 사용 중 여러 가지 문제 발생에 대해 단일 경보 설정을 한다.

 

-  프로세스가 middleware 인 경우

 - spider-x_error_log.txt 로그 안에 RDB 관련 로그는 제외

 

 

▶ 경보 발생 및 분석

 

Middleware 프로세스가 동작중인 상태에서 RDB 외의 다른 에러가 나타날 경우 아래와 그림과 같이 경보가 발생하게 된다.

 

 

발생한 경보에 대한 근거 이벤트를 [경보명 – 마우스로 클릭]으로 확인할 수 있다.

 


 

04. 결론

 

지금까지 당사 SIEM(SPiDER TM V5.0)에서 사용하는 프로세스 관리에 필요한 로그를 수집하여 활용하는 방안을 알아보았다.

가장 기본적인 내용으로 구성되었지만, 실제 현장에서의 활용 방안은 무궁무진하다고 생각한다. 대부분의 솔루션은 이상 동작 및 오류 발생시 남겨진 로그를 활용하여 분석 및 장애대응이 이뤄진다.

솔루션을 담당하는 엔지니어도 문제가 발생한 시점의 로그를 토대로 분석 및 대응작업을 진행하듯이

로그의 수집 및 정책 설정을 통해, 솔루션의 이상징후를 사전에 확인하고 장애 발생시 보다 빠른 대응이 가능하도록, 발생된 문제에 따른 실질적인 정보의 취합이 이뤄질 수 있다. 만일, 관리에 어려움 또는 잦은 장애로 인한 불편을 야기하는 제품이 있다면, 솔루션 자체의 로그를 활용한 관리적 관제를 병행하는 것도 유익한 방향이라고 생각한다. 

 

 

 

목록