보안관제시스템 웹서버 로그연동 설정 방법

1. 대상 장비 로그 설정

 

1.1. 에이전트 환경설정 확인

 

보안관제시스템 로그연동

1.1.1. 시큐레이어(eyeCloud)
 ❍ rot 경로 밑에 CloudESM 파일이 있는지 확인
 - rot 경로에 파일이 없을 경우 find 명령어를 이용해 확인 필요
  # find / -name CloudESM
 ❍ initial_adaptors 파일 경로 (에이전트 로그 수집 환경설정)

   - 파일 위치 1 : /CloudESM/ap/agent/conf

   - 파일 위치2 : /CloudESM/ap/agent_proxy/conf
* 설치파일마다 해당 경로가 상이할 수 있음
 ❍ # vi initial_adaptors
< 로그파일 경로설정 방법 >
❍ FileTailngAdaptor 설정 방법(특정 파일 로그 수집) 

  - ad FileTailngAdaptor SECURITY_LOG 
 /usr/local/tomcat/logs/aces_log.[yyyyMMd].txt 60 /CloudESM/data/forward 0
 ❍ /usr/local/tomcat/logs/aces_log.[yyyyMMd].txt : 
수집하려는 특정 파일 경로이며 날짜는 파일 형식에 맞게 수정해야 함 
(MM은 대문자 필수 적용)
* 파일을 여러 개 가져와야 하는 경우
 - ad FileTailngAdaptor SECURITY_LOG /usr/local/tomcat/ logs/aces_log. 
 [yyyyMMd].txt,/var/log/secure60 /CloudESM/data/forward 0
 ❍ /usr/local/tomcat/logs/aces_log.[yyyyMMd].txt,/var/log/secure : , 

 뒤에 파일 경로를 적을 때 공백이 절대로 없어야 함
 * 파일 경로에 공백이 있는 경우
 - /usr/local/tomcat/logs/aces log.[yyyyMMd].txt 파일 경로인 경우

 

 

1.1.2. 이글루시큐리티(SPiDERTM)
 ❍ UNIX / Linux 설치 방안
 < 기존 운영 중인 에이전트 확인 > - ps –ef | grep spagentd - netstat –an | grep 10001
 < Agent 설치 위한 instal 파일 압축 해제 >

- ex)tar xvf linux.tar.gz 또는 gzip –d aix.tar.gz; tar xvf aix.tar

 

< Agent 설치- Step 1 > - Agent 설치 준비
· 디렉토리 이동 후 설치 진행
·./instal.sh(설치 스크립트), /opt(설치 위치) SYSLOG(연계 장비 종류)
 · 설치 위치 : 기본 설치 위치는 /opt 또는 시스템 여유 공간 파악 후 설치
 · 연계 장비 종류 : SYSLOG (웹서버 연동 모듈) 해제 디렉터리 이동, 설치 진행

< Agent 설치- Step 2 > -환경 설정 

· instal.sh 실행 후 기관 환경에 맞게 설정 진행

 

< Agent 설치- Step 3 > - 에이전트 기동 확인
· ps –ef | grap sp 에이전트 기동 확인(spagentd, spmon 두 개 확인)

< Agent 설치- Step 4 > - xlogfile.conf 설정
· 파일 위치 : 에이전트 설치 위치 \conf \xlogfile.conf 
 (해당 설정 후 에이전트 재실행 필요!!)

 

- 서비스 재기동

· Agent가 설치된 경로로 이동 후 Agent 프로세스 종료
· ./xmon start’ 명령으로 프로세스 실행
· Suces in conect manager!’ 메시지 표현까지 약 1분 정도 시간 소요

❍ Windows 설치 방안
< Agent 설치- Step 1 > 

- SPiDERagtX Agent 폴더로 이동 C:\program files(x86) \SPiDERagtX 
 ※ 설치작업 없이 바로 폴더로 복사, 설치 권한 없을 경우 C:\ 설치
- instal,bat 파일 클릭

 

- Agent Instal 진행
 ※ 명령 프롬프트(cmd.exe) 관리자 권한으로 실행
 # MANAGER IP : 203.142.217.213 ->
 
보안관제 서버 IP는 보안관제 시스템 연동결과서 참조
 # IP Maping of 127.0.0.1 : 2.2.2.2 (WEB SERVER IP 입력)
 # MANAGER PORT : 자동 설정
 (매니저와 연결 포트 설정, 10001 고정값)
 # ENCRYPT_MODE ( OPEN SSL or PLAIN or MANAGER, default : 
 
MANAGER) : 자동 설정 (MANAGER 기본 설치)
 # INSTALL_LANGUAGE (kor or eng, default : kor :
 
INSTALL_LANGUAGE : 자동 설정(kor 기본 설치)
 # 키값을 입력하세요<16 bytes, 숫자 또는 영자로 입력> :
 
자동 설정 ( 고정, 16자리 key 입력)
 # MODULE_TYPE(SYSLOG or SNMP or FILE or SYSTEM or 

 

< Agent 설치- Step 3 > - Agent 서비스 등록 및 가동
· 관리자 권한의 CMD.exe 실행 > c: \program files \SPiDERagtX 이동 
· spagentd.exe 및 spmon.exe 실행 파일 확인 
· spagentd.exe 및 spmon.exe 서비스 등록
· spagentd.exe 및 spmon.exe 서비스 등록
· Agent 통신 확인(10001 Port 통신 확인)

  
PAYLOAD, default : SYSTEM) : SYSLOG 
 (웹서버 연동을 위한 모듈)

 

- xlogfile.conf 설정

· SPiDERGBagtX> start Worpad conf\xlogfile.conf 
# 맨 앞의 주석(#) 제거 후 아래와 같이 입력 
 (별도 설명이 없는 항목은 해당 내용으로 고정.)
# 기본 설정값 종류
 <CATEGORY=D001><ORIGINIP=1.1.1.1(웹서버IP)>
 <PRODUCT=webtob(or apache or jeus or is 등, 웹서비스종류)> 
 <LOGFILE=/home/webtob/log/aces.log_[%YYYY%][%MM%][%DD%]
 (로그파일 경로 및 파일명에 날짜가 들어가는 경우 ＇년월일 -> 
 [%YYYY%][%MM%][%DD%]'형식으로 작성)>
 <HEADER=www.seoul.co.kr(도메인주소)><PACKET_FORMAT=asci>
 <DATE_NEW_MAP_USE=1><READ_COUNT=><REMOVE_DURATION=>
 <AGO=><ORIGIN_KEY=><ORIGIN_DELIMETER=><ROTATE_DURATION=>

 

- Agent 재기동
· services.msc 실행
 · SPiDER TM Agent Monitor’ > ‘SPiDER TM Agent’ 순으로 중지 실행
· SPiDER TM Agent Monitor’ > ‘SPiDER TM Agent’ 순으로 실행

 

 

1.2. 웹서버 설정

1.2.1. Apache
❍ 웹서버 CLI 접속
❍ # vi htpd.conf (설정 파일 수정) - 로그 포맷 설정 확인
- CustomLog 중 common 모드 라인 주석 처리
※ (중요)로그파일의 경로는 에이전트에 설정된 로그파일 경로이며 
 로그파일 경로 참고하여 확인
※ SSL 사용시 conf/extra/htpd-sl.conf (설정 파일도 수정 필요) 

- # cd /[아파치설치경로]/bin 

- # ./apachectl graceful (설정 적용 – 서비스 재기동 불필요) 

 

❍ tail –f ~/aces_log_년월일(설정 변경 후 모니터링)
❍ 수집 로그
< 수집 로그 >
※ 웹로그의 경우 htps의 aces 로그를 남기기 위해 별도 설정이 필요한 경우가 있음
※ 해당 경우 웹서버 엔지니어를 통해 로그 설정을 진행하고 해당 로그가 저장되는 경로 

 

 

 

1.2.2. Apache Tomcat
❍ 웹서버 CLI 접속
❍ # cd [tomcat 설치경로]/conf 

- # vi server.xml (설정 수정 파일)
※ (중요)로그파일의 경로는 에이전트에 설정된 로그파일 경로이며 “1.1 로그파일 경로 
 
❍ aces log 처리 설정 내용 중 patern을 combined 모드 인 patern=combined"로 변경 후 서비스 재기동 수행
※아래 설정은 예시이며 파일명, 파일경로 등은 기존 설정 유지 
< 설정내용 예 >
❍ 서비스 재기동
- # cd [tomcat 설치 경로]/bin 

- # ./shutdown.sh (tomcat 서비스 중지) 

- # ./startup.sh (tomcat 서비스 기동)
< 서비스 파일 >
❍ 모니터링
- 서비스 재기동 후 combined 모드 유형인 referer와 user-agent 로그 생성 확인
- # vi aces.log

 

 

1.2.3. MS IS
❍ IS(인터넷 정보 서비스) 관리자에서 로깅 기능 클릭

❍ 로깅에서 로그파일 형식, 필드 선택, 인코딩 등 설정 추가 및 수정
※ (중요)로그파일의 경로는 에이전트에 설정된 로그파일 경로 참고하여 확인

- IS 관리자 진입 후 사이트 선택하면 서비스 중인 웹서비스 정보 확인 가능. 출력되는 내용 중 ID번호로 로그폴더 생성
- ID번호의 로그폴더에서 실제로 로그 적재되는지 확인 후, IS 관리자에서 해당 웹서비스 사이트 선택 후 로깅 설정 수행
- 로그파일 형식 W3C 선택 시 파일 명명 및 롤오버에 현지 시간 사용 체크해도 현지 시간 적용 되지 않으며 UTC(협정 세계 시간)가 사용됨
  
❍ 수집 로그
- 로그 관련 설정 완료 시, 로그파일명 변경되어 생성
- Ex) u_in_20220630.log > u_ex_20220630.log 

 

 

1.2.4. WebToB

❍ 웹서버 CLI 접속
❍ # vi htp.m (설정 파일 수정) - htp.m 파일 확인

- Loging, ErorLog 설정 확인
 ※ (중요)로그파일의 경로는 에이전트에 설정된 로그파일 경로 참고하여 확인

❍ Format =“default”내용 수정 필요
- Format = “%h % l % t \“% r\” %> s % b \“%{Referer} i\” \ “%{User-agent} i\””
- %h 옵션이 서비스의 부하를 줄 경우 % a 옵션으로 대체 가능

 

❍ 설정 적용을 위한 서비스 재기동 필요
- # wscfl –i htp.m (컴파일) 

- # wsdown - # wsbot
❍ tail –f ~/aces_log_년월일(설정 변경 후 모니터링)
❍ 수집 로그 확인