리눅스 로그

   리눅스 로그
사용자 접속이나 실행 명령 등의 각종 행위를 기록한다.
침해 사고 발생 시 분석 대상인 동시에 해커에게는 변조 및 삭제 대상 1위임.

로그파일 위치 : /var/log

 

   로그인 사용자 확인 - w , who 

utmp 파일 읽어서 로그인한 사용자 정보 확인

 

1. 확인정보

사용자 ID - 사용 터미널 - 로그인 시간 

2. utmp 경로

/var/run/utmp 

 

3. utmp 정보 확인

stat /var/run/utmp 

   현재 사용자 명 확인 - users
utmp 파일에서 읽음

 

 

   로그온 정보 확인 - last

wtmp 파일 읽어서 로그인 & 로그아웃 여부 확인

 

1. 확인정보

로그온 정보 - 시스템 종료 및 부팅 정보

 

2. wtmp 경로

/var/log

 

3. 로그온 실패 기록 - lastb

btmp 파일 읽어서 로그온 실패 정보 확인

 

   OS 로그 기록 데몬 프로세스 - syslog

syslog는 syslogd 프로그램에 의해 기록된다.

 

syslog

 

1. syslogd 설정파일 경로

/etc/syslogd.conf

설정파일에서 로그파일을 어디다 기록할 지 설정가능하다. 

 

2. syslogd가 기록하는 파일 

/var/log/kern.log 

/var/log/../syslog

3. syslog 퍼실리티 - 출처 ibm 

kern - 커널 메시지 
user - 무작위 사용자 레벨 메시지(db2audit extract 명령의 경우 권장됨) 
mail - 메일 시스템 메시지 
daemon - 시스템 디먼 
auth - 보안/권한 메시지(db2audit extract 명령의 경우 권장됨) 
syslog - syslogd에 의해 내부적으로 생성된 메시지 
lpr - 라인 프린터 서브시스템

4. syslog 퍼실리티 위험성 -높은순 

emerg 또는 panic - 시스템을 사용할 수 없음 
alert - 조치를 즉시 수행해야 함 
crit - 심각한 조건 
err 또는 error - 오류 조건 
warn 또는 warning - 경고 조건 
notice - 일반적이지만 중요한 조건 
info - 정보용 
debug - 디버그 레벨 메시지

 

 

  WORM(Write Once Read Many) 

디스크에 정보를 단 한번만 기록할 수 있고, 그 후 데이터가 삭제되지 않도록 보호하는 데이터 저장기술이다.

단점 : 가격