by
Oct 28. 2022
timesketch
virtualbox docker ubuntu
plaso의 타임라인을 시각화해서 보여주는 도구인 timesketch를 설치해서 사용해보자
원래는 서버에 설치 후 접속하려고 했으나 500 (Internal Server Error)에러가 발생했다. 버전을 변경해보고 성능을 변화시켰지만 동일했다. 슬랙에서 이유를 확인해본결과 로컬에서 설치를 해야만 정상 접속되는 것으로 보인다.
우선 virtualbox를 다운받고 ubuntu 를 설치한다. 현재 시점의 timesketch는 20.04버전의 Ubuntu 설치를 원한다.
https://releases.ubuntu.com/focal/
에서 Server Install Image를 다운받고 VirtualBox로 해당 이미지를 지정해서 설치한다.
이후 원격접속을 위해 openssh-server를 설치한 다음 원격 접속 툴로 접속한다.
VirtualBox에 포트포워딩을 설정해줘야 한다. 웹서버 접속을 위해 22번 뿐만 아니라 80번 포트도 동시에 열어준다.
Docker 설치
Ubuntu 서버 설치 시 docker를 자동으로 설치하도록 설정하는 단계가 있다. 설치를 안 했다면 아래 가이드를 참고해서 docker를 설치한다.
Ubuntu
https://docs.docker.com/engine/install/ubuntu/
docker-compose 설치
timesketch는 웹서버 뿐만 아니라 여러 컨테이너가 복합적으로 실행되어야한다. 이를 위해 docker-compose를 추가로 설치한다.
https://docs.docker.com/compose/install/other/
가이드를 참고해서 docker-compose를 설치한다. 실행 권한이 없을 수 있으므로 실행권한을 설정한다.
sudo chmod 755 /usr/local/bin/docker-compose
Timesketch 설치
링크를 참고해서 설치한다.
https://github.com/google/timesketch/blob/master/docs/guides/admin/install.md
이후 웹브라우저를 열고 http://localhost 로 접속한다.
나는 moai라는 이름으로 계정을 생성했다. 로그인하고 test라는 이름의 새로운 Investigation을 생성해주었다.
지난 글에서 생성한 plaso 파일을 넣고 분석해보자
https://brunch.co.kr/@moaikim/56
