Transcript 한글이 - (HPC) Lab. @POSTECH

Linux/Unix Log(1/3)
 UTMP
 utmp는 현재 접속 중인 사용자에 대한 정보를 보여주는 로그로써 해당
사용자가 로그아웃하게 되면 사라지게 된다.
 WTMP
 wtmp는 로그인시 utmp파일에 쓰이는것과 같은 정보가 쓰여지고, 사용
자가 로그아웃을 하면 그 정보도 쓰여지게 된다(updwtmp). 또한 컴퓨
터의 리부팅 정보와, 몇몇 정보들이 추가로 쓰여진다.
 SECURE
 syslogd에 의해서 남겨지는 보안 관련 주요 로그 파일로 텍스트 형태로
저장된다.
WTMP/UTMP Format
struct exit_status {
short int e_termination;
short int e_exit;
};
struct timeval {
long tv_sec;
long tv_usec;
};
struct utmp {
short ut_type;
pid_t ut_pid;
char ut_line[UT_LINESIZE];
char ut_id[4];
char ut_user[UT_NAMESIZE];
char ut_host[UT_HOSTSIZE];
struct exit_status ut_exit;
long ut_session;
struct timeval ut_tv;
int32_t ut_addr_v6[4];
char pad[20];
};
Linux/Unix Log(2/3)
[root@lysman log]# last -n 2
lysman
pts/0
lysman2.postech. Wed Jul 14 17:01
lysman
pts/0
lysman2.postech. Wed Jul 14 09:18 - 14:22 (05:04)
wtmp begins Thu Jul 1 22:54:59 2004
WTMP 로그 예제
still logged in
Secure Format
로깅될 때부터 string으로 저장된다.
기본적으로 크게 다섯가지의 영역으
로 분류할 수 있다.
Timeval
– Log 생성시간
Hostname
Deamon
- Log가 발생한 데몬
Process ID
Description
Linux/Unix Log(3/3)
[root@lysman log]# more secure
Jul 13 20:40:52 lysman sshd[29077]: Accepted password for lysman from
141.223.14.154 port 1620 ssh2
Jul 14 09:18:10 lysman sshd[30782]: Accepted password for lysman from
141.223.14.154 port 3891 ssh2
Jul 14 17:01:57 lysman sshd[31502]: Accepted password for lysman from
141.223.14.154 port 1725 ssh2
SECURE 로그 예제
Event Log(1/2)
 Security Log ( SECEVENT.EVT )
 System security와 auditing process들로부터 생성된 이벤트를 저장한
다.
 System Log ( SYSEVENT.EVT )
 System process들과 kernel 모드로 동작하는 디바이스 드라이버들로부
터 발생된 이벤트를 저장한다.
 Application Log ( APPEVENT.EVT )
 User 모드로 동작하는 application들과 MS-DOS 콘솔 프로그램들로부
터 발생된 이벤트를 저장한다.
Event Log Format
Event Log(2/2)
struct _EVENTLOGRECORD {
DWORD Length;
DWORD Reserved;
DWORD RecordNumber;
DWORD TimeGenerated;
DWORD TimeWritten;
DWORD EventID;
WORD EventType;
WORD NumStrings;
WORD EventCategory;
WORD ReservedFlags;
DWORD ClosingRecordNumber;
DWORD StringOffset;
DWORD UserSidLength;
DWORD UserSidOffset;
DWORD DataLength;
DWORD DataOffset;
} EVENTLOGRECORD,
*PEVENTLOGRECORD;
Event Log 예제(Windows XP Event Viewer)
System Infomation
 CPU
 user / system / nice / idle 한 각각의 상태를 비율로 표현하여, 비정상
적인 점유율을 보이는 부분이 있을 경우 경고 메세지를 전송한다.
 Memory
 Total / Free / Cache / Buffer / Share 메모리의 상태를 주기적으로 관
찰하여 비정상적으로 보이는 부분이 있을 경우 경고 메세지를 전송한다.
 Network
 일정 시간 동안 들어오고 나간 패킷들에 대한 양을 토대로 비정상적인
상태를 감지해내어 경고 메세지를 전송한다.
로그의 양
 Event Log와 Syslog의 양은 비교적 적은 편이다.
 특정 동작이나 조건 하에서만 생성되기 때문이다.
 System Information의 경우 10초당 한번씩 모니터링을 하게 될 경우,
로그 하나의 크기는 약 200byte 정도 / 100대의 머신이 있다고 가정
 200bytes * 100 computers = 20KB의 Log가 약 11초당 발생하게 된다.
 시간당 7.2MB 이하의 로그 파일이 생성된다.