반응형
apache로그에는 access로그와 error로그 2가지가 있다.
외부에서 공격이 의심되는 건이 감지되었다고 하여 확인하며 작성해본다.
10.21.20.9 - - [29/Dec/2024:17:50:00 +0900] "GET / HTTP/1.1" 200 11230
이런 로그 라인이 있다고 가정을 하면 구성은 다음과 같다.
(Client IP / 프록시 or 로드밸런서 IP) / 식별자 / 사용자이름 / 접속 시간 / 요청내용 (사용 메서드 + 경로 + HTTP버전) / HTTP 상태 코드 / 응답 바이트 코드 크기 / 참조자(Referrer) / 사용자 에이전트
따라서 첫단에는 IP가 오게 되는데 프록시나 로드밸런서를 거치게 되면 IP가 추가된다고 한다.
그리고 클라이언트 IP를 확인 할수없는데 프록시나 로드밸런서를 거치는 경우 클라이언트 IP의 내용은 - 로 표기된다고 한다.
여담으로 tomcat로그는 다음과 같이 구성되고 내용은 이렇다고 한다.
로그 파일기록 내용용도
| catalina.out | 서버 전체 상태, 표준 출력/에러, 예외 로그. | 서버 전반의 동작 모니터링 및 디버깅. |
| host-manager.log | Host Manager 관련 작업 기록. | 가상 호스트 관리 활동 추적. |
| localhost.log | 애플리케이션별 상태 및 예외 로그. | 애플리케이션 동작 및 문제 디버깅. |
| localhost_access_log | HTTP 요청/응답 기록. | 서버 트래픽 모니터링, 사용량 분석, 보안 추적. |
| manager.log | Manager 애플리케이션 관련 작업 기록. | 애플리케이션 배포 및 관리 작업 추적. |
참고 사항
- 로그 파일의 기본 위치와 내용은 Tomcat의 **로그 설정 파일(logging.properties)**에 따라 변경될 수 있습니다.
- 필요에 따라 로그를 커스터마이징하려면 $CATALINA_HOME/conf/logging.properties 파일을 수정해야 합니다.
반응형
'CS > Security' 카테고리의 다른 글
| [보안노트] SQL Injection (0) | 2024.08.27 |
|---|
English
日本語
Русский
简体中文