/etc/rsyslog.conf
: 선택자 필드(메시지, 우선순위)와 액션필드로 구분됨
예시 ) 로그파일이 무조건 txt파일이 아니여서 다른 명령어로 확인하는 경우가 생김
/var/log/wtmp
: 계정의 로그인 및 로그아웃 정보를 저장
- 로그인, 로그아웃, shutdown, booting 정보 등
- 바이너리(실행) 파일
- 확인 : last명령으로 확인
예시 )
/var/log/lastlog
: 계정의 최근 로그인 정보를 저장
- 계정 이름, 터미널, 마지막 로그인 시간
- 바이너리(실행) 파일
- 확인 : lastlog 명령으로 확인
예시 )
/var/run/utmp
: 현재 로그인한 계정의 상태 정보를 저장
- 로그인 계정 이름, 터미널, 원격 로그인 주소, 로그인 시간 등
- 바이너리(실행) 파일
- 확인 : w, who, finger 등의 명령으로 확인
예시 )
/var/log/secure
: telnet, ssh, ftp 등의 원격 로그인의 인증 정보 저장
- 텍스트 파일
- 확인 : vim, tail/head, cat 등으로 확인
예시 )
/var/log/btmp
: 실패한 로그인 시도를 저장
- 바이너리(실행) 파일
- 확인 : lastb 명령으로 확인
예시 )
/var/log/messages
: 시스템 동작에 대한 전반적인 모든 이벤트가 저장됨
- 로그인, 장치 동작, 시스템 설정 오류, 파일 시스템, 네트워크 연결 정보 등이 저장됨
- 텍스트 파일
- 확인 : 필터링을 하거나 실시간 로그 확인 방법을 많이 사용함
# cat /var/log/messages | grep [패턴]
# tail -f var/log/messages
예시 )
/var/log/boot.log
: 부트 동작에서 서비스 데몬들의 실행 상태 정보 저장
/var/log/sulog
: su 명령의 사용 내역이 저장
- 공격자가 일반 계정으로 접근한 후 su명령으로 관리자의 권한을 악용할 수 있으므로 불법적인 su 명령 사용을 주기적으로 점검해야함
- 환경 설정을 미리해야지 로그가 저장됨
- 텍스트 파일
- 확인 : "su:session"으로 필터링해서 확인
★ sulog 환경 설정
/etc/login.defs : SULOG_FILE /var/log/sulog
/etc/rsyslog.conf : autjpriv.info /var/log/sulog
/etc/logfotate.d/syslog : /var/log/sulog
1)
2)
3)
4) 확인해보기
/var/log/cron
: crond 서비스 동작에서 예약 작업의 동작 상태 정보 확인
- 텍스트 파일
- 확인 : vim, tail/head, cat 등으로 확인
⌗ 기타 로그 파일
/var/log/xorg.0.log
: xwindow에 대한 정보 저장
/var/log/dmesg
: 부팅 동작에서 발생한 에러정보 저장
/var/log/anaconda.log
: 소프트웨어 설치 내용 저장
/var/log/anaconda.xlog
: xwindow에서 설치한 소프트웨어 내용 저장
/var/log/anaconda.syslog
: Systme 관리용 소프트웨어 설치 내용 저장
/var/log/maillog
: 메일 서버의 동작 상태 저장
/var/log/rpmpkgs
: 설치된 패키지들의 목록 저장
Tip. 원격접속했을때, 로그정보를 남겨라
'Server > Linux' 카테고리의 다른 글
| [Linux] SHELL(쉘) (0) | 2020.04.06 |
|---|---|
| [Linux] 작업 스케줄링 (0) | 2020.04.06 |
| [Linux] 디스크 할당량 (0) | 2020.04.05 |
| [Linux] 소프트웨어 관리 명령어 (0) | 2020.04.05 |
| [Linux] 중간 실습 (0) | 2020.04.05 |
| [Linux] 부트로더(boot loader) (0) | 2020.04.05 |
