Transcript 시스템 로그 분석
시스템 로그 분석 리눅스/유닉스 로그 분석 • 주요 시스템의 로그 디렉토리 위치 – /var/log • 간단한 로그만 존재 – /var/adm • Utmp – 기본적 로깅을 제공하는 데몬 – /usr/include/utmp.h에 구조가 정의되어 있음. – 저장된 로그를 출력하는 명령어들은 w,who, users, whodo, finger등이 있음. • Wtmp – /usr/include/utmp 파일 구조체를 이용 – 사용자들의 로그인, 로그아웃, 시스템의 재부팅의 정보를 가짐 – Last로 확인 가능. 리눅스/유닉스 로그 분석 • 주요 시스템의 로그 디렉토리 위치 – Su 로그 • • • • /var/adm/sulog 파일에 텍스트 형식으로 남음. 권한은 600으로 관리자만 읽고 쓸 수 있음. cat /var/adm/sulog 설정 – /etc/default/su – Pacct • 시스템에 로그인한 모든 사용자가 수행한 프로그램에 대한 정보를 저장. • 보통 동작하지 않으므로 /usr/lib/acct/accton /var/adm/pacct로 실행시켜줘야 함. • 로그 내용확인 명령어: acctcom • Acctcom –u root –n vi • 실행 날짜는 lastcomm으로 출력이 가능. • 종료는 /usr/lib/acct/accton으로 종료 리눅스/유닉스 로그 분석 • 주요 시스템의 로그 디렉토리 위치 – History • 계정에서 실행했던 명령에 대한 기록을 가짐. • Cat .bash_history – Lastlog • /var/adm/lastlog로 저장 • Last명령어를 통해서 해당 사항을 출력 • Wtmp를 택스트 형태로 저장한 것으로 보면 무방. – Syslog • 시스템 로그에 대한 대부분의 정보를 수집 • /etc/syslog.conf에 지정된 사항에 대해 로깅 실시 • /var/log/syslog에 저장. 리눅스/유닉스 로그 분석 • 주요 시스템의 로그 디렉토리 위치 – Loginlog • • • • • • 실패한 로그인 시도에 대한 로깅 수행 기본적으로 제공하지는 않음. touch /var/adm/loginlog Chmod 600 /var/adm/loginlog Chgrp sys /var/adm/loginlog Vi /etc/default/login 에 저장. – FTP 파일 전송 로그(xferlog) • • • • Inetd.conf 파일에서 실행 옵션으로 –l을 해줘야 함. Vi /etc/inetd.conf Vi /etc/ftpd_ftpaccess Cat /var/log/xferlog 리눅스/유닉스 로그 분석 • 주요 시스템의 로그 디렉토리 위치 – HTTPD Log • /usr/local/apache/logs 아래의 Access_log,Error_log 등에 남음. • 웹서버는 기본적으로 동작하지는 않음. 로그 삭제 • Utmp, wtmp, lastlog의 삭제 – 에디터로 삭제가 불가능. – 파일을 읽어들여 다른 값으로 덮어 씌움.