티스토리 뷰

Analysis/System&IR

xferlog 형식(format) 분석

쏘얌무 2018. 5. 17. 17:24

로그 파일 중 ftp 관련된 log인 xferlog에 대해서 작성하고자 합니다.

 

리눅스 시스템에서 작동되는 FTP 관련 데몬인 proftpd나 vsftpd의 서비스의 내용을 기록하는 파일 입니다.

 

우선 리눅스에서 vsftpd 데몬을 설치하여 log파일을 생성하도록 하겠습니다.

 

ubuntu에 ftp패키지 설치 하도록 하겠습니다.

 

apt-get update
apt-get install vsftpd

 

설치하게 되면 이후에 설정 파일에서 로그에 대한 관련 구문의 주석을 삭제 해주셔야 합니다.

저는 업로드 하는 상황을 위해 쓰기권한의 구문도 주석을 제거 하였습니다.

 

vi /etc/vsftpd.conf 

 

 

이렇게 되면 서버의 구성은 끝나게 되고 윈도우에서 FTP로 접근하여 업로드 작업을 합니다.

이제 생성된 로그를 확인해보도록 하겠습니다.

 

 

우선 바로 처음 연결 작업을 이룬 로그가 보이게 됩니다. 이부분은 간단하게 분석이 가능하니 다음 구문을 하나하나 설명해보도록 하겠습니다.

 

항목

 

  1. 전송 날짜와 시간(Thu May 17 11:54:41 2018)
    2018년 5월 17일 목요일 11시 54분 41초로 설명할 수 있겠습니다. 날짜와 시간에 대한 정보를 기록합니다.
  2. 전송 시간 (1)
    전송에 걸린 소요 시간을 나타내고 1초가 걸렸다고 기록되었습니다.
  3. 원격 호스트 주소입니다.(192.168.0.18)
    원격으로 접속한 호스트의 주소입니다. 이 내용은 위에서 연결하고 로그인 한 주소와도 동일 합니다.
  4. 전송된 파일의 크기(1710)
    전송된 파일의 크기를 바이트로 나타내 주는 항목입니다.
  5. 전송 파일명(/home/vagrant/KakaoTalk_20180309_114713323.png)
    전송 된 파일의 전체 경로 입니다. 여기서는 업로드 한 상황이니 업로드 된 파일의 전체경로를 나타냅니다.
  6. 전송 파일 유형(b)
    전송된 파일의 유형으로 두가지가 존재합니다.
    * a = ascii입니다.
    * b= binary입니다.
    여기서 전송한 파일이 png로 이미지 파일이니 binary 파일로 전송 된 것을 알 수 있습니다.
  7. 액션 플래그 ( _ )
    FTP 서비스에서 적용하는 내용, 어떠한 동작을 수행했는지를 나타내는 것으로 압축, 묶음에 관한 액션을 나타냅니다. 관련 기호는 _,C,U,T가 있습니다.
  8. _

    행위가 일어나지 않은 것을 나타냅니다.

    C

    압축된 파일을 나타냅니다.

    U

    압축 되지 않은 파일을 나타냅니다.

    T

    tar로 묶여 있는 파일을 나타냅니다.


  9. 전송 방향 ( i )
    전송 된 방향을 나타내는 것으로 관련된 항목으로 i,o,d가 있습니다.
    * i = 파일을 업로드하여 서버로 들어오는 것(incoming)을 나타냅니다. 
    * o = 파일을 다운로드하여 서버에서 나가는 것(outgoing)을 나타냅니다. 
    * d = 파일을 삭제(delete)하는 것을 나타냅니다.
  10. 엑세스 모드 ( r )
    사용자가 접근한 방식이나 형태를 나타내는 것으로 r,a,g가 있습니다.
    * r = 시스템의 사용자로 인증한 것으로 passwd에 속해 있는 사용자로 접속한 형태를 나타냅니다.
    * a의 경우는 익명사용자를 뜻하며 anonymous를 의미합니다.
    * g의 경우 비밀번호가 있는 게스트 계정을 의미 합니다.
  11. 사용자명 ( vagrant )
    로그인한, 인증 된 사용자명을 나타냅니다.
  12. 서비스명 ( ftp )
    호출된 서비스를 나타내는 것으로 ftp 서비스를 나타냅니다.
  13. 사용자의 인증 방식 (0)
    사용자의 인증 방법을 나타내는 것으로 0인 경우 없음을 나타내고 1인 경우 RFC 931 authentication 입니다.
  14. 인증 사용자 ID ( * )
    인증 메소드가 되돌려주는 사용자 ID입니다. *는 인증된 사용자 ID를 사용할 수 없는 경우를 의미 합니다.
  15. 완료 상태 ( c )
    전송의 완료 상태를 나타내 줍니다.
    * C : 전송이 완료된 상태를 나타냅니다. (complete)
    * i : 전송이 실패된 상태를 나타냅니다. (incomplete)

FTP 서비스에서 나타내는 xferlog의 경우 형식을 이해하지 못하면 분석하는데 시간이 소요 되기 때문에 따로 정리하여 항목들을 설명하였습니다.

'Analysis > System&IR' 카테고리의 다른 글

Linux syslog(rsyslog) format  (0) 2018.05.18
Linux의 shadow 파일  (0) 2018.05.17
windows 로그, 감사 정책  (0) 2018.05.10
운영체제의 계정과 그룹 기초  (0) 2018.05.09
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
글 보관함