[파이썬] 파이썬을 활용한 리눅스 서버 이벤트 분석 스크립트

04 Sep 2023

python

리눅스 서버는 많은 이벤트를 기록하고 관리할 수 있습니다. 이러한 이벤트는 시스템 상태, 네트워크 연결, 사용자 활동 등을 추적하는 데 도움이 됩니다. 파이썬을 사용하여 이러한 이벤트를 분석하고 관리하는 스크립트를 만들 수 있습니다.

필요한 패키지 설치

이 스크립트를 작성하기 위해 몇 가지 파이썬 패키지를 설치해야 합니다. paramiko와 pandas 패키지는 이 스크립트에서 사용됩니다. 다음의 명령어를 사용하여 패키지를 설치합니다:

pip install paramiko pandas

SSH를 통한 서버 접속

이벤트를 분석하기 위해서 리눅스 서버에 SSH를 통해 접속해야 합니다. paramiko 패키지를 사용하여 파이썬에서 SSH 연결을 만들 수 있습니다. 다음은 SSH 연결을 설정하는 코드 예시입니다:

import paramiko

# SSH 연결 설정
ssh = paramiko.SSHClient()
ssh.load_system_host_keys()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh.connect('서버주소', username='사용자이름', password='비밀번호')

# SSH 연결 테스트
stdin, stdout, stderr = ssh.exec_command('ls')
for line in stdout:
    print(line.strip())

위의 예시에서는 paramiko 모듈을 사용하여 SSH 연결 객체를 만들고, connect 메서드를 사용하여 서버에 접속합니다. 접속에 필요한 서버주소, 사용자이름 및 비밀번호를 제공해야 합니다. 위의 코드는 SSH 접속 후에 서버에서 ls 명령어를 실행하고 결과를 출력합니다.

서버 이벤트 로그 수집

리눅스 시스템은 다양한 이벤트를 로그 파일에 기록합니다. 이 로그 파일은 /var/log 디렉토리에 위치하며, 다양한 로그 관련 파일들이 있습니다. 이 스크립트에서는 /var/log/auth.log 파일을 예시로 사용하겠습니다.

import paramiko

# SSH 연결 설정
ssh = paramiko.SSHClient()
ssh.load_system_host_keys()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh.connect('서버주소', username='사용자이름', password='비밀번호')

# 로그 파일 다운로드
sftp = ssh.open_sftp()
sftp.get('/var/log/auth.log', 'auth.log')

# 로그 파일 분석
with open('auth.log', 'r') as file:
    for line in file:
        # 이벤트 분석 작성 코드

위의 예시에서는 sftp를 사용하여 서버에서 로그 파일을 다운로드합니다. open 함수를 사용하여 파일을 읽고, 파일의 각 줄을 반복하여 이벤트 분석 코드를 작성하면 됩니다.

이벤트 분석

이제 이벤트 로그 파일을 파이썬에서 분석할 수 있습니다. 로그 파일에는 다양한 이벤트가 기록되어 있으므로, 여기에서는 간단한 예시를 보여줍니다. 예를 들어, 로그에서 성공한 로그인 이벤트를 추출하는 코드는 다음과 같습니다:

import re

with open('auth.log', 'r') as file:
    for line in file:
        if 'Accepted' in line:
            username = re.search('user (\w+)', line).group(1)
            print(f'Successful login by {username}')

위의 예시는 re 모듈을 사용하여 로그 파일에서 ‘Accepted’를 포함한 줄을 찾습니다. 그리고 정규 표현식을 사용하여 해당 줄에서 사용자 이름을 추출합니다. 추출한 사용자 이름은 성공한 로그인 이벤트를 의미하므로, 해당 정보를 출력합니다.

이렇게 분석된 이벤트 정보를 활용하여 리눅스 서버의 상태를 파악하고, 문제가 있는 이벤트를 식별할 수 있습니다.

결론

파이썬을 사용하여 리눅스 서버의 이벤트를 분석하는 스크립트를 만들 수 있습니다. paramiko를 사용하여 SSH 연결을 설정하고, 원하는 로그 파일을 다운로드한 후 분석을 수행할 수 있습니다. 만약 더 복잡한 분석이 필요하다면, 정규 표현식 등의 문자열 처리 기능을 활용할 수 있습니다.

이를 통해 리눅스 서버의 이벤트를 효율적으로 분석하여 시스템의 상태를 파악하고 보안 위협을 식별할 수 있습니다. 파이썬을 사용하면 이벤트 분석 작업을 자동화하고, 로그 파일의 수작업 분석에 소요되는 시간과 노력을 절약할 수 있습니다.