① 개념
- 엑세스 로그와 에러 로그
- 엑세스 로그(access log) : 클라이언트의 요청으로 웹서버가 응답한 내용 저장
- 에러 로그(error log) : 클라이언트의 요청으로 웹서버에 오류가 발생했을 경우 해당 내용 저장
- 웹 로그 분석 목적
- 접속 사용자의 행위/취향 준석
- 보안사고 발생 시 추적할 수 있는 증거자료
- 보안사고 발생 전 예상 징후, 해킹 시도, 해킹 성공 여부 확인
- 다양한 웹공격 패턴파악
- 접속 시간, 접근 파일 정보, 사용자 정보, 요청 방식, 성공 여부 등 확인
② 웹로그 구조
- 웹 로그 종류
- NCSA CLF(Common Log Format)
- Apache/Tomcat 기본 포맷
- NCSA ELF(Extended Log Formet)
- NCSA CLF + Referef값 + User-Agent값
- W3C ELF
- Referer와 User-Agent를 비롯한 Cookie 및 사용자 정보를 추가로 남길 수 있는 포맷. 주로 IIS에서 사용
- NCSA CLF(Common Log Format)
- 포맷 형식
식별자 예시 설명 Host 192.168.159.30 클라이언트 호스트 명/IP 주소 Ident - 클라이언트의 사용자 이름, 보통 "-" 대체 Authuser - 인증이 요청된 원격 사용자의 이름 보통 "-"로 대체 Date and Time [13/Sep/2020:11:00:00 +0900] 요청을 보내온 시간과 날자에 대한 정보
dd/mm/yyyy:hh:mm:ss 형태Request "GET https://www.example.com/index.jsp?no=1234&name=hacker HTTP/1.1" Client가 보내온 요청 라인 정보 Status 200 Client 요청에 대한 처리 상태를 나타내는 상태코드 Bytes 234 서버->클라이언트로 전송된 응답데이터 크기(헤더제외) Referer "https://www.example1.com" 요청된 URL이 참조되거나 링크된 URL User-Agent "Mozilla/5.0 ... " 클라이언트 OS 및 브라우저 버전 정보
'정보보안 > 애플리케이션 보안' 카테고리의 다른 글
| [애플리케이션 보안] 이메일(E-Mail) 보안 (0) | 2024.11.18 |
|---|---|
| [웹 서버 취약점] 보안서버(Security Server) 구축 (2) | 2024.11.17 |
| [웹 서버 취약점] 웹 서버 설정파일 주요 지시자 (0) | 2024.11.17 |
| [웹 서버 취약점] 웹 서버 보안대책 (0) | 2024.11.17 |
| [웹 서버 취약점] 기타 웹 서버 취약점 (1) | 2024.11.17 |
