Linux Log File의 종류

Log

• 기본적으로 로그들은 syslogd에 의해 제어되며, syslogd의 설정파일인 /etc/syslog.conf 파일을 수정함으로써 이 파일들의 저장위치와 저장파일명을 변경할 수 있음
  
  
• 보안을 위해 숨김속성(. 으로 시작) 디렉토리를 만들어 찾기 힘든 곳에 보관할 수 있음

---

 

커널 부트 메시지 로그(/var/dmesg)

• 부팅 시의 시스템 로그 기록 (시스템이 부팅할 때 출력되었던 메시지)
• dmesg + grep 조합을 통해 확인 가능 

 

시스템 로그(/var/log/messages)

• 시스템에 문제가 생겼을 때 가장 먼저 찾아보는 로그파일
• syslog.conf에서 로그를 남기지 않기로 지정된 내용을 제외한 모든 항목이 기록됨
• 내용이 많기 때문에 grep과 함께 사용하여 명령을 파악할 수 있음

#시스템로그 (/var/log/messages)
사용자 yon에 대한 su 인증을 일부러 실패한 뒤 messages 로그를 tail로 살펴보면 FAILED SU (to yon) 을 확인할 수 있음

 

ex) PuTTy로 /var/log/messages 로그 파일을 띄워놓고 새로운 원격접속을 시도하면 로그인 기록이 실시간으로 관찰됨

 

 

/var/log/secure

• 사용자 접속 정보가 기록되는 파일로 ssh,텔넷 등의 접속과 관련하여 언제 어디서 어떤 서비스를 사용했는지 기록
• timestamp, 호스트명, 응용프로그램명[PID], 메시지 내용이 기록되어 있다
• 보통 login, tcp_wrappers, xinetd 관련 로그들이 남는다

#보안 로그 (/var/log/secure)
위 시스템 로그에서 확인한 로그인 시도 실패 내역을 보안 로그에서도 동일하게 볼 수 있다.

 

 

메일 로그(/var/log/maillog)

• 메일의 송, 수신 내역이 기록됨

 

 

/var/log/boot.log

• 서비스 데몬들의 부트 관련 정보 기록(각 데몬들의 시작,종료,실패)
• 부팅 뿐만 아니라 종료(shutdown)시의 내용도 기록됨

 

 

/var/log/wtmp

• 전체 사용자의 로그인 및 로그아웃 정보 기록
• 형식: 바이너리 형식
• 특징: 지금까지 사용자들의 로그인, 로그아웃 히스토리를 모두 누적형태로 저장
• 시스템 셧다운, 부팅 히스토리까지 포함
• 커맨드: last
• 파일위치: /var/log/wtmp : find | grep wtmp

#사용 명령어: last

$ last [계정명]			//계정명 입력시 사용자별 로그 정보 출력
$ last -f [파일명]		//지난 파일에 대한 로그 점검시 -f 옵션 뒤에 해당 파일명 입력
$ last -R			//IP를 제외한 로그 정보 출력
$ last -a			//로그 정보를 출력할 때 IP를 뒤로 배치해서 출력
$ last -d			//외부에서 접속한 정보와 reboot 정보만을 출력

 

 

/var/log/utmp

• 시스템에 현재 로그인한 사용자들에 대한 상태 기록
• 형식: 바이너리 형식
• 특징: 현재 시스템에 대한 정보 저장: utmp(x)에는 현재 시스템에 정보, wtmp(x)에는 누적 정보
• utmp(x) 파일은 사용자이름, 터미널 장치 이름, 원격 로그인 시 원격 호스트 이름, 사용자 로그인 시간 등을 기록
• 커맨드: w, who, finger
• 파일위치: /var/run/utmp : find | grep utmp

w	//umpt(x)를 참조하여 현재 시스템에 성공적으로 로그인한 사용자에 대한 스냅샷을 제공해주는 명령
who
users
finger

 

 

/var/log/lastlog

• /etc/passwd 파일에 정의되어 있는 모든 계정의 최근 접속 정보 확인
• 사용자 이름, 터미널, IP주소, 마지막 로그인 시간 출력
• /var/log/lastlog 파일에 저장되며 바이너리 형태

https://blog.naver.com/kdi0373/220522832069

lastlog
lastlog -u / --login	접속이름
lastlog -t / --time		현재시간부터 입력한 날짜까지 접속자 검색

 

5회 이상 실패한 로그인 시도 정보(/var/log/btmp = faillog)

• 5회 이상 실패한 로그인 시도 정보를 로그로 저장
• 바이너리 형식으로 명령어 lastb 로 실행
• 로그의 저장 경로는 /usr/bin/lastb

 

 

크론 로그(/var/log/cron)

• 시스템의 정기적인 작업에 대한 모든 작업한 기록을 보관하고 있는 파일(crond에 의해 생성되는 로그가 기록되는 파일)
• crontab에 저장된 작업들이 정상 수행됐는지 확인해볼 수 있음

 

 

History (해당 계정의 home directory/ .bash_history)

• 접속한 계정에서 사용했던 명령어 내용만 보여줌
• root의 경우 ~/.bash_history에 사용한 명령어 저장
• 저장되는 로그 위치를 변경하려면 export HISTFILE="경로/파일이름" 입력