시험기간도 끝났겠다 수집했던 로그들을 한번 확인해보겠습니다.
근데 오랜만에 해보니까 이거 서버 키는것도 기억이 잘 안나네요 ;;
https://poiri3r.tistory.com/151
[Network] Wazuh 룰 설정 및 모니터링
오늘은 어제 설치했던 Wazuh에 이어서 실습을 해보겠습니다. *해당 블로그는 실습 이후 정리하면서 작성한 게시물입니다. 먼저 실습 내용에 대해 설명하기 전에 현재 제 서버의 Wazuh 구조에 대해
poiri3r.tistory.com
기존 글들을 보면서 .. 다시 구성을 했습니다.
일단 저번처럼 vmware에 터널링을 뚫어서 창을하나 띄워두고,
sudo systemctl start wazuh-indexer
sudo systemctl status wazuh-dashboard로 wazuh manager를 켜줬습니다.
창 하나에서는 aws와 터널링을 해서VM 서버로 보내줬습니다
드디어 창이 잘 떴네요 .. !!
id가 당연히 poiri3r인줄 알았는데 admin/admin이었네요
하루안 꾸준히도 들어왔군요, 그래도 저번에 확인했던거에 비하면 생각보다 양이 적다고 생각을 했는데, 이게 쌓인 로그들이 연동이 되다보니, 점점 새로고침할때마다 로그가 쌓이더라고요
약 5700개의 로그가 쌓였습니다.
이제 이걸 한번 살펴보겠습니다.
wazuh에서 data.srcip는 공격 source ip를 확인할 수 있습니다.
총 174개의 로그가 있고, Authentication success가 10개 있는데, 이건 제가 로그인한 기록들입니다
Event를 클릭해보면 로그들을 자세히 확인할 수 있습니다
다음과 같이 상세한 로그를 살펴볼 수 있습니다. 36.154.50.214 IP네요
^^ ..
36.154.*.*가 중국 차이나 유니콤 IP 대역이라고 하니 해당 IP들에서 들어온 공격들을 확인해보겠습니다.
아까는 data.srcip:*로 넣었는데, 36.154.*.*로 넣었습니다
46번이나 시도를 했네요
전부 다 비슷한 시간대에 공격이 이루어졌습니다.
주기적으로 rule.level 10이 찍혀있는건 같은 source ip에서 여러번 공격을 보내는 패턴을 탐지했기 때문입니다.
제가 저번에 crowdsec에 커스텀 룰을 추가했었는데,
해당 룰을 100010번으로 추가를 해뒀었습니다.
해당 룰에 대한 탐지를 확인해보겠습니다.
Search에 rule.id:100010 이렇게 검색을 해줬습니다.
이건 예전에 테스트용으로 넣어둔 2개 로그밖에 안보이네요.
aws에서 확인해보니
ban된 list엔 분명히 로그가 있는데 음 ..
조금 이상한게 로그를 보다보니
1007번 rule로 4100개가 넘는 로그들이 찍혀있더라고요,
rule.description에는 File System full로 되어있는데 해당 룰을 확인해보니, 디스크 부족 메세지입니다.
자세하게 더 살펴보니
26년 4월 29일로 날짜가 찍혀있는걸 보니 전부 오늘 4000번 찍힌것 같은데, disk full이라 그래서, 전부 확인을 해봤는데
사용률이 그렇게 높지 않더라고요?
계속 확인해보니 journald라는 곳에서 발생을 했습니다
journald가 리눅스시스템에서 부팅,커널,서비스 로그를 수집, 관리하는 로그라고합니다.
근데 마찬가지로 리눅스에서 확인을 해보니
기록이 남아있지가 않더라고요.
추정상 특정한 시점에 rsyslog가 /var/log/syslog에 쓰기를 시도 했고, 그 결과 No Space left on device 에러를 반환한 것 같습니다.
해당 로그들은 여태까지 wazuh manager가 꺼져있었기 때문에 여태껏 전송이 되지 않고 있다가, 오늘 저녁에 포스팅하면서 ssh로 연결을 하고나니 한번에 로그가 보내졌고, 정확한 실패 시간은 알수가 없습니다.
긴 시간동안 서버를 켜둬서 이런 저런 로그들이 엄청 많이 쌓였었는데, 시간을 정확하게 확인할수가 없다보니, 정확한 추적이 안되는 것 같습니다.
서버를 당분간 계속 연결을 해둬야겠네요.
제대로 건질만한 로그들은 많이 없는 것 같습니다 ㅠ
GeoLocation.country_name:* 옵션을 사용하면 IP주소에서 나라나 도시를 추정할 수 있는 로그들을 확인 가능합니다.
기능들이 다양한게 참 좋네요
GeoLocation.location을 보면 대략적인 위도 경도로 위치도 파악이 가능합니다.
이번엔 마지막으로, 가장 공격을 많이 한 국가를 찾아보겠습니다.
이 available fields를 보면 여러가지 선택이 가능합니다.
여기서 GeoLocation.country_name을 키면
이렇게 표에 국가가 추가됩니다.
이제 왼쪽 메뉴창을 연 뒤,
visualize를 눌러주고 Metric:Count으로 만들어준뒤,
옵션들을 채워주면
이렇게 완성이 됩니다.
오랜만에 wazuh manager 서버를 켰더니 로그들이 다 날아간게 아쉽네요. 서버를 계속 켜둘 방안을 생각해보겠습니다.
연구실 컴퓨터에 VM으로 24시간 켜두긴 조금 힘든것 같은데 .. 고민을 해봐야겠네요.
오랜만에 실습느낌으로 공부를 했네요 . 읽어주셔서 감사합니다!
'취약점분석 (Blue Team) > Network' 카테고리의 다른 글
| 망분리 환경 운영 (vdi, 원격접속 통제) 토스 가디언즈 세미나 (0) | 2026.05.05 |
|---|---|
| [Network] ELK Stack (Elastic Stack) (0) | 2026.04.30 |
| [Network] BPF/ eBPF (0) | 2026.03.25 |
| [Network] Wazuh 룰 설정 및 모니터링 (0) | 2026.03.23 |
| [Network] SIEM & Wazuh 설치 실습 (0) | 2026.03.22 |