리눅스 로그파일

리눅스 로그파일

• 리눅스는 사용자의 접속 기록, 로그인 기록, 명령어 사용 등, 모든 정보를 로그파일에 기록한다.
• 로그파일은 공격자가 임의적으로 시스템에 접근하여 어떤 작업을 수행했는지 알 수 있는 것으로 침해사고 발생 시 누가 무엇을 수행했는지 증명하는 책임 추적성 역할을 수행한다.
• 로그파일은 공격자의 정보 확인에 있어서 매우 중요한 역할을 하지만 로그파일 자체도 공격자에 의해 조작될 수 있다.
  즉, 하나의 로그 파일로 침해사고를 분석하는 것이 아니라 여러 로그파일을 종합적으로 분석해야 한다.

현재 로그인 사용자 정보 (utmp)

현재 로그인 사용자 파일
/var/run/utmp

현재 로그인 사용자 확인(utmp파일을 읽어서 터미널에 출력하는 역할)
#w / #who

리눅스의 로그파일
/var/log

utmp 파일 상태 확인 (파일 명, 파일 크기, 사용되는 블록 정보, inode, 파일권한, 접근시간, 수정시간, 변경시간 등)
#stat /var/run/utmp

 

사용자의 로그인 및 로그아웃 정보 (wtmp)

로그인/로그아웃 정보 로그 파일
/var/log/wtmp

로그인과 로그아웃 정보 확인 (로그인 및 로그아웃 정보, 시스템 관련 정보, 종료 및 부팅 정보, 재부팅 정보, telnet/ftp 로그인 정보)
# last

 

로그인 실패 정보 (btmp)

로그인 실패 정보 로그파일
/var/log/btmp

로그인 실패 정보 확인
#lastb

 

syslog

• syslog는 리눅스 운영체제에 대한 로그를 기록하는 데몬(Demon)프로세스로 syslogd라는 프로그램에 의해서 로그를 기록한다.
• syslogd 프로세스가 실행되면 syslogd의 설정 파일인 /etc/syslogd.conf 파일을 읽어 로그를 기록할 수준을 결정한다.
• syslogd.conf 파일은 syslogd 데몬 프로세스가 어떤 로그를 기록하고 각각의 로그파일은 어느 디렉터리에 기록할 것인지를 정의하는 설정 파일이다.

syslog 데몬 프로세스 기동 확인
/etc/var/log$ ps -ef | grep syslogd

syslogd 프로세스 로그 파일
/var/log/syslog