LogParser.

Slides:

Advertisements

Similar presentations

10장. 시기별 학급경영 11조 염지수 이 슬 권용민 신해식.

Advertisements

일본 근세사. (1) 에도막부의 개창 ( ㄱ ) 세키가하라의 전투 (1600) - 히데요시의 사후 다섯 명의 다이로 ( 大老 ) 가운데 최대 영지 (250 만석 ) 를 보유하고 있던 도쿠가와 이에야스가 급부상. 이에 이에야스와 반목해 온 이시다 미쓰나리 ( 石田三成 ),

아니마 / 아니무스 송문주 조아라. 아니마 아니마란 ? 남성의 마음속에 있는 여성적 심리 경향이 인격화 한 것. 막연한 느낌이나 기분, 예견적인 육감, 비합리적인 것에 대 한 감수성, 개인적인 사랑의 능력, 자연에 대한 감정, 그리.

대구가톨릭대학교 체육교육과 06 학번 영안중학교 체육교사 신웅섭 반갑습니다. 반야월초등학교 축구부 대륜중학교 축구부 대륜고등학교 대구가톨릭대학교 차석 입학 대구가톨릭대학교 수석 졸업 2014 년 경북중등임용 체육 차석 합격 영안중학교 체육교사 근무 소개.

일장 - 1 일 24 시간 중의 명기 ( 낮 ) 의 길이 ( 밤은 암기, 낮은 명기 ) 광주기성 - 하루 중 낮의 길이의 장단에 따라 식물의 꽃눈 형성이 달라지는 현상 일장이 식물의 개화현상을 조절하는 중요한 요인 단일식물 - 단일조건에서 개화가 촉진되는 식물 장일식물.

2 학년 6 반 1 조 고은수 구성현 권오제 김강서.  해당 언어에 본디부터 있던 말이나 그것에 기초하여 새로 만들어진 말  어떤 고장 고유의 독특한 말  Ex) 아버지, 어머니, 하늘, 땅.

1. Section I. 웹 프로토콜과 로그의 이해 1. 웹 프로토콜 1.1 통신 절차 1.2 HTTP Request 1.3 HTTP Response 2. 웹 로그 2.1 W3C 유형 2.2 NCSA 포맷 2.3 로그 분석 2.

-이 실습을 통해 반영적 의사소통(적극적 경청)과 비 반영적인 의사소통(걸림돌)의 차이점을 많이 발견하도록 해 줍니다.

“할배들의 수다” 전통시장 최고의 집을 찾아라

2014년도 교원 및 기간제교사 성과상여금 전달교육 개 회 국기에 대한 경례 - 인사말

SQLite 소개 및 안드로이드에서의 사용법

선진 고양교육 “유아교육 행정 업무 연수” 유치원 회계실무 및 유아학비 연수 경기도고양교육청.

DB Injection과 대응방안 nwkim.

묵자 겸애, 비명, 비공, 상현, 상동, 천지, 명귀, 삼표 법.

소리가 작으면 이어폰 사용 권장!.

12 프로젝트 실습.

내 아이를 위한 구강관리.

제16장 원무통계 • 분석 ☞ 통계란 특정의 사실을 일정한 기준에 의하여 숫자로 표시한 것을 말한다.통계로서 활용할 수 있는 조건으로는 ① 동질성을 지녀야 하고 ② 기준이 명확하고 ③ 계속성이 지속되어야 하며 ④ 숫자로 표시하여야 한다 경영실적의.

질의어와 SQL 기본 SQL 고급 SQL 데이타의 수정 데이타 정의 언어 내장 SQL

서울지방세무사회 부가세 교육 사진클릭-자료 다운 세무사 김재우.

사외내방객 사이트매뉴얼.

SQL Server Migration Assistant For Oracle

치매의 예방 김 은민 윤금 노인요양원 치매의.

SELECT 문 사원 테이블의 모든 정보를 출력하는 예제 1. 비교 연산자 SELECT 문의 형태

4장. 관계 대수와 SQL SQL 관계 데이터 모델에서 지원되는 두 가지 정형적인 언어

Chapter 05 SQL 인젝션 공격.

Apache Hive 빅데이터 분산 컴퓨팅 박영택.

SQL 개요 SQL 개요 - SQL은 현재 DBMS 시장에서 관계 DBMS가 압도적인 우위를 차지하는 데 중요한 요인의 하나

17장. 데이터를 안전하게 보관하자. (백업, 복원, 스냅숏)

DB 구축과 프로그래밍 CASE 도구인 ERwin을 설치하고 셋업하는 방법을 익힌다.

10장. 데이터베이스 보안과 권한 관리 데이터베이스 보안과 권한 관리

뇌를 자극하는 Windows Server 2012 R2

Excel OLAP Reporting / OWC를 이용한

11장. 데이터베이스 서버 구축과 운영.

XML WEB SERVICE PDA WEB HARD

9. 데이터베이스 9.5 SQL을 사용하는 프로그램 9.6 데이터폼 작성기를 사용하는 프로그램

SQL Server 2000 세미나 Profiler를 이용한 문제해결

차례 튜닝 - 프로필러를 이용한 튜닝 프로필러 친해지기 프로필러 결과 테이블로 만들기 프로필러 결과 분석하기

프로젝트 중간보고서 조재영 지승우.

ADO컨트롤을 이용하여 데이터를 관리하는 방법과 데이터베이스내의 레코드들을 리포트 형식으로 출력하는 디자인 기능을 알아본다.

01 데이터베이스 개론 데이터베이스의 등장 배경 데이터베이스의 발전 과정 데이터베이스의 정의 데이터베이스의 특징

마산에 대하여 만든이 : 2204 김신우, 2202 권성헌.

강사: 이종인 다우 교육원 전임강사 / 온디멘드 수석 컨설턴트 / FMG 수석 컨설턴트

제주닷컴 매뉴얼 (실시간 예약시스템) 2013년 10월.

제 9장: 파일과 데이터베이스 데이터 구성에서부터 데이터 채굴 까지.

목차 INDEX 1. 회원가입 및 로그인 2. 업체정보 3. 제조검사 신청 4. 인보이스 5. 검사진행현황(현장검사 신청)

JSP 게시판 구현.

II. XML과 Database 연동 [Beginning XML, 제13장]

2014년 12월 21일(일) ~ 12월 22일(월) / 성균관대 자연과학캠퍼스내

Database 중고차 매매 DB 비즈니스IT 윤동섭.

AIMS 2016 설비.물류 통합 모니터링 솔루션 Advanced Integrated Monitoring Solution

제11회 SQL 고급과정 세미나 SQL Server 보안 핵심만 알면 확 달라진다

SQL INJECTION MADE BY 김 현중.

주)INVENTORNICS 노창배 소프트웨어 김 경 순

6장 마케팅 조사 박소현, 김중호, 박기찬.

한밭대학교 창업경영대학원 회계정보학과 장 광 식

Oracle 구성 Internet Application Server Database Server.

4주 실습강의 학기, 소프트웨어 설계 및 실험(Ⅰ).

테이블 관리 테이블 생성,수정,삭제 데이터 입력 수정, 삭제 2010학년도 2학기.

음양오행과 물리학 조 원 : 김용훈, 양범길, 박수진, 윤진희, 이경남, 박미옥, 박지선 (11조)

뇌를 자극하는 Windows Server 장. 데이터베이스 서버.

이야기 치료에 대하여 <8조 학문적 글쓰기 발표> 주희록 최은지

매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.

Data Base Mysql.

책을 읽읍시다  탈향 진지하게 설명해드림 1303 김소희 1309박지호 1315이지수.

2016년 제1차 운영위원회 평택시건강가정 ∙다문화가족지원센터

중국문학개론 한부와 겅건안문학 중어중국학과 ㅇ이진원 한부와 건안문학.

네트워크 프로토콜.

Presentation transcript:

LogParser

목 차 LogParser 설명 Log Parser 활용 LogParser 사용법 예제 정리

LogParser LogParser는 MicroSoft에서 제공하는 툴로서 로그 분석 시 많은 양의 로그에서 원하는 정보만 추출하거나 통계를 낼 때 사용되는 툴이다. 기본적으로 SQL문 기반으로 사용된다. 저장 위치 (windows server 2003) C:\windows\system32\config\ (appevent.evt|secevent.evt|sysevent.evt)

활 용 많은 양의 이벤트 로그를 LogParser를 사용하여 찾고자 하는 로그의 Event ID나 프로세스 이름 등 적은 정보만을 이용하여 추출해 올 수 있다. 점검 시 추출해 내고자 하는 정보가 같을 경우 query 문을 파일로 정리하여, 매번 query 문을 입력하는 번거로움 없이 빠르게 정보를 가져올 수 있다. 통계 데이터 추출을 통해 이상 징후를 알아 볼 수 있다. 예를 들면, 로그인 접근시도의 통계를 내어 접근시도의 증가율 등을 확인하여 공격 시도가 있었는지 확인 할 수 있다.

사용법 다음 명령을 통해 logparser의 사용법 확인 가능 >Logparser.exe –h

사용법 >Logparser.exe –h –i:evt 입력형식에 따른 사용법을 확인할 경우 옵션 –i 를 이용 Ex) 입력 형식이 Event log일 경우 >Logparser.exe –h –i:evt

사용법 >LogParser.exe –i:evt –o:출력형식 “SELECT 필드명 [INTO 출력파일명] FROM Security|Application|System WHERE 조건 [ORDER BY 필드명 ASC|DESC]” Event Log Fields : EventLog (S) RecordNumber (I) TimeGenerated (T) TimeWritten (T) EventID (I) EventType (I) EventTypeName (S) EventCategory (I) EventCategoryName (S) SourceName (S) Strings (S) ComputerName (S) SID (S) Message (S) Data (S) (S : string I : integer T : timestamp)

사용법 출력형식 (CSV, CHART, NEUROVIEW, NAT, W3C 등) tab으로 구분되는 tsv나 comma로 구분되는 csv 등 원하는 출력형식을 –o 옵션으로 지정해 주면 각 출력형식에 맞게 결과를 확인 할 수 있다. Ex) 출력형식이 NAT(native format) 일 경우 >Logparser.exe –i:evt –o:nat “SQL Query“ NAT

사용법 TSV Logparser.exe –i:evt –o:tsv “SQL Query“ DATAGRID Logparser.exe –i:evt –o:datagrid “SQL Query“

사용법 NEUROVIEW Logparser.exe –i:evt –o:neuroview “SQL Query“ CSV Logparser.exe –i:evt –o:csv “SQL Query“

예제#1 iexplore.exe 프로세스가 실행된 이벤트로그를 추출 EXTRACT_TOKEN( argument <STRING>, index <INTEGER> [ , separator <STRING> ] ) EXTRACT_TOKEN(Strings,1,’|’) - Strings 필드를 ‘|’ 문자열로 분리했을 경우 1번(0번부터 시작) 문자열 필드 - EventLog : 보안, 응용 프로그램, 시스템 로그 - TimeWritten : 로그가 기록된 시간 - ComputerName : 컴퓨터 이름 - Message : 로그 내용 Event Id 592 : 프로세스 생성 SELECT EventLog, TimeWritten, ComputerName, Message INTO iexplorelog.txt FROM Security WHERE (EventID=592) AND (EXTRACT_TOKEN(Strings, 1, '|') LIKE %iexplore.exe%')

예제#1 iexplore.exe 프로세스가 실행된 이벤트로그를 추출 >LogParser.exe -i:evt file:sql1.txt 입력 형식은 이벤트로그이고 sql1.txt(앞 슬라이드의 SQL문장)에 기록된 SQL 문장을 적용한다.

예제#2 특정 사용자(예, securityteam)의 터미널 서비스 로그온 이벤트로그 추출 필드 - EventTypeName : 성공감사, 실패감사 - (EventCategory)EventCategoryName: (1)시스템이벤트 (2)로그온/로그오프 (3)객체 액세스 (4)권한사용 (5)세부추적 Event Id 528 : 로그온 성공 Event Id 529 : 로그온 실패 터미널 서비스로 로그인 한 경우 로그온 유형이 10번이므로 Strings 필드에서 10 이라는 문자열을 찾는 조건을 넣어주어 로그를 추출해 낸다. SELECT EventLog, TimeWritten, EventTypeName, EventCategoryName, ComputerName, Message INTO terminallog.txt FROM Security WHERE ((EventID=528) AND (EXTRACT_TOKEN(Strings, 3, '|') LIKE '10')) OR ((EventID=529) AND (EXTRACT_TOKEN(Strings, 2, '|‘) LIKE '10')) AND (EXTRACT_TOKEN(Strings, 0, '|') LIKE 'securityteam')

예제#2 특정 사용자(예, securityteam)의 터미널 서비스 로그온 이벤트로그 추출 >LogParser.exe -i:evt file:sql2.txt 입력 형식은 이벤트로그이고 sql2.txt(앞 슬라이드의 SQL문장)에 기록된 SQL 문장을 적용

예제#3 특정 사용자가 실행한 예약 작업에 대한 이벤트로그 추출 Event Id 602 : 예약 작업 생성 EXTRACT_TOKEN(Strings,7,'|') LIKE ‘securityteam’) 으로 조건을 주어 특정사용자(securityteam)의 예약 작업에 대해서 검색한다. SELECT EventLog, TimeWritten, ComputerName, Message FROM Security WHERE (EventID=602) AND (EXTRACT_TOKEN(Strings,7,'|') LIKE ‘securityteam’)

예제#3 특정 사용자가 실행한 예약 작업에 대한 이벤트로그 추출 > LogParser.exe -i:evt -o:datagrid file:sql3.txt 입력 형식은 이벤트로그이고 sql3.txt(앞 슬라이드의 SQL문장)에 기록된 SQL 문장을 적용. 출력형식은 DATAGRID 형식으로 출력

정리 과제#1 <iexplore.exe 프로세스가 실행된 이벤트로그를 추출> 악성 프로세스로 의심되는 프로세스가 있을 경우 이 프로세스가 언제, 어떤 사용자에 의해서 실행되었는지, 다른 프로세스를 생성하였는지 등의 프로세스 실행 로그의 점검이 필요하다. 의심되는 프로세스를 실행시킨 사용자의 정보를 로그를 통해 알 수 있으므로 이 사용자가 다른 어떤 프로세스를 실행시켰는지 조사해보고 실행된 프로세스들이 악성 프로세스인지 확인해본다.

정리 과제#2 <특정 사용자(예, securityteam)의 터미널 서비스 로그온 이벤트로그 추출> 서버로 알 수 없는 사용자가 접속을 시도하였을 때, 로그온에 성공하거나 실패했을 경우 로그인 성공/실패 기록이 남는다. 로그온 이벤트를 확인하여 로그온에 성공한 경우나 실패한 경우 모두 언제 어떤 사용자가 로그인을 시도했는지 로그를 분석한다. 로그를 분석하여 같은 IP로 여러 번의 로그온 실패 로그가 남아있다면 알 수 없는 사용자가 서버로 접근을 계속해서 시도하였다는 것을 알 수 있고 관리자의 입장에서는 터미널로 로그인하는 서비스를 중단하거나 불필요한 사용자 계정을 막고 암호를 강화하는 등의 대처를 할 수 있을 것이다. 접속한 사용자의 정보를 이용하여 접속 후에 어떠한 작업을 하였는지 조사하여 해당 사용자가 악의적인 목적으로 서버에 로그인 했는지 조사해 볼 수 있다.

정리 과제#3 <특정 사용자가 실행한 예약 작업에 대한 이벤트로그 추출> 알 수 없는 사용자에 의해 예약작업이 만들어졌을 경우에는 그 사용자가 또 다른 작업을 예약했는지 확인하고 각 예약 작업들이 언제 어떤 프로세스를 실행시켰는지 확인한다. 예약 작업 성공적으로 실행이 되었다면 실행시킨 프로세스에 대해서 프로세스 실행 로그를 분석한다.

끝