728x90 반응형 로그5 방화벽 로그 분석 (FW Analysis) 방화벽로그를 CSV 형태 추출하여 수십개 파일로 존재몽고디비에 적재하는 배치 스크립트for %%f in ("C:\FW\*.csv") do ( mongoimport --db Logos --collection FW --type csv --file "%%f" --headerline >> import.log 2>&1)방화벽 로그 20GB 기준 3~4시간 소요몽고디비 적재 후 어그리게이션 이용하여 쿼리로 원하는 데이터만 추출출발지IP 지정, 도착지IP 대역대로 지정, 드롭정책 제외, 기간 설정, 송신 데이터 1000바이트 이상[ { "$match": { "Src": { "$in": ["103.229.81.123", "103.5.144.50", "27.102.106.198"] }, ".. 2025. 2. 5. 몽고DB 쿼리 조회 (MongoDB Query) [전화번호 검색] db.getCollection("KoreaDB").find({"phoneNumber": {"$in": ["821011112222", "821022223333".... "821033334444"]}}) [NumberLong 타입으로 userID 찾기] db.getCollection("KoreaDB").find({ "userId": { "$eq": NumberLong(1234567) } }) [연번 추가] var seq = 0 db.KoreaDB.find().sort({_id: 1}).forEach(function(doc) { db.KoreaDB.updateOne({_id: doc._id}, {$set: {seq: ++seq}}) }) [userID 대량 조회] db.KoreaDB.find.. 2023. 4. 25. 팀뷰어 로그 분석 (TeamViewer Log Analysis) This Post Covers Teamviewer는 알려진 무료 원격제어 도구 중 사용이 간편해서 IT 종사자 뿐만 아니라 비종사자도 많이 사용하는 프로그램이다. PC에 많은 지식이 없는 친구, 부모님 등 컴퓨터에 설치하여 직접 방문하지 않고 원격을 통해 이슈를 해결할 수 있는 고마운 친구(?)이다. 팀뷰어의 로그에 대한 분석은 이미 예전부터 많은 사람들이 내용을 공개하였다. 구글에서 teamviewer forensics로 검색해도 많이 나온다. 하지만 버전이 업그레이드 됨에 따라 일부 구조가 변경되고 저장 경로가 바뀌고 한 것뿐이지 전체적인 로그의 틀은 동일하다. 최근 사건에서 사용됐던 동일한 버전에서 이것저것 분석을 진행하다가 우연히 IPv6 정보가 확인되어 두 편으로 나눠 포스팅을 남긴다. Team.. 2023. 2. 22. 원격접속 시 이벤트 로그의 변화 (Event ID 1149 261) TerminalServices-RemoteConnectionMnager Event ID : 1149 설명 : 사용자 인증 성공 이 이벤트는 로그인에 성공한 것이 아님. 원격에서 사용자가 RDP연결을 시도하고 연결에 성공하여 로그인창이 떴을때 나오는 이벤트임. ex) mstsc > IP입력 > 로그인창 TerminalServices-LocalSesstionManager Event ID : 25 설명 : 세션 재연결 성공 출발지 IP에서 세션을 재연결하는데 성공함. 로그인 성공 ======================================================================================== [RDP Brute Force 공격 도구 사용하여 로그인 성공시 이벤트 로.. 2022. 10. 1. 애니데스크 접속 기록 (Anydesk log) 보호되어 있는 글 입니다. 2022. 10. 1. 이전 1 다음 728x90 반응형
