로그관리는 어렵고 재미있고 비지니스에도 도움이 됩니다.
로그 종류는 통상 3가지 정도 됩니다.
- Windows Event Log
- Syslog
- snmp trap message
로그를 남기는 object들은 아래 목록에 대부분 포함됩니다.
- OS
- Web Server와 같은 common application
- 각종 network devices (무선 장비 포함)
- 자체 application
[file integrity check]
로그내용이 중간에 제3자가 임의로 변경하지 못하도록 하기 위하여
권한설정도 철저해야하며
또한 로그내용의 변경여부를 감지할 수 있어야합니다.
로그파일의 특성상 항상 내용이 기록되고 있어 이에 대응되도록 file integrity checking software를 설정해야합니다.
tripwire가 대표적인 tool이긴 한데 windows용으로는 다루기 어렵고
상용은 비싸고 너무 무겁습니다.
ossec(www.ossec.net)을 권장합니다. unix나 windows모두 커버가능하며 가볍로 로그분석이나 Host based IDS역할을 함께 수행합니다.
[central log server]
로그를 중앙 집중 관리하는것이 PCI DSS의 요구사항중 하나입니다.
일반적인 syslog를 사용하면 각 개별서버에서 1차 집중 서버로 로그를 모으는것은 가능한데 여기서 다시 다른 통합 서버로 log forwarding이 잘 안됩니다.
rsyslog가 이러한 요구사항에 아주 잘 대응되는 무료 서버입니다.
각 서버들에서 네트웍 단위별 rsyslog 서버로 로그를 모으로 다시 여기서 중앙 log server로 forwarding하는등의 구성이 아주 간단합니다.
windows event log까지 통합 관리하기 위해서는
상용 tools이 필요하며
여기에는 Cisco MARS나 GFI EventsManager등을 이용할 수 있습니다.
중앙 로그 서버에 모인 로그는 3개월간의 데이터까지는 상시 검색 가능해야하며(PCI DSS 1.2에서 변경된 항목임)
백업본은 1년 보관해야합니다.
로그 flow를 살펴보면 다음 단계를 거치게 됩니다.
1. 개별 OS, Application에서 네트웍 단위 로그서버로 로그 집중
2. 소단위 로그서버에서 중앙 로그서버로 로그 집중
3. 중앙 로그서버에서는 3개월까지 로그검색 가능해야함
4. 중앙 로그서버의 로그는 백업된다면 1년 보관.
댓글 없음:
댓글 쓰기