기타 - 윈도우 로그 관리

 

로그(log)란

 

 로그란 프로그램의 동작 상황 등의 경과를 기록하는 운영기록으로 시스템의 모든 기록을 담고 있는 데이터라고 할 수 있습니다. 이 데이터에는 성능, 오류, 경고 및 운영 정보 등의 중요한 정보가 기록되며, 특별한 형태의 기준에 따라 숫자와 기호 등으로 이루어져 있습니다.

 

 

 

로그 관리의 필요성

 

 기업 및 개인의 자산을 안전하게 보호하기 위한 최선의 방법은 주기적인 취약점 점검 및 제거와 같은 예방 활동일 것입니다. 하지만 보안에 있어서 "완벽한 보안은 없다"라는 말처럼 어떠한 보안도 해킹 기술을 앞지를 수 없습니다. 따라서 네트워크에 연결되어 있는 정보 자산은 해킹에 노출되어 있다고 볼 수 있습니다.

 그렇다면 보안사고가 발생할 것을 대비하여 보안관리자 혹은 자산의 관리자는 무엇을 할 수 있을까? 컴퓨터의 모든 일련의 작업은 로그라는 정보로 저장되게 됩니다. 로그를 활용하면 해킹의 흔적으로 찾거나, 해킹에 이용된 공격기법을 로그 분석을 통해 찾을 수 있다면 시스템의 취약점을 제거하는데 사용할 수 있으며, 공격에 대한 근원지를 찾을 수 있다면 공격으로 인한 자산의 손실에 대해 공격자에게 법적 책임을 뭊기 위해 로그를 증거로 제출할 수 있습니다.

 이렇듯 보안관리를 위해서는 시스템에서 발생할 수 있는 취약점 점검 및 제거와 같은 예방활동도 중요하지만 만일의 사고에 대비하여 로그를 관리하고 주기적으로 분석하는 작업 또한 중요한 것을 알 수 있습니다.

 

 

 

로그 데이터 분석

 

 로그 데이터 분석은 로그를 분석하여 필요로 하는 정보로 만들어 내는 행위로 볼 수 있으며, 로그 데이터 분석을 통해 얻을 수 있는 정보는 다음과 같습니다.

• 외부로부터의 침입 감지 및 추적
• 시스템 성능 관리
• 마케팅 전략으로 활용
• 시스템의 장애 원인 분석
• 시스템 취약점 분석

이처럼 로그 데이터는 시스템에서 발생하는 모든 문제에 대한 유일한 단서이며, 시스템에서 발생한 오류 및 보안 결함을 검색하고, 잠재적인 시스템 문제를 예측하는데 사용될 수 있습니다. 또한 장애 발생시 복구에 필요한 정보로 활요되며 침애 사고 시 근거 자료로 활용될 수 있습니다.

 로그 분석에 필요한 정보로는 로그 설정 방법, 파일의 저장위치, 로그에서 나타내는 정보를 들 수 있습니다. 그리고 로그를 관리하기 위해서는 로그의 실시간 저장 및 무결성을 확보해야 하는데 이를 위해서는 시스템의 로컬에 로그를 저장하기 보다는 원격 로그 서버를 구축하거나 DB서버와 연돌을 통해 로그를 저장하는 방식을 추천합니다. 다수의 시스템을 관리하는 경우에는 중앙 집중식의 원격 로그 서버를 구축하여 운영하는 방안이 효율적이며, 주기적으로 로그를 백업하여 시스템 오류 및 장애로 인한 로그의 손실을 최대한 줄여야 합니다.

 

 

 

Windows 이벤트 로그의 이해

 

 윈도우 시스템에서는 시스템의 로그가 이벤트 로그 형식으로 관리되며, 이벤트 로그를 확인하기 위해서는 윈도우의 이벤트 뷰어를 이용해야 합니다. 이벤트 뷰어는 [시작] - [제어판] - [관리도구] - [이벤트 뷰어] 에서 확인할 수 있습니다.

 

 

 윈도우 시스템(Windows 7 기준)은 시스템 Windows 로그, 응용 프로그램 및 서비스 로그를 이벤트에 기록하며, OS구성에 따라 디렉토리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그가 추가될 수 있습니다. 각 이벤트 로그에서는 헤더 정보와 이벤트 설명을 포함하고 있습니다. 이벤트 헤더는 이벤트 영역들에 대한 내용을 설명하며, 이벤트 설명은 이벤트에 대한 상세 설명이 제공되며, 여기에는 영향을 받는 리소스들과 기타 다른 기술 정보들이 포함되어 있습니다.

 

 이벤트는 다섯가지 유형을 가지고 있는 다음과 같습니다.

• 오류 : 데이터 손실이나 기능 상실 같은 중대한 문제로, 시스템을 시작하는 동안 서비스가 로드되지 못했을 경우와 같은 로그가 기록된다.
• 경고 : 시스템에 문제가 발생할 수 있는 문제를 미리 알려 주는 이벤트로, 디스크 공간이 부족할 때와 같은 로그가 기록된다.
• 정보 : 응용 프로그램, 드라이버 또는 서비스가 성공적으로 수행되었음을 설명하는 이벤트
• 성공감사 : 사용자가 시스템에 성공적으로 로그온 했을 경우 같이 감사된 보안 이벤트가 성공했음을 나타낸다.
• 실패감사 : 사용자가 시스템에 로그온 실패 했을 경우와 같이 감사된 보안 이벤트가 실패했음을 나타낸다.

 

참조)

http://cafe.daum.net/oracleocp/3DWP/307?docid=1EZMt|3DWP|307|20100120191415&q=%C0%A9%B5%B5%BF%EC%202008%20%BD%C3%BD%BA%C5%DB%20%BF%C0%B7%F9%20%C8%AE%C0%CE