📉System Logs

---

학습 목표

이 단원을 마치면 다음을 수행할 수 있어야 합니다.

1. pfSense System Logs 화면에 접근하고 탭 구조를 파악할 수 있다.
2. 각 로그 탭이 어떤 서비스/이벤트를 기록하는지 구분할 수 있다.
3. Firewall 로그의 3가지 뷰 타입(Normal / Dynamic / Summary)을 상황에 맞게 활용할 수 있다.
4. Firewall Summary 차트에서 얻을 수 있는 통계 정보를 해석할 수 있다.
5. 로그에서 직접 방화벽 차단 규칙을 생성하는 방법을 이해한다.

---

1. System Logs란?

pfSense는 방화벽·라우터로서 처리하는 모든 이벤트를 로그로 기록합니다. 네트워크 관리자라면 이 로그를 이해하고 정기적으로 확인하는 것이 필수입니다.

활용 목적:
  - 보안 이벤트 탐지 (공격 시도, 비정상 접속)
  - 서비스 장애 원인 파악
  - 트래픽 패턴 분석
  - 방화벽 규칙 동작 여부 검증
  - 규정 준수 및 감사 증적 확보

접근 경로

Status → System Logs

---

2. 로그 탭 전체 구조

System Logs 화면에는 서비스별로 분리된 여러 탭이 있습니다. 각 탭은 특정 서비스나 영역의 이벤트만 별도로 모아서 보여줍니다.

┌──────────────────────────────────────────────────────────┐
│ System Logs                                              │
├────────┬──────┬────────┬───────┬──────┬─────────────────┤
│General │ DHCP │Firewall│ IPsec │ VPN  │ 기타 탭들...     │
└────────┴──────┴────────┴───────┴──────┴─────────────────┘

---

3. 로그 탭 종류별 상세

3-1. General (일반 시스템 로그)

가장 범용적인 로그 탭으로, pfSense 시스템 전반의 이벤트를 기록합니다. 기반 OS인 FreeBSD 수준의 시스템 이벤트도 포함됩니다.

기록 필드:

필드	내용
Date / Time	이벤트 발생 일시
Process	이벤트를 발생시킨 프로세스 이름 (예: syslog, php, kernel)
PID	프로세스 ID
Message	이벤트 상세 내용

기록 이벤트 예시:

• pfSense 웹 GUI 로그인/로그아웃
• 설정 변경(Config 저장)
• 시스템 재시작·셧다운
• 이메일 알림 전송 이벤트
• 인터페이스 UP/DOWN 이벤트

---

3-2. DHCP 로그

pfSense DHCP 서버가 IP를 할당·갱신·반환하는 과정을 기록합니다.

기록 이벤트 예시:

DHCPDISCOVER  →  클라이언트가 IP 요청 브로드캐스트
DHCPOFFER     →  pfSense가 IP 제안
DHCPREQUEST   →  클라이언트가 제안된 IP 수락
DHCPACK       →  pfSense가 IP 최종 확인·할당
DHCPRELEASE   →  클라이언트가 IP 반환
DHCPEXPIRED   →  임대 기간 만료

로그에서 확인 가능한 정보:

• 어떤 MAC 주소가 어떤 IP를 받았는지
• 임대 시작/갱신/만료 시각
• DHCP 요청을 보낸 장치의 호스트 이름

💡 이전 강의에서 설명한 DHCP Leases 화면은 현재 상태를 보여주지만, DHCP 로그는 시간별 이력을 확인할 때 유용합니다.

---

3-3. Firewall 로그 ⭐ (가장 중요)

방화벽이 허용하거나 차단한 트래픽의 기록입니다. 보안 관리에서 가장 중요하게 다뤄지는 탭이며, pfSense에서 유일하게 3가지 뷰 타입을 제공합니다.

자세한 내용은 다른 강의에서 자세하게 다룰 예정입니다!

---

3-4. IPsec 로그

IPsec VPN 터널의 협상·연결·단절 이벤트를 기록합니다.

활용 상황:

• IPsec 터널이 올라오지 않을 때 원인 파악
• Phase 1 / Phase 2 협상 성공·실패 여부 확인
• VPN 단절이 반복될 때 패턴 분석

---

3-5. OpenVPN 로그

OpenVPN 서버·클라이언트의 연결 이벤트를 기록합니다.

활용 상황:

• VPN 사용자의 접속/해제 이력 확인
• 인증 실패(잘못된 인증서, 비밀번호 오류) 탐지
• 접속 IP 및 시각 감사

---

3-6. Load Balancer 로그

로드밸런서 풀(Pool)의 멤버 UP/DOWN 상태 변화를 기록합니다.

활용 상황:

• 특정 서버가 풀에서 빠진 시각 확인
• 헬스체크 실패 원인 분석

---

3-7. NTP 로그

pfSense가 외부 NTP 서버와 시간을 동기화하는 과정을 기록합니다.

활용 상황:

• 시간 동기화 실패 여부 확인
• 시간 오차(offset)가 클 때 원인 파악

⚠️ 로그의 타임스탬프가 부정확하면 보안 감사 전체가 신뢰를 잃으므로, NTP 동작 여부는 주기적으로 확인하는 것이 좋습니다.

---

3-8. Captive Portal 로그

공용 Wi-Fi 인증 포털을 통한 사용자 로그인·로그아웃을 기록합니다.

활용 상황:

• 게스트 사용자 접속 이력 확인
• 인증 실패 반복 시 비정상 접근 탐지

---

3-9. DNS 로그

pfSense의 DNS Resolver/Forwarder 서비스 이벤트를 기록합니다.

활용 상황:

• DNS 조회 실패 원인 파악
• 특정 도메인 조회 패턴 분석

---

3-10. Wireless 로그

pfSense에 무선랜 카드가 장착된 경우, 무선 인터페이스 연결 이벤트를 기록합니다.

---

3-11. Routing 로그

라우팅 테이블 변경, 게이트웨이 UP/DOWN 이벤트를 기록합니다.

활용 상황:

• 멀티 WAN 환경에서 게이트웨이 장애 발생 시각 확인
• 동적 라우팅(OSPF/BGP) 경로 변경 이력 추적

---

탭별 요약 비교표

탭	주요 기록 내용	주요 활용 상황
General	시스템 전반 이벤트, FreeBSD 이벤트, GUI 로그인	시스템 이상·설정 변경 이력 확인
DHCP	IP 할당·갱신·반환 이벤트	특정 장치의 IP 할당 이력 추적
Firewall	트래픽 허용/차단 기록	보안 이벤트 탐지, 규칙 동작 검증
IPsec	IPsec VPN 터널 협상·연결	VPN 장애 원인 분석
OpenVPN	OpenVPN 사용자 접속·인증	VPN 사용자 감사, 인증 실패 탐지
Load Balancer	서버 풀 UP/DOWN 이벤트	로드밸런서 장애 분석
NTP	시간 동기화 이벤트	시간 오차 문제 진단
Captive Portal	게스트 인증 로그인/아웃	게스트 접속 이력 감사
DNS	DNS 조회 이벤트	DNS 오동작 진단
Wireless	무선 연결 이벤트	무선 인터페이스 장애 분석
Routing	라우팅 변경·게이트웨이 상태	WAN 장애 시각 확인, 경로 변경 추적

---

4. Firewall 로그 — 3가지 뷰 타입 상세

Firewall 탭은 다른 탭과 달리 3가지 뷰(보기 방식) 를 제공합니다.

4-1. Normal View (표준 뷰) — 기본값

방화벽 이벤트를 테이블 형태의 목록으로 표시합니다. 페이지를 수동으로 새로고침해야 최신 로그가 반영됩니다.

표시 필드:

필드	내용
Time	이벤트 발생 시각
Interface	트래픽이 통과한 인터페이스 (WAN, LAN 등)
Action	허용(Pass) 또는 차단(Block)
Protocol	TCP, UDP, ICMP 등
Source IP : Port	출발지 IP와 포트
Destination IP : Port	목적지 IP와 포트

로그에서 차단 규칙 즉석 생성:

Normal View → 의심스러운 로그 행 클릭 or 아이콘 선택
→ 해당 Source IP 또는 Destination IP에 대한 차단 규칙 즉시 생성
→ Firewall → Rules에 자동 추가됨

💡 공격 IP를 발견했을 때 Rules 메뉴로 이동하지 않고 로그 화면에서 바로 차단 가능합니다.

---

4-2. Dynamic View (동적 뷰)

로그가 실시간으로 자동 갱신됩니다. 페이지 새로고침 없이 최신 이벤트가 계속 추가됩니다.

활용 상황:
  - 특정 규칙 적용 후 트래픽이 실제로 차단/허용되는지 즉시 확인
  - 실시간 공격 시도 모니터링
  - 네트워크 문제 발생 시 라이브 트래픽 추적

Normal View와 표시 필드는 동일하지만, 자동 스크롤·자동 갱신이 활성화되어 있습니다.

---

4-3. Summary View (요약/차트 뷰) ⭐

방화벽 로그 데이터를 그래프와 차트로 시각화합니다. 개별 이벤트가 아닌 패턴과 통계를 파악하는 데 최적화되어 있습니다.

제공 차트 목록:

차트	표시 내용	활용
Actions	허용(Pass) vs 차단(Block) 비율	전체 트래픽 중 차단 비율 파악
Interfaces	인터페이스별 트래픽 발생 비율	WAN/LAN/DMZ 중 어디에 트래픽이 집중되는지 파악
Protocols	TCP, UDP, ICMP 등 프로토콜 사용 비율	비정상 프로토콜 과다 사용 탐지
Source IPs	가장 많이 등장한 출발지 IP 순위	반복 공격 IP, 내부 이상 호스트 탐지
Destination IPs	가장 많이 접속된 목적지 IP 순위	내부에서 자주 접속하는 외부 서버 파악
Source Ports	가장 많이 사용된 출발지 포트 순위	비정상 포트 사용 패턴 탐지
Destination Ports	가장 많이 접속된 목적지 포트 순위	어떤 서비스가 가장 많이 요청받는지 파악

Summary View 활용 시나리오:

시나리오: 외부에서 반복 스캔 공격 의심
→ Summary → Source IPs 차트 확인
→ 특정 외부 IP가 비정상적으로 높은 빈도로 등장
→ Normal View에서 해당 IP 클릭 → 차단 규칙 즉석 생성

시나리오: 내부에서 특정 포트로 대량 트래픽 발생
→ Summary → Destination Ports 차트 확인
→ 비정상적으로 높은 특정 포트 발견
→ 해당 포트를 사용하는 애플리케이션/장치 조사

---

Firewall 뷰 타입 비교

뷰 타입	갱신 방식	주요 용도	차단 규칙 생성
Normal	수동 새로고침	이벤트 상세 조회, 규칙 검토	✅ 가능
Dynamic	자동 실시간 갱신	라이브 모니터링, 규칙 즉시 검증	✅ 가능
Summary	집계 기반 차트	패턴·통계 분석, 이상 징후 탐지	❌ (차트 전용)

---

5. 로그 읽는 방법 — 실전 예시

방화벽 차단 로그 예시

Time        Interface  Action  Proto  Source              Destination
──────────────────────────────────────────────────────────────────────────
14:32:01    WAN        Block   TCP    203.0.113.45:54231  192.168.1.1:22
14:32:03    WAN        Block   TCP    203.0.113.45:54232  192.168.1.1:22
14:32:05    WAN        Block   TCP    203.0.113.45:54233  192.168.1.1:22

해석: 외부 IP 203.0.113.45가 pfSense 관리 IP(192.168.1.1)의 SSH 포트(22)로 반복 접속을 시도하고 있습니다. 방화벽이 차단 중이지만, 이 IP를 명시적으로 차단하는 규칙을 추가하는 것이 좋습니다.

DHCP 로그 예시

Time        Process   Message
───────────────────────────────────────────────────────────────────────────────
09:15:22    dhcpd     DHCPACK on 192.168.1.105 to aa:bb:cc:dd:ee:ff (LAPTOP-01)
09:45:10    dhcpd     DHCPEXPIRED 192.168.1.110 (192.168.1.110) aa:11:22:33:44:55

해석: 09:15에 LAPTOP-01(aa:bb:cc:dd:ee:ff)에 192.168.1.105 할당 완료. 09:45에 192.168.1.110의 임대 기간 만료.

---

6. 실무 활용 시나리오

시나리오 1. 방화벽 규칙이 제대로 동작하는지 검증

상황: 새 방화벽 규칙 추가 후 실제로 작동하는지 확인 필요

방법:
  1. Status → System Logs → Firewall → Dynamic View 열기
  2. 해당 트래픽 발생시킴 (차단되어야 할 접속 시도)
  3. 동적 뷰에서 "Block" 액션으로 해당 규칙 ID와 함께 로그 등장 여부 확인

시나리오 2. 특정 장치의 비정상 행동 추적

상황: 내부 PC 한 대가 비정상적인 외부 통신을 한다는 의심

방법:
  1. Firewall → Normal View
  2. Source IP 필터로 해당 PC의 IP 검색
  3. 연결하는 외부 IP·포트 목록 확인 → C&C 서버 등 악성 주소 여부 분석

시나리오 3. VPN 연결 장애 원인 파악

상황: 재택근무자가 OpenVPN 연결 불가 신고

방법:
  1. Status → System Logs → OpenVPN 탭
  2. 해당 사용자 인증서/계정으로 실패 로그 검색
  3. "TLS handshake failed" / "AUTH_FAILED" 등 오류 메시지 확인 → 원인에 따른 조치

시나리오 4. 정기 보안 감사

주기적 점검 항목:
  □ General 탭: 비정상 시간에 GUI 로그인 시도 여부
  □ Firewall → Summary → Source IPs: 반복 등장하는 외부 공격 IP
  □ Firewall → Summary → Destination Ports: 비정상 포트 사용 패턴
  □ OpenVPN 탭: 인증 실패 반복 계정 여부
  □ DHCP 탭: 알 수 없는 MAC 주소로 IP 할당된 기록

---

7. 핵심 정리 (Cheat Sheet)

• ✅ System Logs 접근 경로: Status → System Logs
• ✅ 로그는 서비스별 탭으로 분리: General / DHCP / Firewall / IPsec / OpenVPN / NTP / Captive Portal / DNS / Wireless / Routing 등
• ✅ General 탭: 시스템 전반 이벤트, FreeBSD 수준 이벤트, GUI 로그인 기록
• ✅ DHCP 탭: IP 할당·갱신·반환 이력 (57강 Leases 화면은 현재 상태, 로그는 이력)
• ✅ Firewall 탭이 가장 중요 — 유일하게 3가지 뷰 제공
  • Normal: 목록 조회 + 차단 규칙 즉석 생성
  • Dynamic: 실시간 자동 갱신
  • Summary: 통계 차트 (Actions / Interfaces / Protocols / Source IP / Dest IP / Source Port / Dest Port)
• ✅ Firewall 로그에서 의심 IP 클릭 → 차단 규칙 즉석 생성 가능
• ✅ Summary 차트로 공격 패턴·이상 트래픽을 통계적으로 탐지 가능
• ✅ NTP 로그로 시간 동기화 오류 확인 — 로그 타임스탬프 신뢰성 직결

---

8. 스스로 확인하기 (Self-Check Quiz)

각 질문에 직접 답하고, 본문에서 근거를 확인하세요.

1. System Logs 화면의 접근 경로는 무엇인가?
2. DHCP 탭 로그와 이전 강의에서 설명한 DHCP Leases 화면의 차이는 무엇인가?
3. Firewall 로그의 Normal View, Dynamic View, Summary View 각각 언제 사용하는가?
4. Summary View에서 제공하는 차트 7가지를 모두 나열하라.
5. 외부에서 반복적으로 SSH 포트(22)를 스캔하는 IP를 발견했을 때, 로그 화면에서 바로 할 수 있는 조치는?
6. NTP 로그를 확인해야 하는 이유는 보안 관점에서 왜 중요한가?

정답 요약

1. Status → System Logs
2. DHCP Leases는 현재 활성 임대 상태를 보여주고, DHCP 로그는 IP 할당·갱신·반환의 시간순 이벤트 이력을 기록한다.
3. Normal: 이벤트 상세 조회 및 차단 규칙 생성 / Dynamic: 규칙 적용 후 즉시 검증, 실시간 모니터링 / Summary: 통계 패턴 분석, 이상 징후 탐지.
4. Actions(허용/차단 비율), Interfaces(인터페이스별 트래픽), Protocols(프로토콜 비율), Source IPs, Destination IPs, Source Ports, Destination Ports.
5. Normal View 또는 Dynamic View에서 해당 로그 행의 아이콘 클릭 → 해당 IP에 대한 차단 규칙 즉석 생성.
6. 로그의 타임스탬프가 정확해야 보안 감사·침해 분석이 의미를 가진다. NTP 동기화가 실패하면 로그 시각이 틀어져 사고 시점 특정이 불가능해진다.

---

9. 이전·이후 강의와의 연결

강의	내용	연관성
이전 강의 — Dashboard	Firewall Logs 위젯	위젯은 로그 요약 / 본 강의는 전체 로그 화면
이전 강의 — Traffic Monitoring	실시간 대역폭 모니터링	트래픽 이상 → 로그에서 원인 IP·포트 특정
이전 강의 — DHCP Mapping	DHCP 임대 현황	현재 상태 조회 ↔ DHCP 로그는 이력 추적
현재 강의 — System Logs	로그 탭 구조 및 Firewall 로그 3가지 뷰	—
이후 강의 — Firewall Rules	방화벽 규칙 생성·관리	로그에서 이상 탐지 → 규칙으로 조치
이후 강의 — VPN (IPsec/OpenVPN)	VPN 구성	VPN 장애 시 해당 로그 탭에서 원인 분석