1. 리눅스 서버에서 발생되는 기본적인 로그 두가지
– 커널로그 : kernel messages 라고 하는 것으로 klogd 라는 데몬에 의해 생성
– syslogd 데몬에 의해 생성되는 로그
– 시스템관리에 있어서 주기적으로 확인 및 점검해야 할 사항들 중에 가장 중요한 것이 로그파일들이다. 시스템에 이상이 있거나 보안의 위험을 감지하기 위해서는 시스템에서 남겨지는 메시지를 확인해야 함. 모든 시스템에는 특정작업이 발생한 후에는 반드시 로그가 남겨지며, 관리자는 이를 정기적으로 점검을 해야 함.
시스템에 이상이 생겼을 때 혹은 서버보안에 문제가 있어 해킹을 당했을 때 이에 대한 1차적인 확인을 로그파일을 통해서 할 수 있음.
– 리눅스에서는 /var/log 디렉토리에서 시스템의 모든 로그를 기록 및 관리하고 있음.
– 시스템의 /etc/syslog.conf 파일에서 시스템 로그파일들의 위치를 지정함.
2. /var/log 의 디렉토리에 있는 로그파일과 로그디렉토리
– boot.log : 리눅스가 부팅이 될 때 출력되는 모든 메시지를 기록함. 부팅시의 에러나 조치사항을 살펴보려면 이 파일을 참조해야 함
– cron : 시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대한 기록을 하고 있는 파일. /etc/디렉토리 에는 cron.hourly, cron.daily, cron.weekly, cron.monthly 디렉토리들이 있음. 이 디렉토리들은 각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동실행할 작업스크립트 파일들이 존재하고 있음. 이들 작업이 실행되고 난 이후에는 이 로그파일( /var/log/cron ) 에 실행내역을 기록함.
– messages : 리눅스 시스템의 가장 기본적인 시스템로그파일로서 시스템 운영에 대한 전반적인 메시지를 저장함. 주로 시스템 데몬들의 실행상황과 내역, 그리고 사용자의 접속정보등의 로그기록내역을 기록함.
– secure : 주로 사용자들의 원격로그인 정보를 기록하고 있는 로그파일로서 서버보안에 아주 민감하고 중요한 파일임. 특히 tcp_wrapper( xinetd ) 의 접속제어에 관한 로그파일로서 언제, 누가, 어디서, 어떻게 접속을 했는가에 대한 로그를 기록하고 있음. 시스템의 불법침입등이 있었다고 의심이 될 때에는 반드시 이 로그파일을 확인해야 함.
– xferlog : 리눅스시트메의 FTP 로그파일로서 proftpd 또는 vsftpd 데몬들의 서비스내역을 기록하는 파일. 즉, ftp 로 로그인 하는 사용자에 대한 로그를 기록과 어떤파일을 업로드/다운로드 하였는가에 대한 상세기록을 함. 따라서 어떤 특정한 파일이 시스템으로 FTP 서비스에 의해서 업로드되었을 때에나 또는 시스템외부로 다운로드 되었을때에 이 파일의 기록내역을 확인해 보면 날짜, 파일명, 디렉토리명등의 주요 정보를 확인 할 수 있음.
– /var/spool/mail : 사용자들에 대한 메일을 보관하고 있는 디렉토리로서 메일을 한번 이상 사용한 사용자는 사용자 계정 ID 와 동일한 파일이 하나씩 존재함. 사용자 계정생성시에 /var/spool/mail 디렉토리 내에 생성하는 계정명과 동일한 메일파일이 생성됨. 메일을 읽은 후에 사용자의 메일디렉토리로 저장하거나 메일을 삭제했을 경우네는 이 파일에서 메일내용이 삭제 됨.
이 디렉토리에 있는 파일을 보기위해 ” elm -f ID ” 로 하면 사용자의 메일을 확인할 수 있음. 일반 사용자들은 elm 을 이용하여 자기자신의 mail 내용만을 확인 할 수 있으며, root 권한으로는 모든 사용자의 메일내용 확인이 가능함.
3. 시스템을 모니터링 한다는 말의 의미는 여러 가지가 있을 수 있음. 하지만 거의 대부분 시스템 모니터링은 시스템에서 남겨지는 로그파일을 통해서 이루어짐. 즉, 시스템관리자로서 시스템을 모니터링하기 위해서는 로그파일을 반드시 확인하고분석해야 한다는 의미.
