보안 관제

[보안 관제] 로그 파일 보안 분석

TungTung0000 2026. 6. 9. 14:23

 

✔️ 1단계

- 파일 복사를 통한 지정 경로로 백업 
$ sudo cp /var/log/auth.log /lab/auth_backup.log

- 파일의 기본 정보
$ wc -l ~/lab/auth_backup.log
$ ls -l ~/lab/auth_backup.log

wc: 텍스트파일이나 표준 입력의 줄, 단어,  문자 및 바이트 수를 계산하는 명령어

 

 

✔️ 2단계

- SSH 실패 로그인 조회
$ sudo grep "Failed password" auth_backup.log | head -20

 

 

✔️ 3단계

- 실패 횟수 집계
$ sudo grep "Failed password" auth_backup.log | wc -l

 

 

✔️ 4단계

- 공격 IP 빈도분석(로그에서 실패한 로그인 기록을 찾아 IP 기준으로 많이 발생된 TOP 10으로 뽑는 명령어)
$ sudo grep "Failed" auth_backup.log | awk '{print $11}' | sort | uniq -c | sort -rn | head -10
 - 그러나 연습용 우분투 환경으로 ip 칼럼이 존재하지 않으며 결과 확인 시 해당 키워드들이 카운트된 것을 확인

• uniq: 연속적으로 중복되는 행을 하나로 압축하거나 제거하는 데 사용하는 명령어

sort: 리눅스, 유닉스 환경에서 텍스트 파일이나 입력된 데이터의 내용을 줄 단위로 정렬하는 데 사용(-r 내림차순 -n 숫자기준)

awk: 리눅스에서 텍스트 파일이나 파이프라인으로 들어오는 데이터를 패턴 매칭과 조건에 따라 추출, 가공하여 원하는 형태로 출력(print $11은 IP주소 칼럼)

| : 동시 처리의 용도

 

✔️ 5단계

- 보고서 파일 생성
$ sudo echo "-------------- 침입 시도 분석 -------------- " > report.txt
$ sudo echo "분석 시간: $(date)" >> report.txt
$ sudo grep "Failed" auth_backup.log | awk '{print $11}' | sort | uniq -c | sort -rn >> report.txt
- 최종 보고서 확인
$ cat report.txt 또는 $ vi report.txt

입력값을 입력하려 했으나 권한 부족으로 허가 거부

umask를 제거한 755를 이용해 권한 부여했으나 마찬가지로 허가 거부하여 777을 이용해 권한 부여 시 되는 것을 확인 가능

 

이후 알맞게 데이터가 넘어간 것을 확인

'보안 관제' 카테고리의 다른 글

패킷 분석 도구 tcpdump, Wireshark, tshark  (0) 2026.06.23
(👌→수정필)보안점검 통합  (0) 2026.06.23
침해사고 대응 자동화 스크립트  (0) 2026.06.22
Lynis  (0) 2026.06.22