[System] log, /var/log/messages, wtmp, btmp, utmp, rsyslog, /etc/rsyslog.conf

공부한 내용 정리하는 공간입니다.

틀린 내용이 있을 수 있습니다.

모든 지적, 첨언 환영합니다.

log

시스템 운영 중에 발생하는 이벤트를 기록한 파일

logging : 로그를 기록하는 행위

리눅스 시스템은 로그를 분산 관리

기본적으로는 /var/log에 존재

텍스트 기반 로그 : 시스템 로그, 인증 로그, 부팅 로그, Apache 웹 서버 로그, SMTP 서버 로그 등

바이너리 로그 : 현재 로그인 정보, 최근 로그인 정보, 로그인 실패 정보 등

    >로그 확인 명령어 존재

 

---

/var/log/messages

시스템에서 발생하는 표준 메세지 기록

발생 시간, 호스트명, 프로세스, 설명 기록

 

---

/var/log/wtmp

로그인 및 시스템 부팅 정보 기록

로그 확인 명령어 : last

사용자, 터미널 종류, 접속 위치, 로그인 시간, 로그인 종료 상태 기록

 

---

/var/log/btmp

실패한 로그인 시도 기록

로그 확인 명령어 : lastb

사용자, 터미널 종류, 접속 위치, 로그인 시도한 시간, 로그인 유지 시간 기록

 

---

/var/log/utmp

현재 시스템에 로그인한 사용자 정보 기록

로그 확인 명령어 : who

 

---

rsyslog

리눅스에서는 rsyslog 데몬이 동작하면서 로그 기록

동작 : /etc/rc.d/init.d/rsyslog 스크립트 이용

설정 : /etc/rsyslog.conf 파일 이용

 

---

/etc/rsyslog.conf

#### RULES #### 밑으로 로그 관리 룰을 입력

fancility.priority    action

facility : 메시지를 발생시키는 프로그램 유형, 로그로 남기고 싶은 것 정의

    >cron(스케줄링), auth(인증), authpriv(원격접속), daemon(특정 프로그램), kern(커널) 등

priority : 위험 정도, 설정한 수준 이상의 위험도 일 때 메세지 발생

    >none<bebug<info<notice<warning<error<crit<alert<emerg

action : 메세지를 보낼 목적지 또는 행동에 관한 설정, 일반적으로 파일명을 기록

    >file(파일로 저장), @계정(계정에 UDP 방식으로 전달), @@계정(계정에 TCP 방식으로 전달), user(특정 사용자 화면으로 전달), *(모든 사용자 화면으로 전달)