DAY41

.115서버에 RSYSLOG 설정

서버 설정
su
nano /etc/rsyslog.conf
	$IncludeConfig /etc/rsyslog.d/*.conf
nano /etc/rsyslog.d/50-default.conf (밑에 붙이기)
      action(type="omfwd"
      queue.filename="IP214.jeonjucom.kr"
       queue.maxdiskspace="1g"
       queue.saveonshutdown="on"
       queue.type="LinkedList"
       action.resumeRetryCount="-1"
       Target="10.10.10.252" Port="514" Protocol="tcp")

192.168.0.117

백업서버 설정
sudo passwd root
nano /etc/hostname
    LOG
nano /etc/rsyslog.conf
    module(load="imtcp")
    input(type="imtcp" port="514")
    $AllowedSender TCP,10.0.2.0/24, *.st.kr
서버는 포트(514)를 열고 3대 서버로부터 데이터가 전송되는 것을 기다림

apt -y install net-tools
netstat -ant | grep 514 (rsyslog 확인)
systemctl restart rsyslog

*로그를 데이터베이스에 저장하기
apt -y install mariadb-server
apt -y install rsyslog-mysql
    yes/123456

mysql
use Syslog;
desc SystemEvents;
select * from SystemEvents;
select FromHost, Message from SystemEvents where FromHost='IP004';

*서버에 tripwire 설치하기(못했음!)

공격과 방어 준비2


실습
스위치 2번 연결

125.246.95.253:22004
125.246.95.253:8004

syslog
10.10.10.252:22252

DMZ : 정보
10.10.10.254 게이트웨이
10.10.10.253 윈도우(각조 서버 저장: 10.10.10.1~10.10.10.4) > 10.10.10.250 10.10.10.251
10.10.10.252 원격 접속 가능함
윈도우(RSYSLOG:10.10.10.251, MONITOR : 10.10.10.250)
ssh st.kr 22250
ELK > st.kr:8250 st.kr:8000

NAT설정은 하나씩만 된다 !!

서버 속도 이슈로 방어조 외 filebeat 및 packetbeat 멈춤

systemctl stop filebeat
systectl stop packetbeat

workbench
*SELECT * FROM Syslog.SystemEvents where Fromhost='IP004'
특정 문자열 찾기 > 로그인 시점 알아내기
select * from Syslog.SystemEvents where Fromhost='IP004' and Message like '%Accepted password%';


***오늘 생성된 파일 찾기
find / -type f -exec stat --format="%n %W" {} \; | grep "$(date +%Y-%m-%D)"

서버에 packetbeat, filebeat 설치

.117서버에 ELK+SPLUNK 설치

.115서버에 RSYSLOG 설정

공격과 방어 준비2