Transcript 시스템 로그 분석
시스템 로그 분석
리눅스/유닉스 로그 분석
• 주요 시스템의 로그 디렉토리 위치
– /var/log
• 간단한 로그만 존재
– /var/adm
• Utmp
– 기본적 로깅을 제공하는 데몬
– /usr/include/utmp.h에 구조가 정의되어 있음.
– 저장된 로그를 출력하는 명령어들은 w,who, users, whodo,
finger등이 있음.
• Wtmp
– /usr/include/utmp 파일 구조체를 이용
– 사용자들의 로그인, 로그아웃, 시스템의 재부팅의 정보를 가짐
– Last로 확인 가능.
리눅스/유닉스 로그 분석
• 주요 시스템의 로그 디렉토리 위치
– Su 로그
•
•
•
•
/var/adm/sulog 파일에 텍스트 형식으로 남음.
권한은 600으로 관리자만 읽고 쓸 수 있음.
cat /var/adm/sulog
설정
– /etc/default/su
– Pacct
• 시스템에 로그인한 모든 사용자가 수행한 프로그램에 대한 정보를
저장.
• 보통 동작하지 않으므로 /usr/lib/acct/accton /var/adm/pacct로
실행시켜줘야 함.
• 로그 내용확인 명령어: acctcom
• Acctcom –u root –n vi
• 실행 날짜는 lastcomm으로 출력이 가능.
• 종료는 /usr/lib/acct/accton으로 종료
리눅스/유닉스 로그 분석
• 주요 시스템의 로그 디렉토리 위치
– History
• 계정에서 실행했던 명령에 대한 기록을 가짐.
• Cat .bash_history
– Lastlog
• /var/adm/lastlog로 저장
• Last명령어를 통해서 해당 사항을 출력
• Wtmp를 택스트 형태로 저장한 것으로 보면 무방.
– Syslog
• 시스템 로그에 대한 대부분의 정보를 수집
• /etc/syslog.conf에 지정된 사항에 대해 로깅 실시
• /var/log/syslog에 저장.
리눅스/유닉스 로그 분석
• 주요 시스템의 로그 디렉토리 위치
– Loginlog
•
•
•
•
•
•
실패한 로그인 시도에 대한 로깅 수행
기본적으로 제공하지는 않음.
touch /var/adm/loginlog
Chmod 600 /var/adm/loginlog
Chgrp sys /var/adm/loginlog
Vi /etc/default/login 에 저장.
– FTP 파일 전송 로그(xferlog)
•
•
•
•
Inetd.conf 파일에서 실행 옵션으로 –l을 해줘야 함.
Vi /etc/inetd.conf
Vi /etc/ftpd_ftpaccess
Cat /var/log/xferlog
리눅스/유닉스 로그 분석
• 주요 시스템의 로그 디렉토리 위치
– HTTPD Log
• /usr/local/apache/logs 아래의
Access_log,Error_log 등에 남음.
• 웹서버는 기본적으로 동작하지는 않음.
로그 삭제
• Utmp, wtmp, lastlog의 삭제
– 에디터로 삭제가 불가능.
– 파일을 읽어들여 다른 값으로 덮어 씌움.