WMI를 이용한 이벤트로그 모니터링

질문글로 올라와서 팁앤테크에 정리해서 올려봅니다.^^

다음 vbscript 는 해당서버의 윈도우 이벤트로그를 계속 모니터링하고 있다가 이벤트로그 레코드가 새로 등록되면 체크하여 출력하는 스크립트 입니다.

물론 WMI 를 이용하고 있는데요,,  WMI의 InstanceCreationEvent 이벤트를 이용하고 있습니다.

Option Explicit

Dim strComputer : strComputer = "." '로컬서버
Dim objWMI : set objWMI = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")

Dim colEvents : set colEvents = objWMI.ExecNotificationQuery( _
"Select * from __InstanceCreationEvent WHERE " & _
" TargetInstance ISA 'Win32_NTLogEvent'")

Do
 Dim objEvent : set objEvent = colEvents.NextEvent
 WScript.Echo "----------------------------"
 WScript.Echo objEvent.TargetInstance.Logfile & " Event Log"
 WScript.Echo "----------------------------"
 WScript.Echo "Event ID: " & objEvent.TargetInstance.EventIdentifier
 WScript.Echo "Source: " & objEvent.TargetInstance.SourceName
 WScript.Echo "Category: " & objEvent.TargetInstance.CategoryString
 WScript.Echo "Event Type: " & objEvent.TargetInstance.Type

 Dim strText
 for each strText in objEvent.TargetInstance.InsertionStrings
  WScript.Echo "Event Text: " & strText
 next

 WScript.Echo "Computer: " & objEvent.TargetInstance.ComputerName
 WScript.Echo "User: " & objEvent.TargetInstance.User
 WScript.Echo "Time: " & objEvent.TargetInstance.TimeWritten
 WScript.Echo
Loop

서버를 지정하는 부분에서, 현재는 로컬서버 예제입니다.

만약 다른 서버를 체크하고자 한다면 절적한 권한이 있어야 합니다. DCOM 를 활성화하고 접근할수 있는 권한 및 WMI 쿼리권한도 있어야 하는데요. 일반적으로 Administrators 권한이면 되겠죠..

자 그럼 테스트 해볼까요?..  샘플 결과입니다.

E:\>EventLogMonitor.vbs
Microsoft (R) Windows Script Host 버전 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

----------------------------
Security Event Log
----------------------------
Event ID: 592
Source: Security
Category: 세부 추적
Event Type: 감사 성공
Event Text: 2976
Event Text: C:\WINDOWS\system32\mmc.exe
Event Text: 940
Event Text: Administrator
Event Text: SERVERINFO
Event Text: (0x0,0x10DCB)
Computer: SERVERINFO
User: SERVERINFO\Administrator
Time: 20061021150623.000000+540

위 스크립트의 출력형식대로 잘 보여줍니다.

자. 그럼 난 메일로 받아 보고 싶다 라면 vbscript 가 실행된는 서버어 IIS SMTP 가 설치되어 있거나 다른 SMTP 서버를 이용하면 됩니다. cdo를 이용한 메일발송 샘플인데요.  처음 코드중 다음과 같이 하면 되겠죠.

Do
      Dim objEvent : set objEvent = colEvents.NextEvent
      set msg      = WScript.CreateObject("CDO.Message")
      msg.From     = webmaster@serverinfo.pe.kr
      msg.To       = webmaster@serverinfo.pe.kr
      msg.Subject  = objEvent.TargetInstance.Logfile  & "이벤트로그"
      msg.TextBody = " " & _
             "Event ID: " & objEvent.TargetInstance.EventIdentifier & _
             "Source: " & objEvent.TargetInstance.SourceName & _
             "Category: " & objEvent.TargetInstance.CategoryString & _
             "Event Type: " & objEvent.TargetInstance.Type
      msg.Send
      Set msg = Nothing
Loop

처럼 코드를 약간 변경해 주시면 됩니다.

정통부 지침 - 보안서버(SSL) 구축 의무화

여러 뉴스를 통해서 정통부에서 보안서버 구축을 의무화 한다고 합니다.
SSL을 보안서버라고 하나??... 아뭏튼,..

대상은, 개인정보를 취급하는 모든 웹사이트라고 합니다.


보안서버구축 대상 사이트

- 개인정보를 취급하는 모든 웹사이트는 보안서버 구축이 필요합니다.
- 웹사이트에서 회원가입을 통해서 개인정보를 수집하지 않더라도 결제,게시판사용,주문,상담시 개인정보를 입력 받는다면 해당 웹사이트는 보안서버를 구축해야 합니다.

개인정보 전송시 암호화 관련규정

1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 제 28조(개인정보의 보호조치) 정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실,도난,누출,변조 또는 훼손되지 아니하도록 정보통부신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 조치를 하여야 한다.

- 제67조(과태료) 다음 각호의 어느 하나에 해당자는 1천만원 이하의 과태료에 처한다.
8의2. 제 28조의 규정을 위반하여 기술적,관리적 조치를 하지 아니한 자

2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙

- 제3조의2(개인정보의 보호조치) 제 28조의 규정에 의한 개인정보의 안전성 확보에 필요한 기술적,관리적 조치는 다음 각호와 같다.(중간 생략)
  4. 개인정보를 안전하게 저장, 전송할 수 있는 암호화기술 등을 이용한 보안조치(이하생략)

3. 개인정보의 기술적,관리적 보호조치 기준
- 제5조(개인정보의 암호화) 정보통신서비스제공자등은 주민등록 번호, 패스워드 및 이용자가 공개에 동의하지 않은 개인정보를 제3조 4항에 의해 보호되는 정보통신망 외부로 송신하거나,PC에 저장할 때에는 이를 암호화한다.

-----------------------------

이와 관련하여 국내 몇몇 업체들이 로비에 의해서 이런 법률이 제정된 것인지 매우 의심스럽스니다만,, 이런 몇몇 지정된 업체의 인증서(SSL)은 매우 비쌉니다.

솔직히, 단돈 몇만원으로 웹호스팅을 이용하는 웹사이트가 20~30만원 짜리 인증서를 달기는 현실적으로 매우 무리한 요구임에 틀림이 없죠.

저렴한 가격에 보안서버(SSL인증서)을 서비스하는 다음 사이트를 참고해 보시기 바랍니다.
지정된 SSL 업체에서 하지 않아도 공인 SSL을 붙이기만 하면 정통부 지침에 부합합니다.

Microsoft 2006년 10월 정기 보안패치

이번달에는 쪼금 많네요..^^
이거 않좋은 현상인데 말이죠...


2006년 10월 마이크로소프트 보안 공지 발표


2006년 10월 11일 (수)

2006년 10월 마이크로소프트 보안 공지 발표 내용을 요약하여 제공합니다.

================================================
신규 보안 공지
================================================

마이크로소프트는 새로 발견된 취약점에 대하여 다음과 같이 보안 공지를 발표합니다.

- MS06-056 | 보통 | Microsoft Windows .NET Framework 2.0 | 정보 유출
- MS06-057 | 긴급 | Microsoft Windows | 원격 코드 실행
- MS06-058 | 긴급 | Microsoft Office | 원격 코드 실행
- MS06-059 | 긴급 | Microsoft Office | 원격 코드 실행
- MS06-060 | 긴급 | Microsoft Office | 원격 코드 실행
- MS06-061 | 긴급 | Microsoft Windows 및 Office | 원격 코드 실행
- MS06-062 | 긴급 | Microsoft Office | 원격 코드 실행
- MS06-063 | 중요 | Microsoft Windows | 서비스 거부
- MS06-064 | 낮음 | Microsoft Windows | 서비스 거부
- MS06-065 | 보통 | Microsoft Windows | 원격 코드 실행

이번 달에 발표된 공지에 대한 요약은 아래 웹 페이지에 있습니다.
- http://go.microsoft.com/?linkid=5614582

고객께서는 공지 내용을 검토하여, 각자의 환경에 적용할 필요가 있는 업데이트이면 즉시 테스트하고 설치하실 것을 권장합니다.


================================================
Microsoft Windows 악성 소프트웨어 제거 도구
================================================

마이크로소프트는 Microsoft Windows 악성 소프트웨어 제거 도구의 업데이트된 버전을 Windows Server Update Services (WSUS), Windows Update (WU)와 다운로드 센터에서 제공합니다. 이 도구는 Software Update Services (SUS)를 통해서는 배포되지 않음을 주의하여 주십시오. Microsoft Windows 악성 소프트웨어 제거 도구에 대한 정보는 http://go.microsoft.com/?linkid=5614583 에서 보실 수 있습니다.


================================================
보안 문제와 관계없지만 중요도가 높은 업데이트
================================================

마이크로소프트는 다음과 같이 보안 문제와 관계없지만 중요도가 높은 업데이트를 Microsoft Update (MU), Windows Update (WU), Windows Server Update Services (WSUS), Software Update Services (SUS)에서 제공합니다.

- 912580 | Update for Outlook 2003 Junk E-Mail Filter | MU를 통해 배포
- 923097 | Update for Office 2003 | MU를 통해 배포


================================================
보안 공지 웹캐스트
================================================

마이크로소프트는 이번 공지에 대한 고객의 질문을 다루는 웹캐스트를 진행할 예정입니다. 웹캐스트에 대한 상세한 내용은 다음을 참고하십시오.
- TechNet Webcast: Information about Microsoft October Security Bulletins (영어로 진행됩니다)
- 2006년 10월 12일 (목) 오전 3시 (한국 시각)
- http://go.microsoft.com/?linkid=5614584


================================================
보안 공지 세부 사항
================================================

MS06-056

제목: ASP.NET 2.0의 취약점으로 인한 정보 유출 문제점 (922770)

영향을 받는 소프트웨어:
- 다음 운영 체제 버전용 .NET Framework 2.0
   - Microsoft Windows 2000 서비스 팩 4
   - Microsoft Windows XP 서비스 팩 1, 2
   - Microsoft Windows XP Professional x64 Edition
   - Microsoft Windows XP Tablet PC Edition
   - Microsoft Windows XP Media Center Edition
   - Microsoft Windows Server 2003 및 서비스 팩 1
   - Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1
   - Microsoft Windows Server 2003 x64 Edition

영향을 받는 구성 요소:
- Microsoft .NET Framework 2.0

영향을 받지 않는 소프트웨어:
- Microsoft .NET Framework 1.0
- Microsoft .NET Framework 1.1

취약점으로 인한 영향: 정보 유출

최대 심각도: 보통

시스템 재시작: 이 업데이트를 설치한 후 다시 시작하지 않아도 됩니다. 설치 프로그램이 필요한 서비스를 중지하고 업데이트를 적용한 다음 서비스를 다시 시작합니다. 그러나 서비스를 중지할 수 없거나 필수 파일이 사용 중이면 시스템을 다시 시작해야 합니다. 이러한 경우에는 시스템을 재시작해야 한다는 메시지가 표시됩니다. 시스템 재시작이 필요할 가능성을 줄이기 위해서는 보안 업데이트를 설치하기 전에 영향을 받는 모든 서비스를 중지하고 영향을 받는 파일을 사용할 만한 모든 응용프로그램을 닫으십시오. 컴퓨터를 재시작하라는 메시지가 나타나는 이유에 대한 자세한 설명은 마이크로소프트 기술 자료 문서 887012를 참고하십시오.

업데이트 제거: 제어판의 프로그램 추가/제거를 통해 제거 가능

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614585

******************************************************************

MS06-057

제목: Windows 셸의 취약점으로 인한 원격 코드 실행 문제점 (923191)

영향을 받는 소프트웨어:
- Microsoft Windows 2000 서비스 팩 4
- Microsoft Windows XP 서비스 팩 1, 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 및 서비스 팩 1
- Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1
- Microsoft Windows Server 2003 x64 Edition

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 긴급

시스템 재시작: 보안 업데이트 적용 후 시스템 재시작 필요

업데이트 제거: 제어판의 프로그램 추가/제거를 통해 제거 가능

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614586

******************************************************************
MS06-058

제목: Microsoft PowerPoint의 취약점으로 인한 원격 코드 실행 문제점 (924163)

영향을 받는 소프트웨어:
- Microsoft Office 2000 서비스 팩 3
   - Microsoft PowerPoint 2000
- Microsoft Office XP 서비스 팩 3
   - Microsoft PowerPoint 2002
- Microsoft Office 2003 서비스 팩 1, 2
   - Microsoft Office PowerPoint 2003
- Microsoft Office 2004 for Mac
   - PowerPoint 2004 for Mac
- Microsoft Office v. X for Mac
   - PowerPoint v. X for Mac

영향을 받지 않는 소프트웨어:
- Microsoft PowerPoint 2003 Viewer

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 긴급

시스템 재시작: 어떤 업데이트가 설치되었는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

업데이트 제거: 어떤 업데이트가 제거되는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614587

******************************************************************

MS06-059

제목: Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점 (924164)

영향을 받는 소프트웨어:
- Microsoft Office 2000 서비스 팩 3
   - Microsoft Excel 2000
- Microsoft Office XP 서비스 팩 3
   - Microsoft Excel 2002
- Microsoft Office 2003 서비스 팩 1, 2
   - Microsoft Office Excel 2003
   - Microsoft Office Excel 2003 Viewer
- Microsoft Office 2004 for Mac
   - Excel 2004 for Mac
- Microsoft Office v. X for Mac
   - Excel 2004 v. X for Mac
- Microsoft Works Suites:
   - Microsoft Works Suite 2004
   - Microsoft Works Suite 2005
   - Microsoft Works Suite 2006

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 긴급

시스템 재시작: 어떤 업데이트가 설치되었는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

업데이트 제거: 어떤 업데이트가 제거되는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614588

******************************************************************

MS06-060

제목: Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (924554)

영향을 받는 소프트웨어:
- Microsoft Office 2000 서비스 팩 3
   - Microsoft Word 2000
- Microsoft Office XP 서비스 팩 3
   - Microsoft Word 2002
- Microsoft Office 2003 서비스 팩 1, 2
   - Microsoft Office Word 2003
   - Microsoft Office Word 2003 Viewer
- Microsoft Office 2004 for Mac
   - Word 2004 for Mac
- Microsoft Office v. X for Mac
   - Word 2004 v. X for Mac
- Microsoft Works Suites:
   - Microsoft Works Suite 2004
   - Microsoft Works Suite 2005
   - Microsoft Works Suite 2006

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 긴급

시스템 재시작: 어떤 업데이트가 설치되었는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

업데이트 제거: 어떤 업데이트가 제거되는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614589

******************************************************************

MS06-061

제목: Microsoft XML 핵심 서비스의 취약점으로 인한 원격 코드 실행 문제점 (924191)

영향을 받는 소프트웨어:
- 다음 운영 체제에서 실행되는 Microsoft XML 파서 2.6 (모든 버전) 및 Microsoft XML Core Services 3.0 (모든 버전)
   - Microsoft Windows 2000 서비스 팩 4
   - Microsoft Windows XP 서비스 팩 1, 2
   - Microsoft Windows XP Professional x64 Edition
   - Microsoft Windows Server 2003 및 서비스 팩 1
   - Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1
   - Microsoft Windows Server 2003 x64 Edition
- Microsoft XML Core Services 5.0 서비스 팩 1이 적용된 Microsoft Office 2003 서비스 팩 1, 2

영향을 받지 않는 소프트웨어:
- Microsoft XML Core Services 2.5를 실행하는 Windows 2000 서비스 팩 4
- Microsoft XML Core Services 2.5를 실행하는 Microsoft Windows XP 서비스 팩 1
- Microsoft XML Core Services 2.5를 실행하는 Microsoft Windows XP 서비스 팩 2
- Microsoft XML Core Services 2.5를 실행하는 Microsoft Windows Server 2003
- Microsoft XML Core Services 2.5를 실행하는 Microsoft Windows Server 2003 서비스 팩 1

영향을 받는 구성 요소:
- Windows 2000 서비스 팩 4에 설치된 Microsoft XML Core Services 4.0, 6.0
- Microsoft Windows XP 서비스 팩 1, 2에 설치된 Microsoft XML Core Services 4.0, 6.0
- Microsoft Windows Server 2003 및 서비스 팩 1에 설치된 Microsoft XML Core Services 4.0, 6.0

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 긴급

시스템 재시작: 보안 업데이트 적용 후 시스템 재시작 필요

업데이트 제거: 제어판의 프로그램 추가/제거를 통해 제거 가능

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614590

******************************************************************

MS06-062

제목: Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (922581)

영향을 받는 소프트웨어:
- Microsoft Office 2000 서비스 팩 3
   - Microsoft Access 2000
   - Microsoft Excel 2000
   - Microsoft FrontPage 2000
   - Microsoft Outlook 2000
   - Microsoft PowerPoint 2000
   - Microsoft Publisher 2000
   - Microsoft Word 2000
- Microsoft Office XP 서비스 팩 3
   - Microsoft Access 2002
   - Microsoft Excel 2002
   - Microsoft FrontPage 2002
   - Microsoft Outlook 2002
   - Microsoft PowerPoint 2002
   - Microsoft Publisher 2002
   - Microsoft Visio 2002
   - Microsoft Word 2002
- Microsoft Office 2003 서비스 팩 1, 2
   - Microsoft Access 2003
   - Microsoft Excel 2003
   - Microsoft Excel 2003 Viewer
   - Microsoft FrontPage 2003
   - Microsoft InfoPath 2003
   - Microsoft OneNote 2003
   - Microsoft Outlook 2003
   - Microsoft PowerPoint 2003
   - Microsoft Project 2003
   - Microsoft Publisher 2003
   - Microsoft Visio 2003
   - Microsoft Word 2003
   - Microsoft Word 2003 Viewer
- Microsoft Project 2000 서비스 릴리스 1
- Microsoft Project 2002 서비스 팩 2
- Microsoft Visio 2002 서비스 팩 2
- Microsoft Project 2000 Service Release 1
- Microsoft Office 2004 for Mac
- Microsoft Office v. X for Mac

영향을 받지 않는 소프트웨어:
- Microsoft PowerPoint 2003 Viewer
- Microsoft Works Suites
   - Microsoft Works Suite 2004
   - Microsoft Works Suite 2005
   - Microsoft Works Suite 2006

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 긴급

시스템 재시작: 어떤 업데이트가 설치되었는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

업데이트 제거: 어떤 업데이트가 제거되는가에 따라 다름 - 아래 링크에서 제품별 확인 필요

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614591

******************************************************************

MS06-063

제목: 서버 서비스의 취약점으로 인한 서비스 거부 문제점 (923414)

영향을 받는 소프트웨어:
- Microsoft Windows 2000 서비스 팩 4
- Microsoft Windows XP 서비스 팩 1, 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 및 서비스 팩 1
- Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1
- Microsoft Windows Server 2003 x64 Edition

취약점으로 인한 영향: 서비스 거부

최대 심각도: 중요

시스템 재시작: 보안 업데이트 적용 후 시스템 재시작 필요

업데이트 제거: 제어판의 프로그램 추가/제거를 통해 제거 가능

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614592

******************************************************************

MS06-064

제목: TCP-IP IPv6의 취약점으로 인한 서비스 거부 문제점 (922819)

영향을 받는 소프트웨어:
- Microsoft Windows XP 서비스 팩 1, 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 및 서비스 팩 1
- Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1
- Microsoft Windows Server 2003 x64 Edition

영향을 받지 않는 소프트웨어:
- Microsoft Windows 2000 서비스 팩 4

취약점으로 인한 영향: 서비스 거부

최대 심각도: 낮음

시스템 재시작: 보안 업데이트 적용 후 시스템 재시작 필요

업데이트 제거: 제어판의 프로그램 추가/제거를 통해 제거 가능

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614593

******************************************************************

MS06-065

제목: Windows 개체 포장기의 취약점으로 인한 원격 코드 실행 문제점 (924496)

영향을 받는 소프트웨어:
- Microsoft Windows XP 서비스 팩 1, 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 및 서비스 팩 1
- Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1
- Microsoft Windows Server 2003 x64 Edition

영향을 받지 않는 소프트웨어:
- Microsoft Windows 2000 서비스 팩 4

취약점으로 인한 영향: 원격 코드 실행

최대 심각도: 보통

시스템 재시작: 보안 업데이트 적용 후 시스템 재시작 필요

업데이트 제거: 제어판의 프로그램 추가/제거를 통해 제거 가능

이 취약점에 대한 추가 정보: http://go.microsoft.com/?linkid=5614594


================================================
주의 사항
================================================
위에 나열된 소프트웨어는 테스트를 거쳐 해당 버전이 영향을 받는지 확인되었습니다. 그 밖의 다른 버전은 더 이상 보안 업데이트가 지원되지 않거나 영향을 받지 않을 수 있습니다. 사용 중인 제품과 버전에 대한 지원 기간을 확인하려면 Microsoft 지원 기간 정책 웹 사이트( http://go.microsoft.com/?linkid=5614595 )를 참조하십시오.

Microsoft Windows Server 2003, Windows Server 2003 서비스 팩 1 및 Windows Server 2003 x64 Edition용 보안 업데이트는 Windows Server 2003 R2에도 적용됩니다.

이중에,, 네트워크 취약점인 923414 와 922819 는 필히 패치를 하셔야 하는 거죠~