[Centos] 리눅스 시스템 로그에 대해서

리눅스 시스템 로그 설명

pacct

사용자가 로그인한 후부터 로그아웃할 때까지 입력한 명령과 프로세스 시작 시간, 작동된 tty 등에 대한 정보를 가지고 있음.

binary 파일로 되어 있으며 그 내용을 확인하기 위해서
"lastcomm" 명령을 사용합니다.

기본적으로 활성화가 되어 있지 않기 때문에 활성화를 해주어야합니다

리눅스 # accton /var/account/pacct | 유닉스 # /usr/lib/acct/accton /var/adm/pacct

lastlog

사용자별로 가장 마지막에 로그인한 시간과 접속 IP, tty 등에 대한 정보를 가지고 있음.

가장 최근에 성공한 로그인 파일을 담고 있는 로그파일, binary 파일로 되어있으며
"lastlog", "finger" 명령 사용

리눅스 /var/log/lastlog | 유닉스 /var/adm/lastlog

last -u 유저명, last -t 시간

sulog

Switch User를 사용한 로그가 기록되어 있음
sulog
사용자가 su(switch user)란 명령어를 사용한 기록이 남게 된다
날짜 및 시간, 성공(+)/실패(-), 사용한 터미널 이름, from 사용자, to 사용자 등의 정보가 포함

'su' 명령은 다른 사용자의 ID로 로그인하는 것과 동일한 효과를 가지므로
로그인 정보를 기록하는 utmp/wtmp 파일과 연동하여 분석할 필요가 있습니다

'su' 명령어를 이용하여 다른 사용자로 전환하게 되면 su 명령어를 수행한 사용자의 UID가 변환된 사용자의 UID로 변경
하지만, 이러한 내역은 utmp/wtmp 파일에 반영되지 않습니다

'su - ID'와 같이 하면 다른 사용자로의 변환뿐만 아니라 그 사용자의 사용 환경설정으로 완전하게 변환하게 되므 해당 사용자의 로그인 쉘과 똑같이 사용 가능하게 됩니다

공격자가 일반 사용자 권한으로 침입한 후 su 명령을 이용하여 root 권한을 흭득한 경우 sulog를 통하여 특정 사용자에서 superuser로의 변환시도를 살필 필요가 있습니다

/var/adm/sulog

dmesg

사용명령어 dmesg

시스템 부팅하면서 남긴 메시지 확인(커널검사)

주로 접속시 인증에 관한것, 메일에 관한 내용, 시스템에 관한 변경사항 등 시스템에 대한 전반적인 로그기록
-> 부팅하는 동안 어느단계에서 에러가 났는지 확인할 수 있음

리눅스가 부팅될 때 출력되는 모든 메시지를 기록하고 있습니다

# /var/log/dmesg

history

계정 별로 실행한 명령어에 대한 기록을 저장한 파일로 각 계정별 홈 디렉터리에 존재

# cat .bash_history | # history

secure

주로 사용자/그룹 생성/삭제, 로그인 등의 사용자 인증에 대한 정보를 기록. 원격에서 접속한 su 명령을 수행한 내용등이 저장

# /var/log/secure

messages

가장 기본적인 시스템 로그파일, 시스템 운영에 대한 전반적인 메시지를 저장.

리눅스 시스템의 가장 기본적인 시스템 로그 파일로 시스템 운영에 대한 전반적인 메시지를 저장하고 있음

주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속 정보, Tcpwrapper 접근 제어 정보 등을 저장합니다

# /var/log/messages

boot.log

리눅스가 부팅될때 파일 시스템에대한 체크, 서비스 데몬들의 실행 상태등을 기록

# /var/log/boot.log

xferlog

xferlog : ftp 로그파일

# /var/log/xferlog

cron

시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대하여 기록하고 있는 파일

# /var/log/cron

maillog

sendmail 또는 qmail 등과 같은 메일 송수신 관련 내역들과 ipop 또는 imap 등과 같은 수신 내역들에 대하여 기록함.

메일에 관련된 거의 모든 것을 기록하는 로그파일이기 때문에 리눅스의 메일 로그라고 보시면 됩니다.

# /var/spool/maillog