로그파일 기본 디렉토리 /var/log
1. boot.log
리눅스가 부팅이 될 때 출력되는 모든 메시지를 기록
부팅시 에러나 조치사항 참조
dmesg (var/log/dmesg)
부팅하는 동안 커널의 기록을 남겨 놓은 파일
단계를 구분지어 놓으면 start_kernel()을 분석하는데 많은 도움이 될 것이고 커널 부팅 중에 에러가 났다면 어느 단계에서 에러 났는지
범위를 좁히고 찾아내는데 많은 도움이 됨
자세한 내용 참조 : http://kldp.org/KoreanDoc/html/EmbeddedKernel-KLDP/kernel-dmesg.html
2. cron
시스템의 정기적인 작업에 대한 로그, 즉 시슽엠 cron 작업에 대한 기록
/etc 디렉토리에 cron.hourly, corn.daily, cron.weekly, cron.monthly 등의 디렉토리가 있음
위 디렉토리에 의해 정기적으로 운영체제에서 자동 실행할 작업스크립트를 실행하고 그 내용을 /var/log/cron 에 기록함
3. messages
리눅스 시스템의 가장 기본적인 시스템로그파일로써 시스템 운영에 대한 전반적인 메시지를 저장함
주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보등의 로그 기록
파일시스템 full, 시스템 디바이스로 인한 error 기록
# more messages | grep failure
Feb 8 04:31:30 localhost sshd(pam_unix)[19247]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217.23
.239.37 user=root
PAM_ => 인증모듈인데 언제 어디서나 붙여서 사용할 수 있음
4. secure
주로 사용자들의 원격로그인 정보를 기록, 서버보안에 아주 민감하고 중요한 파일입
특히 tcp_wrapper(xinetd)의 접속제어에 관한 로그파일로서 언제, 누가, 어디서에서, 어떻게 접속을 했는지 기록됨
시스템의 불법침입등이 있었다고 의심이 될 때는 반드시 확인해야함
Feb 9 18:16:35 localhost sshd[25922]: Failed password for invalid user test from ::ffff:61.237.15.202 port 47765 ssh2
Feb 9 23:48:17 localhost sshd[26236]: Failed password for root from ::ffff:221.154.90.117 port 4763 ssh2
Feb 9 23:48:20 localhost sshd[26236]: Accepted password for root from ::ffff:221.154.90.117 port 4763 ssh2
5. xferlog
FTP로그파일로서 Proftpd, vsftpd 데몬들의 서비스내역을 기록하는 파일
# more xferlog
Tue Dec 23 02:25:00 2008 1 221.154.90.117 12257 /home/honghao/whatsnew.txt a _ i r honghao ftp 0 * c
a_ 아스키 모드, b_ 바이너리
c_압축, t_tar, u_un압축
i_ingoing(upload), o_outgoing(download)
r_패스워드로 인해서 인증받은 사용자, a_인명, g_guest 계정을 통한 사용자
6. lastlog (바이너리 파일)
# lastlog | more
rpcuser **Never logged in**
nfsnobody **Never logged in**
mailnull **Never logged in**
smmsp **Never logged in**
7. wtmp (바이너리 형태의 데이터)
사용자들의 로그인과 로그아웃에 대한 내용 기록
# last | more
[root@localhost log]# last | more
root pts/2 221.154.90.117 Mon Feb 9 23:48 still logged in
root pts/3 221.154.90.117 Sat Feb 7 03:38 - 04:45 (01:06)
root pts/2 221.154.90.117 Sat Feb 7 01:33 - 06:56 (05:23)
8. samba (/var/log/samba/사용자별 로그 생성)
# more yoonbari.log
[2009/02/08 08:03:11, 1] smbd/service.c:make_connection_snum(648)
yoonbari (221.154.90.117) connect to service yoonbari initially as user yoonbari (uid=503, gid=508) (pid 26481)
[2009/02/08 08:21:29, 1] smbd/service.c:close_cnum(837)
yoonbari (221.154.90.117) closed connection to service yoonbari
[2009/02/09 09:18:45, 1] smbd/service.c:make_connection_snum(648)
yoonbari (221.154.90.117) connect to service yoonbari initially as user yoonbari (uid=503, gid=508) (pid 4396)
9. utmp (/var/run/utmp), 바이너리 형태
현재 로그인한 사용자들의 상태 정보를 가지고 있음
# w
15:09:53 up 5:53, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 221.154.90.117 3:01pm 0.00s 0.05s 0.01s w
# who
root pts/0 Feb 9 15:01 (221.154.90.117)
[root@ftp run]# finger
Login Name Tty Idle Login Time Office Office Phone
root root pts/0 Feb 9 15:01 (221.154.90.117)
[출처] 리눅스 시스템 log 파일 정리|작성자 파천