WHORU Web [한글 메뉴얼]

WHORU WEB?

WHORU WEB는 시스템의 상황을 중앙 로그로 남겨, 추후 문제점이 발생하였거나 보안 사고가 발생했을때 이용할 수 있는 빅데이터 수집기라 할 수 있습니다.

WHORU WEB가 남기는 로그는 네트워크 이용 기록, 프로세스 실행 기록,  로그인 기록, 그리고 파일 삭제/생성 기록으로써 서버에서 발생한 모든 로그를 남기게 됩니다.

그리고 Syslog 기반으로 동작해 쉽게 네트워크 장비의 로그를 합칠 수 있으며,

로그 기록을 비동기적으로 진행하므로, 로그가 많더라도 놓치지 않고 서버에 저장하며,

이렇게 저장된 데이터를 이용하여 분석이 필요한 시점에 쉽게 특정 IP를 추적하거나  장애 원인을 분석하실 수 있습니다.

즉 “IT 빅데이터 분석 시스템”이라 할 수 있습니다!

 

WHORU로 할 수 있는 것들

1. 키워드 베이스의 위험 분석

IP 기반 분석을 기본적으로 제공하며, 날짜기반으로 그날 발생한 활동 내역을 정리하여 보여 드립니다. 위험 분석에 보안 사고만 있는 것이 아니며 성능에 관련된 위험 역시 확인 하실수 있답니다.

2. 감사 시스템으로 활용

PC에서 사용한 모든 내역을 중앙에서 확인할 수 있으므로, 자녀의 PC나 회사의 중요 PC, SERVER에서 벌어지는 상황을 감시할 수 있습니다.

3. 성능 정보 수집

다른 모니터링 프로그램을 설치하지 않아도 WHORU만으로 시스템 성능 모니터링을 진행할 수 있습니다. 대쉬 보드를 이용해 현재 성능상 문제점이 있는 서버를 바로 확인 할 수 있고,

시스템 증가시 추가 작업을 하지 않아도 성능 수집을 할 수 있습니다.

4. 빅데이터 분석

다양하게 수집된 로그중 당일 일자에 발생한 로그의 경우 메모리 DB로 관리하여 빠르게 분석할 수 있으며, 사고 및 분석에 관련된 키워드를 입력하여 다양한 활동을 한 화면으로 확인할 수 있어 원인을 쉽게 찾아 낼 수 있습니다.

Syslog 서버로 활용할 수 있다는 점은 보다 많은 분석 결과를 한번에 할 수 있다는 장점입니다.

5. 위험 알림

기본적으로 이메일 알림과 Hipchat을 이용한 알림 기능을 제공합니다. 알림은 WHORUsyslog에서 분석해 관리자에게 전송하며 환경설정을 통해 조절할 수 있습니다.

 

 

구축 준비

WHORU Enterprise는 위 그림과 같이 WHORU로 부터 로그를 수집(일반 Syslog  메세지도 수집)하는 WHORU syslog와 수집된 로그를 보여주는 WHORU website를 구성되어 있습니다.

WHORU가 수집한 로그를 WHORUsyslog에 전송하면 WHORUsyslog는 로그를 분석해 위험하거나 지정된 문자가 포함되어 있을 경우 관리자에게 알림을 보내고 데이터베이스 정리하여 저장합니다.

그리고 저장된 데이터는 WHORUwebsite를 이용하여 확인할 수 있는 구조입니다.

자 그럼 구축을 위해 어떠한 작업이 필요한지 확인해 보도록 할겠습니다.

먼저  WHORUsyslog와 WHORUwebsite를  설치합니다. 그리고 WHORU를 모니터링 하고자 하는 서버에 설치하면 됩니다.

여기서 WHORUsyslog는 데이터 저장은 MSSQL로 진행하므로, 먼저 데이터베이스를 설치하여야 합니다. 데이터베이스는 MSSQL을 이용해야 하고, 데이터 저장이 많은 만큼 어느정도의 DB가 사용할기에 적합한 장비를 이용합니다.

팁을 드리자면 성능적인 측면에서 MSSQL과 WHORU syslog는 함께 설치하는것이 좋습니다(분리 설치도 가능).

WHORU Website는 WHORU syslog와  따로 설치하는 것을 권장하며, 성능은 일반적인 웹서버로 구성하여도 됩니다.

 

설치

MSSQL 설치하기

설치는 먼저 MSSQL을 설치합니다.

만약 적당한 라이센스가 없다면 Express 에디션을 이용해도 되지만 추천하지는 않습니다..

( http://msdn.microsoft.com/ko-kr/evalcenter/dn434042.aspx )

2. 그리고 인스톨이 완료되면, WHORU에서 이용할 계정을 생성합니다. 아래 스크립트를 이용해 생성하시면 됩니다.

USE [master]
GO

CREATE LOGIN [esm] WITH PASSWORD = ‘P@ssword‘, DEFAULT_DATABASE=[master], DEFAULT_LANGUAGE=[us_english], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO

ALTER SERVER ROLE [sysadmin] ADD MEMBER [esm]
GO

그리고 외부 접근을 위해 TCP/IP 서비스를 활성화 하고, TCP port를 아래 그림과 같이 기본 포트인 1433으로 설정합니다.

설정을 마치면, 서비스 재시작이 필요할 수 있습니다.

3. 그리고 다운로드 메뉴에서 확인할 수 있는 databasescript.zip의 압축을 해제하고,  각 SQL 실행하여 데이터베이스를 생성합니다.

 

이렇게 데이터 베이스 설정이 끝이 났다면, 이제 WHORUsyslog를 구성합니다.

WHORUsyslog 설치하기

WHORUsyslog는 설치가 쉽습니다.

인스톨만 진행하면됩니다.

WHORUsyslog를 설치하고 나서 설치한 디렉토리로 이동하면, whorusyslog.ini라는 파일 존재합니다.

여기에 WHORUsyslog 실행에 필요한 환경을 구성해야 합니다.

먼저 앞서 설치한 DB 서버 정보를 입력합니다.

[DB]
IP=127.0.0.1
User=esm
Pass=P@ssw0rd

위 그림과 같이 DB서버의 IP정보와 User/Password를 기입합니다.

여기까지 구성하고, 실행하면 기본적으로 클라이언트로 부터 수집한 데이터를 데이터베이스에 저장 할 수 있습니다.

추가 구성을 진행하여위험 분석 및 알람기능을 사용할 수 있습니다.

먼저 모바일 알람인 Hipchat 사용방법입니다.

Hipchat 알람 사용하기

Hipchat을 사용하기 위해서는 Hipchat에 가입을 하여야 합니다.

가입후 본인의 Profile 정보에서 XMPP/Jabber info라는 탭이 있는데 해당 정보를 확인 합니다.

위 내용을 whorusyslog.ini의 [Hipchat] 세션에 업데이트해줍니다.

아래 그림처럼 입력하시면 됩니다.

알림 유형 선택 하기

그리고 어떤 유형의 알람을 받을지 받고자 하는 알람 기능을 활성화 합니다.

[Notice]
CPU=true
Memory=false
Disk=true
Anormal=0
Emergency=true
Userset=””

 

Anormal은 동시에 발생하는 이벤트 횟수를 의미합니다. 한번에 다량의 로그가 발생했다면 일반적이지 않은 상황일 가능성이 큽니다. 비활성화는 숫자’0’이며,  이용환경에 따라 숫자로 조절할 수 있습니다.

Emergency는 Syslog 타입중 Emergency와 Critical 메세지에 대해 알림을 진행 유무를 선택할 수 있습니다. CPU, Memory, Disk의 경우 성능과 관련된 것으로 이에 대한 알림을 받을지 유무를 선택합니다.

Userset의 경우 알림을 받고 싶은 메세지가 있는 경우 여기에 등록하여 진행합니다.

알림 수단 선택하기

알람 유형을 선택하였다면 이제 알람을 보낼 수단을 선택해야 합니다.  WHORUsyslog는 이메일과 Hipchat을 통해 알람을 보낼수 있으며, Hipchat_Group는 그룹채팅방을 의미합니다. Hipchat의 경우 콤마를 이용해 여러 대화방에 메세지를 전달할 수 있습니다.

[Send]
Email=false
Hipchat=true
Hipchat_Group=false

Email을 기능을 사용하기 위해서는 Email 정보도 입력해야 합니다. SMTP 서버 IP와  받는사람, 보내는 사람의 메일 주소를 입력하면 사용할 수 있습니다.

[Email]
IP=10.0.7.210
To=allmnet@naver.com
From=esm@site.com

WHORU Website구성

이렇게 환경설정을 본인에 입맛에 맞게 설정하였다면,  WHORU는 실행시 환경설정을 로드하기 때문에 Services.msc 를 실행해 WHORUsyslog를 재시작해주어야 합니다.

이제 WHORU Website를 구성하면 거희 끝이 납니다.

WHORU Website는 IIS 기반으로 동작합니다. 따라서 윈도우 서버에 IIS 기본 역활이 설치되어야 합니다.

ASP.NET 4.5와 ASP관련 기능을 선택하여 IIS 웹서버를 구성합니다.

       

그리고 MVC 4를 설치하면 WHORUWebsite를 구성하기 위한 준비는 마무리가 됩니다.

 

이제 다운로드 메뉴에서 다운받은 WHORUwebsite.zip의 압축을 웹서버를 운영할 경로에 해제 합니다.

그리고 IIS 관리도구를 실행해 IIS 사이트를 새로 생성합니다. 만약 기본 웹 사이트를 사용하고자 한다면, 기본 웹 사이트의 파일 경로를 수정하여도 됩니다.

마지막으로 WHORUwebsite의 압축 해제한 경로에서 web.config을 메모장으로 열어서 MSSQL의 IP와 계정 패스워드를 본인에게 맞게 수정하고, 웹사이트에 접근하면 됩니다.

기본적으로 계정은(admin/password)입니다.

 

서버에 WHORU 설치하기

위 모든 작업이 완료되었다면, WHORU를 감시하고자 하는 서버에 설치하고,  Syslog 서버 IP를 WHORUsyslog로 변경해 주면 모든작업이 완료됩니다.

WHORU는 5가지 서비스로 구성되어 있으며, 각 서비스는 whoru.ini 파일을 통해 환경 설정을 할 수 있습니다.

신뢰 사이트, 신뢰하는 파일 혹은 프로그램의 경우 Trustlist에 등록하면 로그를 생성하지 않으므로, 불필요한 로그를 최소화 할 수 있습니다.

그럼 각 환경 설정에 대해서 알려드리겠습니다.

파일 서비스
[File]
DirectoryPath= << 감시하고자 하는 경로를 지정합니다. 콤마를 이용하여 다중 경로를 모니터링 할 수 있습니다.
FileType=.exe,.dll,.sys,.com,.bat  << 모니터링 하고자 하는 파일 타입을 입력합니다. 기본적으로 실행 가능한 파일들이 등록되어 있습니다.
Include_Subdirectory=true << 감시하는 경로의 하위 디렉토리를 포함 유무를 지정합니다.
Trust_List= << 감시하는 경로에서 예외하는 파일이나 경로를 지정합니다.
Create=true << 파일 생성에 대한 감시 유무를 지정합니다.
Delete=false << 파일 삭제에 대한 감시 유무를 지정합니다.

이벤트로그서비스

[Eventlog]
System=true << 시스템 로그에서 발생하는 이벤트를 경고 이상 등급에 대해 전송합니다.
Application=true << 어플리케이션 로그에서 발생하는 이벤트를 경고 이상 등급에 대해 전송합니다.
Login_Success=true << 로그인 성공한 사용자에 정보를 전송합니다.
Login_Fail=true << 로그인 실패한 사용자에 정보를 전송합니다.

 

프로세스서비스

[Process]
Trust_Process= << 감시에서 제외할 프로세스를 지정합니다. 프로세스 이름을 입력하면 되며, 콤마를 이용해 다중 입력이 가능합니다.
Skip_System_Use=true << 시스템에서 사용한 프로세스의 경우 감시항목에서 제외합니다.

 

네트워크서비스

[Network]
Device=0 << 감시하고자 하는 디바이스를 지정합니다.
Trust_IP= << 감시에서 제외하고자 하는 IP를 지정합니다.
Trust_ServicePort_TCP= << 서비스를 하는 TCP 포트가 있는 경우  예외로 지정할 수 있습니다.
Trust_ServicePort_UDP=<< 서비스를 하는 UDP 포트가 있는 경우  예외로 지정할 수 있습니다.
Trust_DestinationPort_TCP=<< 외부로 주기적으로 연결하는 TCP 포트가 있는 경우  예외로 지정할 수 있습니다.
Trust_DestinationPort_UDP=<< 외부로 주기적으로 연결하는UDP 포트가 있는 경우  예외로 지정할 수 있습니다.
Skip_System_Use=true << 시스템에서 사용한 네트워크의 경우 감시항목에서 제외합니다.

 

성능서비스
[Perf]
Monitoring=true << 성능 수집 유무를 지정합니다. 이를 통해 WHORU website의 성능에 그래프를 그리게 됩니다.
Alert=true << 알람 기능 유무를 지정합니다. 성능 수집과 관계없이 리소스 관련 알람만 활성화 가능합니다.
Alert_CPU=80 << CPU 알람 수치를 기입합니다. %
Alert_Memory=100 << 최수 유지 메모리 수치를 기입합니다. MB
Alert_Disk=2000 << 최소 저장 용량을 기입합니다. MB

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.