Abstract
Because the log information provides some critical clues for solving the problem of illegal system access, it is very important for a system administrator to gather and analyze the log data. In a Linux system, the syslog utility has been used to gather various kinds of log data. Unfortunately, there is a limitation that a system administrator should rely on the services only provided by the syslog utility. To overcome this limitation, this paper suggests a syslog agent that allows the system administrator to gather log information for file access that is not serviced by syslog utility. The basic concept of the suggested syslog agent is that after creating a FUSE, it stores the accessed information of the files under the directory on which FUSE has been mounted into the log file via syslog utility. To review its functional validity, a FUSE file system was implemented on Linux (Ubunt 14.04), and the log information of a file access was collected and confirmed.
시스템의 로그 정보는 불법적인 시스템 접근에 대한 문제를 해결하는데 결정적인 단서를 제공하기 때문에 로그 데이터의 수집 및 분석은 시스템 관리자에게 매우 중요하다. 리눅스 시스템에서는 다양한 종류의 로그 데이터를 수집하기 위하여 syslog 유틸리티를 이용해 오고 있다. 그러나 시스템 관리자는 syslog 유틸리티에서 지원하는 서비스에 의존해야 하는 한계가 있다. 이러한 한계를 극복하기 위하여 본 논문에서는 시스템 관리자로 하여금 syslog 유틸리티에서 지원하고 있지 않는 파일 접근에 대한 로그 정보를 수집할 수 있도록 하는 syslog 에이전트를 제시하고자 한다. 제시한 syslog 에이전트의 기본 개념은 FUSE를 생성한 후, syslog를 이용하여 FUSE가 마운트된 디렉토리에 존재하는 임의의 파일에 대한 접근 정보를 로그 파일에 저장하는 것이다. 제시한 기법의 기능적 타당성을 검토하기 위하여 리눅스(우분투 14.04)에서 FUSE 기반의 syslog 에이전트를 구현하여 임의의 파일 접근에 대한 정보를 로그 파일에 저장하고 저장된 로그 파일의 정보를 확인한다.