리눅스 로그 분석

리눅스 로그 분석
리눅스에서는 /var/log 디렉토리에 시스템의 모든 로그를 기록 및 관리하고 일반적으로 텍스트 형식으로 저장되어 있다.
시스템의 /etc/syslog.conf 파일에는 거의 모든 시스템 로그파일들의 위치를 지정하고 있다.
간단한 문서 편집기나 cat 또는 less 명령어를 통해 그 내용을 볼 수 있다.

그러나 일부 로그 파일의 경우엔 텍스트 형식이 아닌데
btmp와 wtmp로 되어 있어서 각각 lastb와 last라는 명령어를 통해 그 내용을 확인할 수 있다.

/var/log
- boot.log : 리눅스가 부팅이 될때 뿌려주는 모든 메시지를 기록하고 있다.
- cron : 시스템의 정기적인 작업에 대한 로그를 기록하고 있다.

/etc/밑에 있는 파일들중 cron.hourly, cron.daily, cron.weekly, cron.monthly 파일들은 각각 시간별, 일별, 주별, 월별로 정기적으로 실행
- 작업을 한 후에는 /var/log/cron파일에 기록을 남기게 된다.
- message : 운영체제에서 보내주는 실시간 로그를 관리하고 있으며 주로 콘솔로 이 메시지는 실시간으로 보여준다.
- secure : 시스템의 접속에 관한 로그파일로서 언제, 누가, 어디에서 어떻게 접속을 했는가에 대한 로그를 기록하고 있다.
- xferlog : ftp로 로그인하는 사용자에 대한 로그를 기록하는 파일로서 /etc/ftpaccess에 그 설정파일을 가지면 ftp의 홈디렉토리는 /home/ftp이다.
- /var/spool에는 작업중에 일시적으로 저장되는 로그 및 작업들에 대한 기록이 남겨진다.
- /var/spool/mail
  * "elm -f ID"를 실행하면 사용자의 메일을 확인할 수 있다.

로그 파일을 점검할 때, 문제를 해결하기 위하여 리눅스에는 logrotate라는 프로그램을 사용한다.
이를 이용하면 주기적으로 로그 파일을 백업을 하고 일정 기간이 지나면 로그 파일을 삭제 정리한다.
레드햇 리눅스의 경우엔 /etc/logrotate.conf 라는 설정 파일이 있으며 이를 통해 logrotate를 설정할 수 있다.

로그파일 삭제하는 방법
cat /dev/null > /var/log/messages

리눅스 Log파일 종류
/dev/console [콘솔에 뿌려지는 메시지들(콘솔로그)]
/var/log/messages [모든 데몬의 시스템 로그]
/var/log/cron [crond 데몬 로그파일]
/var/log/maillog [sendmail,pop등의 메일관련 데몬의 로그]
/var/log/secure [보안인증 관련 메시지]
/var/log/xferlog [ftp(proftpd, vsftpd) 로그]
/dev/console [콘솔 로그]
/var/log/dmesg [부팅될 당시에 각종 메시지들을 저장]
/var/log/wtmp [시스템 전체 로그인 기록을 저장]
/var/log/utmp [현재 로그인 사용자에 대한 기록, 사용자 IP저장]
/var/log/lastlog [현재 로그인 사용자에 대한 기록]
/var/log/spooler [uucp, new 장치에서 위급상태(crit)이상인 메시지 기록]
/var/log/httpd/access_log [아파치 웹서버의 로그들을 기록]
/var/log/httpd/error_log [아파치 웹서버의 에러들을 저장]

lastlog [ -u 계정명 ] [ -t 일자 ] //시스템 각 계정의 최근 접속정보를 확인
- lastlog 는 /etc/passwd 파일에 정의되어 있는 모든 계정의 최근 접속정보를 확인
- 주로 서버의 보안점검을 위하여 필수적으로 확인, 간단히 lastlog 라고만 하면 모든 계정의 마지막 접속정보를 출력
- lastlog 는 /var/log/lastlog 파일의 정보에 저장된 정보를 참조하여 결과를 출력
- /var/log/lastlog 파일은 바이너리파일로 되어있기 때문에 cat 이나 vi 등의 일반적인 방법으로는 확인할 수 없다.
- /var/log/lastlog 파일에는 각 계정의 최근 접속정보가 기록되는 파일이며 /usr/include/lastlog.h 파일에 정의 된 포맷으로 /var/log/lastlog에 저장

시스템 각 계정의 최근 접속정보 확인
- 간단히 lastlog 라고만 하면 서버의 모든 계정에 대한 최근 접속정보를 확인
- lastlog

특정 계정사용자의 시스템 최근 접속정보 확인
- 특정 계정만의 최근 접속정보를 확인하고자 한다면 -u 옵션과 함께 사용
- lastlog -u stkim

지정한 최근까지의 시스템 접속정보 확인
- lastlog 는 최근 몇 일까지의 마지막 접속정보를 확인 할 수도 있음.
- "last -t 일자" 지정된 일자까지에 접속한 최근 접속정보를 확인
- lastlog -t 30