OS (45) 썸네일형 리스트형 Windows 모니터링 agent 설치(zabbix+sysmon+winlogbeat) 개요 기본적인 Windows 모니터링 도구인 zabbix agent와 시스템 로그 수집을 위한 sysmon + winlogbeat agent를 설치한다. 윈도우 로그 수집은 "Windows + Sysmon + Winlogbeat + Logstash" 를 참조하면 된다. winlogbeat-7.15.1 zabbix_agent2-5.0.15 설치 zabbix_agent.conf 수정 zabbix_agent2, zabbix_agent 중 원하는 agent를 설치하면 된다. zabbix_agent2.conf를 설치 예정이며 간단하게 zabbix server, hostname, Logfile 부분을 수정한다. > zabbix_agent2.conf ... LogFile=c:\montools\zabbix_agent2.. AD(Active Directory) 로그온 스크립트 설정하기 개요 AD에 계정을 생성하고 클라이언트 PC 에서 생성된 계정으로 로그온시 실행 할 스크립트를 설정할 수 있다. 간단하게 네트워크 공유 폴더를 연결하는 스크립트를 만들고 적용해 본다. 설정 스크립트 작성 AD가 참조하는 스크립트 경로 : C:\Windows\SYSVOL\domain\scripts\ net use를 사용하여 공유폴더를 연결하는 스크립트 작성 형식 : net use /user: net use * /d /y : 모든 공유 폴더를 삭제(/d)하고 yes(/y) 옵션을 준다. > login_script.bat net use * /d /y net use Z: \\192.168.0.1\ShareFolder /user:admin "adminadmin" 계정에 스크립트 적용 계정명 - 속성 - 프로필 -.. lsyncd + rsyncd 데이터 실시간 동기화 개요 lsyncd 소규모 환경에서 데이터를 동기화 할 수 있는 방버은 NFS, DRBD(Distributed Replicated Block Device) 를 구축하는 방법도 있지만 lsyncd를 이용하여 동기화 하는 방법도 존재한다. lsyncd(Live Syncing Daemon) 원리 리눅스 커널의 inotify로 파일시스템의 변경사항을 체크 inotify(Linux Kernel 2.6.13 이상)는 리눅스 커널에 포함된 기능으로, 파일시스템에 변경사항이 발생할 때 이벤트를 통보 변경사항은 rsync를 호출하여 상대 서버로 싱크 구조 원본 데이터 서버 : lsyncd 데몬 + rsync 클라이언트 동기화 대상 서버 : rsyncd 데몬 설정 서버 구성 원본 데이터 서버 : CentOS6 x86_64 .. CentOS7 에서 iptables GeoIP 모듈 적용하기 maxmind 회원가입 후 라이선스 키 발급 https://www.maxmind.com/en/geolite2/signup 생성 시 만 볼수 있으므로 관리 유의 필수 패키지 설치 > yum install gcc gcc-c++ make automake unzip zip kernel-devel-`uname -r` iptables-devel perl-CPAN wget libmnl* perl-NetAddr-IP perl-Text-CSV_XS git xtables-addons 다운로드 > wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.13.tar.xz > tar xvf xtables-addons-.. Linux 다중 업링크(multiple gateway) 정책 라우팅 Cisco 스위치의 PBR(Policy Base Route)을 리눅스의 ip rule 같은 도구를 이용하여 정책 라우팅 할 수 있다. 개요 물리 경로 FW(CentOS7) 서버의 물리 경로 NIC enp9s0f1, enp10s0f1은 FW서버의 up 링크 NIC enp9s0f0은 FW 서버의 down 링크 IP 경로(시리얼 구간) UPlink1(enp9s0f1) : 10.10.40.2 -> 10.10.10.40.1 UPlink2(enp10s0f1) : 10.10.60.2 -> 10.10.10.60.1 Downlink(enp9s0f0) : 10.10.50.1 -> 10.10.50.2 NIC ip 정보 [root@FW]# ip a 1: lo: mtu 65536 qdisc noqueue state UNKNOW.. windows 서비스 속성(실행 파일 경로) 수정 1. 실행 파일 경로가 부정확해 서비스 실행이 불가 한 경우 레지스트리를 이용하여 수정 2. metricbeat를 예로 현재 서비스에 등록된 실행 파일 경로 "C:\users\Administrator\Desktop\montools\metricbeat-7.15.2-windows-x86_64\metricbeat.exe" --environment=windows_service -c "C:\users\Administrator\Desktop\montools\metricbeat-7.15.2-windows-x86_64\metricbeat.yml" --path.home "C:\users\Administrator\Desktop\montools\metricbeat-7.15.2-windows-x86_64" --path.dat.. windows 메모리 정보 확인 1. 현재 사용중인 메모리 정보 ## wmic memorychip get >wmic wmic:root\cli>memorychip BankLabel Capacity Caption CreationClassName DataWidth Description DeviceLocator FormFactor HotSwappable InstallDate InterleaveDataDepth InterleavePosition Manufacturer MemoryType Model Name OtherIdentifyingInfo PartNumber PositionInRow PoweredOn Removable Replaceable SerialNumber SKU Speed Status Tag TotalWidth TypeDetail V.. PowerShell 실행 정책(about_Execution_Policies) 악성 스크립트 실행 방지를 위한 PowerShell 실행을 제어하는 정책 1. scope 별 실행정책 리스트 - 우선 순위별 PS Client> get-executionpolicy -list Scope ExecutionPolicy ----- --------------- MachinePolicy Undefined UserPolicy Undefined Process Undefined CurrentUser Undefined LocalMachine Undefined - MachinePolicy : 모든 사용자에 재한 그룹정책 - UserPolicy : 현 사용자에 대한 그룹 정책 - Process : 떠 있는 PowerShell 세션에 대한 정책. 레지스트리에 저장 되지 않고 환경변수로 등록되어 세션이 종료되면.. 1.9 AD(Active Directory) GPO 배포 결과 출력 1. AD 멤버에서 gpo 배포 결과 요약조회 - "gpresult /R" : RSoP(정책 결과) 요약 결과 출력 - 컴퓨터 구성의 "Default Domain Policy" GPO가 적용됨. PS C:\Windows\system32> gpresult /R Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0 © Microsoft Corporation. All rights reserved. 2022-04-29 오후 7:00:47에 작성됨 TEST\ad.test(TEST-AD에 있는)에 대한 RSOP 데이터: 로깅 모드 ----------------------------------------------------------.. 1.8 AD(Active Directory) GPO 원격데스크톱 설정 배포2 1. 원격 데스크톱 포트 변경 및 방화벽 허용 2. [AD 서버] 그룹 정책(gpmc.msc) - "Default Domain Policy" - "컴퓨터 구성" - "기본 설정" - "Windows 설정" - "레지스트리" - "세로만들기" - "레지스트리 항목" 3. [AD 서버] 원격데스크톱 포트 변경 - HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - 3389 -> 5555변경 - HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp - 3389 -> 5555 변경 - 확인 4. [AD 서.. 이전 1 2 3 4 5 다음