시스템 로그 분석
리눅스/유닉스 로그 분석 주요 시스템의 로그 디렉토리 위치 /var/log /var/adm 간단한 로그만 존재 Utmp 기본적 로깅을 제공하는 데몬 /usr/include/utmp.h에 구조가 정의되어 있음. 저장된 로그를 출력하는 명령어들은 w,who, users, whodo, finger등이 있음. Wtmp /usr/include/utmp 파일 구조체를 이용 사용자들의 로그인, 로그아웃, 시스템의 재부팅의 정보를 가짐 Last로 확인 가능.
리눅스/유닉스 로그 분석 주요 시스템의 로그 디렉토리 위치 Su 로그 Pacct /var/adm/sulog 파일에 텍스트 형식으로 남음. 권한은 600으로 관리자만 읽고 쓸 수 있음. cat /var/adm/sulog 설정 /etc/default/su Pacct 시스템에 로그인한 모든 사용자가 수행한 프로그램에 대한 정보를 저장. 보통 동작하지 않으므로 /usr/lib/acct/accton /var/adm/pacct로 실행시켜줘야 함. 로그 내용확인 명령어: acctcom Acctcom –u root –n vi 실행 날짜는 lastcomm으로 출력이 가능. 종료는 /usr/lib/acct/accton으로 종료
리눅스/유닉스 로그 분석 주요 시스템의 로그 디렉토리 위치 History Lastlog Syslog 계정에서 실행했던 명령에 대한 기록을 가짐. Cat .bash_history Lastlog /var/adm/lastlog로 저장 Last명령어를 통해서 해당 사항을 출력 Wtmp를 택스트 형태로 저장한 것으로 보면 무방. Syslog 시스템 로그에 대한 대부분의 정보를 수집 /etc/syslog.conf에 지정된 사항에 대해 로깅 실시 /var/log/syslog에 저장.
리눅스/유닉스 로그 분석 주요 시스템의 로그 디렉토리 위치 Loginlog FTP 파일 전송 로그(xferlog) 실패한 로그인 시도에 대한 로깅 수행 기본적으로 제공하지는 않음. touch /var/adm/loginlog Chmod 600 /var/adm/loginlog Chgrp sys /var/adm/loginlog Vi /etc/default/login 에 저장. FTP 파일 전송 로그(xferlog) Inetd.conf 파일에서 실행 옵션으로 –l을 해줘야 함. Vi /etc/inetd.conf Vi /etc/ftpd_ftpaccess Cat /var/log/xferlog
리눅스/유닉스 로그 분석 주요 시스템의 로그 디렉토리 위치 HTTPD Log /usr/local/apache/logs 아래의 Access_log,Error_log 등에 남음. 웹서버는 기본적으로 동작하지는 않음.
로그 삭제 Utmp, wtmp, lastlog의 삭제 에디터로 삭제가 불가능. 파일을 읽어들여 다른 값으로 덮어 씌움.