• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.17 no.7
• /
• pp.623-628
• /
• 2016

Because the log information provides some critical clues for solving the problem of illegal system access, it is very important for a system administrator to gather and analyze the log data. In a Linux system, the syslog utility has been used to gather various kinds of log data. Unfortunately, there is a limitation that a system administrator should rely on the services only provided by the syslog utility. To overcome this limitation, this paper suggests a syslog agent that allows the system administrator to gather log information for file access that is not serviced by syslog utility. The basic concept of the suggested syslog agent is that after creating a FUSE, it stores the accessed information of the files under the directory on which FUSE has been mounted into the log file via syslog utility. To review its functional validity, a FUSE file system was implemented on Linux (Ubunt 14.04), and the log information of a file access was collected and confirmed.

• Convergence Security Journal
• /
• v.8 no.1
• /
• pp.43-48
• /
• 2008

Previously, we need to log-in to the target system to check the system log. This is a problem that can not be monitored in real time. This paper designed a syslog real-time monitoring system to solve this problem. The proposed system be able to detect a problem of system in real time without log-in process and be able to solve problems immediately. The proposed syslog real-time monitoring system in this paper is based on Windows OS.

• The KIPS Transactions:PartD
• /
• v.13D no.2 s.105
• /
• pp.147-156
• /
• 2006

Event logging plays increasingly an important role in system and network management, and syslog is a de-facto standard for logging system events. However, due to the semi-structured features of Common Log Format data most studies on log analysis focus on the frequent patterns. The extensible Markup Language can provide a nice representation scheme for structure and search of formatted data found in syslog messages. However, previous XML-formatted schemes and applications for system logging are not suitable for semantic approach such as ranking based search or similarity measurement for log data. In this paper, based on ranked keyword search techniques over XML document, we propose an XML tree structure through a new data modeling approach for syslog data. Finally, we show suitability of proposed structure for semantic retrieval.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.1949-1952
• /
• 2003

Syslog는 Unix 시스템에서 로깅과 오류 보고를 위해 설계되었다. 즉, Syslog는 시스템 전반에 걸친 일상적 알림에서부터 치명적인 오류들과 네트워크 노드들 전반의 각종 행위들에 대한 감사 기록이다. 때문에 침해 사고 발생시 가장 우선적으로 사용되는 보안 감사 자료이며 장애나 침해가 발생하였음을 확인할 수 있는 유일한 증거이다. 그러나 기존의 Syslog 관리에서는 같은 WAN 환경에서도 로그 서버들 간의 로그 정보 공유가 제한적으로 행해지고 있다 따라서 본 논문은 신뢰 가능한 로컬 네트워크로 구성된 WAN 환경에서 에이전트를 이용한 로컬 네트워크들 간의 원활한 로그 정보의 공유를 통해 보다 효과적인 Syslog 관리를 위한 시스템 모델을 제안하고자 한다.

• The Journal of Korea Institute of Information, Electronics, and Communication Technology
• /
• v.1 no.3
• /
• pp.61-67
• /
• 2008

In the course of research, the program that is able to process files through gcc and imput them into the database has been developed, using Syslog-ng based Unix system. PostgreSQL and PHP are used for database and Web-based server side script respectively.

• The Journal of the Institute of Internet, Broadcasting and Communication
• /
• v.23 no.3
• /
• pp.119-125
• /
• 2023

IT infrastructure operation has advanced, and the methods for managing systems have become widely adopted. Recently, research has focused on improving system management using Syslog. However, utilizing log data collected through these methods presents challenges, as logs are extracted in various formats that require expert analysis. This paper proposes a system that utilizes edge computing to distribute the collection of Syslog data and preprocesses duplicate data before storing it in a central database. Additionally, the system constructs a data dictionary to classify and count data in real-time, with restrictions on transmitting registered data to the central database. This approach ensures the maintenance of predefined patterns in the data dictionary, controls duplicate data and temporal duplicates, and enables the storage of refined data in the central database, thereby securing fundamental data for big data analysis. The proposed algorithms and procedures are demonstrated through simulations and examples. Real syslog data, including extracted examples, is used to accurately extract necessary information from log data and verify the successful execution of the classification and storage processes. This system can serve as an efficient solution for collecting and managing log data in edge environments, offering potential benefits in terms of technology diffusion.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.13 no.3
• /
• pp.81-90
• /
• 2003

The presence of the intrusion is judged by intrusion detection system based on the audit log and the Performance of this system depends on how correctly and effectively it has been described about the intrusion pattern with audit log. In this paper, the relativity concerning intrusion is demonstrated among the information those are ‘System call, Network packet and Syslog’ and the related pattern of the state-transition-based method and those rule-based pattern is identified. By applying this correlation to them, the accuracy rate of detection was able to be improved. Especially, the availability of detection with correlation pattern through Covert Channel detection test has been substantiated.

• Review of KIISC
• /
• v.20 no.5
• /
• pp.65-73
• /
• 2010

로그 데이터는 네트워크 및 보안장비, 서버시스템, DBMS, 서비스 등에서 사용자의 행위를 기록하여 보관하며 있으며, 이를 통해 시스템의 안정적인 운영을 지원하거나, 해킹 등의 불법 침해를 당하였을 때 침입경로 추적과 취약점을 찾아내어 보완할 수 있는 중요한 자료이다. 하지만 로그 데이터는 여러 시스템에 각각 다른 형태로 산재하며 일시적인 기간 동안 저장되어 있거나, 해커에 의해 고의적으로 삭제되기도 하며, 저장 용량 문제로 인해 필요시에 없을 경우가 많다. 본 연구에서는 네트워크 장비와 보안장비의 표준로그인 syslog와 유닉스/리눅스 시스템과 윈도우즈서버의 로그에 대한 특성을 고찰하였으며, 특히 서비스로그로서 아파치 웹서버와 IIS서버의 로그에 대한 특징을 정리하였다. 여러 종류의 시스템에서 발생되는 로그를 통합하여 관리하기 위해서는 이기종 로그 데이터의 생명주기 방법론을 제시하였다. 또한, 최근에 IT보안 사고에 대응하여 규제준수를 요구하고 있는 국내외의 IT컴플라이언스에서 로그에 대한 관련 내용을 살펴보고, 그 준수할 방안을 제시한다. 결론으로 IT 인프라의 보안강화적인 측면과 IT컴플라이언스 준수를 위해, 효율적인 로그에 대한 수집과 보관 및 활용성 측면에서의 이기종의 통합로그관리도입 필요성, 생명주기, 기술적 준비사항, 컴플라이언스 요구사항을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.10a
• /
• pp.524-527
• /
• 2018

IOT의 발전으로 많은 디바이스들이 사용자들에게 제공되어 데이터를 얻거나 제어함으로서 유용하게 사용되고 있다. 보통 하나의 디바이스에 다수의 사용자가 접근하여 데이터를 얻거나 제어 함으로써 서비스를 받게 된다. 그러나 하나의 디바이스를 여러 사용자가 이용하게 되면 어떤 사용자에 의해 디바이스가 오작동을 할 수 있고 결함이 발생할 수가 있다. 본 논문에서는 이러한 경우를 예방하고 디바이스를 관리하기 위해 FUSE와 Syslog를 이용하여 디바이스 접근에 대한 정보 로그하는 기법을 제시한다. 이를 위하여 리눅스(Ubuntu 16.04)에서 문자 디바이스 드라이버 모듈을 작성하여 커널에 삽입하고, 디바이스에 접근을 시도하는 테스트 프로그램을 작성하여 디바이스에 접근할 때 접근 정보를 로그하는 기법을 제시한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2001.10a
• /
• pp.646-648
• /
• 2001

최근의 침입이나 공격들은 광범위한 망의 이용과 긴 시간을 두고 공격을 행하는 추세로 발전하고 있다. 이러한 공격들에 대한 탐지 및 대응을 위하여 침입탐지 시스템들은 시스템에 걸쳐 있는 정보의 공유, 침입이나 공격에 적극 대응하기 위한 자원의 이용 등의 상호협력이 요구되고 있다. 본 논문에서는 시스템에서 기록하는 많은 종류의 로그 정보를 침입 탐지에 이용할 수 있는 정보만을 추출하고 분석하여 저장함으로써, 침입 탐지 시스템이 이용할 수 있게 하고, 다른 시스템에서 정보를 필요로 할 때 제공할 수 있으며, 또한 침입이라 간주되어지는 행위에 대하여 대응하기 위한 추적 및 정보 수집 그리고 접속 거부 등을 행하는 Agent 시스템의 설계 및 개발을 목적으로 한다. 이를 위해 리눅스 시스템 기반 하에서 로그를 기록하는 SYSLOG, 발생한 시스템 콜 정보를 기록하는 LSM, 망에서 시스템으로 들어오는 패킷을 분석하는 Pcap Library를 이용한 로그 등을 통합하는 과정을 설명하고, 침입탐지 시스템에 의해서 침입이라 판단되었을 경우, DART Agent가 그 경로를 역추적하고 여러 시스템에 걸쳐 있는 정보들을 수집하는 과정, 고리고 공격에 대한 대응을 하는 과정을 설명한다.