리눅스 로그 개요
Log(로그)
시스템의 모든 기록을 담고 있는 데이터 라고 할 수 있다, 데이터의 성능, 오류, 경고, 및 운영정보 등 중요정보가 모두 기록되며 특별한 형태의 숫자와 기호등으로 이루어져 있다.
로그는 분석하지 않고 활용하기는 매우 어렵다 로그를 분석하여 필요로 하는 유용한 정보를 만들고 데이터분석을 통해 얻을 수 있는 다양한 정보들을 활용해야한다.
[참고] 로그 기록 용도
1) 시스템 공격의 대한 흔적 기록 (외부로 부터의 침입 감지 및 추적)
2) 시스템 취약점 분석
3) 사용자 및 서버의 활동 기록
4) 서버 장애의 대한 흔적 기록
5) 로그 기록을 통한 성능 카운트
리눅스 로그의 위치
| 로그파일 | 타입 | 설명 |
| /var/log/messages | 메일, 뉴스, 인증, 크론 메시지를 제외한 시스템의 전반적인 메시지를 기록하는 로그파일이다. 리눅스에서 가장 많은 메시지를 담고있다. | TEXT, ASCII |
| /var/log/secure | 개인 인증을 기록하는 로그 파일이다 (su, telnet, ssh) | TEXT, ASCII |
| /var/log/dmesg | 시스템 부팅시 메시지를 기록하는 로그파일, dmesg CMD가 해당 파일을 참조한다 | TEXT, ASCII |
| /var/log/lastlog | 사용자의 가장 마지막 로그인한 시간을 기록하는 로그 파일 | DATA |
| /var/log/cron | crontab, at 명령어를 통해 실행한 작업들을 기록하는 로그 파일 | TEXT, ASCII |
| /var/log/xferlog | FTP 서버에서 업로드와 다운로드를 기록하는 로그 파일이다 | TEXT, ASCII |
| /var/log/wtmp | 사용자의 로그인/로그아웃 시간을 기록하는 로그 파일이다 | TEXT, ASCII |
| /var/log/utmp | 현재 로그인한 사용자 정보를 기록하는 로그 파일이다 | DATA |
| /var/log/btmp | 사용자의 로그인 실패 기록을 남긴다 | DATA |
syslog 체계
리눅스 시스템에서 로그의 대한 모든 관리를 총괄하는 체계이다, 기존에 존재하는 로그 파일을 쓰지 않고 새로운 로그파일을 생성하거나 로그 레벨을 변경하여 메시지의 양을 조절하기 위해서 syslog 체계의 대한 이해가 필요하다.
CentOS 5.x 이하) /etc/syslog.conf
CentOS 6.x 이상) /etc/rsyslog.conf
1. /etc/syslog.conf
/etc/syslog.conf 파일의 형식은 Selector 필드와 Action 필드로 구분된다. Selector 필드는 다시 Facility와 Level로 구분된다. Facility는 메세지의 종류를 나타내고 Level은 메세지의 난이도(중요도)가 된다. Action 필드는 로그가 기록되는 곳을 지정하게 된다.
Log server / day 21
log 기록 용도 1) 사용자 및 서버의 활동 기록 2) 시스템 공격의 대한 흔적 기록 3) 서버 장애의 대한 흔적 기록 4) 로그 기록을 통한 성능 카운트 * 옛날 로그 기록은 거의 필요가 없다, 따라서
jae1590.tistory.com
[참고] 로그 파일 분석 방법
1) 시간에 기반한 분석
2) 로그 난이도(Log level)에 기반한 분석
3) 로그 생성 서버에 기반한 분석
4) 로그 생성 사용자(로그 주체)에 기반한 분석
5) 로그 키워드에 기반한 분석
[실습] 로그 분석을 통한 오류 사용자 추적
'모의해킹 침해대응 과정 > 본 과정' 카테고리의 다른 글
| 서버보안 / Graylog 구축 및 설정 (1) | 2021.07.14 |
|---|---|
| 서버보안 / PAM (Pluggable Authentication Modules) (0) | 2021.07.06 |
| 서버보안 / 개요 (0) | 2021.07.06 |
| 암호학 / 해시(Hash)함수 (0) | 2021.06.30 |
| 암호학 / 공개키(비 대칭키)암호 (0) | 2021.06.25 |
