로그파일 기본 디렉토리 /var/log

1. boot.log

리눅스가 부팅이 될 때 출력되는 모든 메시지를 기록

부팅시 에러나 조치사항 참조

 dmesg (var/log/dmesg)

 부팅하는 동안 커널의 기록을 남겨 놓은 파일

 단계를 구분지어 놓으면 start_kernel()을 분석하는데 많은 도움이 될 것이고 커널 부팅 중에 에러가 났다면 어느 단계에서 에러 났는지

 범위를 좁히고 찾아내는데 많은 도움이 됨

자세한 내용 참조 : http://kldp.org/KoreanDoc/html/EmbeddedKernel-KLDP/kernel-dmesg.html

2. cron

시스템의 정기적인 작업에 대한 로그, 즉 시슽엠 cron 작업에 대한 기록

/etc 디렉토리에 cron.hourly, corn.daily, cron.weekly, cron.monthly 등의 디렉토리가 있음

위 디렉토리에 의해 정기적으로 운영체제에서 자동 실행할 작업스크립트를 실행하고 그 내용을 /var/log/cron 에 기록함

3. messages

리눅스 시스템의 가장 기본적인 시스템로그파일로써 시스템 운영에 대한 전반적인 메시지를 저장함

주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보등의 로그 기록

파일시스템 full, 시스템 디바이스로 인한 error 기록

# more messages | grep failure
Feb  8 04:31:30 localhost sshd(pam_unix)[19247]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=217.23
.239.37  user=root

PAM_ => 인증모듈인데 언제 어디서나 붙여서 사용할 수 있음

4. secure

주로 사용자들의 원격로그인 정보를 기록, 서버보안에 아주 민감하고 중요한 파일입

특히 tcp_wrapper(xinetd)의 접속제어에 관한 로그파일로서 언제, 누가, 어디서에서, 어떻게 접속을 했는지 기록됨

시스템의 불법침입등이 있었다고 의심이 될 때는 반드시 확인해야함

Feb  9 18:16:35 localhost sshd[25922]: Failed password for invalid user test from ::ffff:61.237.15.202 port 47765 ssh2
Feb  9 23:48:17 localhost sshd[26236]: Failed password for root from ::ffff:221.154.90.117 port 4763 ssh2
Feb  9 23:48:20 localhost sshd[26236]: Accepted password for root from ::ffff:221.154.90.117 port 4763 ssh2

5. xferlog

FTP로그파일로서 Proftpd, vsftpd 데몬들의 서비스내역을 기록하는 파일

# more xferlog

Tue Dec 23 02:25:00 2008 1 221.154.90.117 12257 /home/honghao/whatsnew.txt a _ i r honghao ftp 0 * c

a_ 아스키 모드, b_ 바이너리

c_압축, t_tar, u_un압축

i_ingoing(upload), o_outgoing(download)

r_패스워드로 인해서 인증받은 사용자, a_인명, g_guest 계정을 통한 사용자

6. lastlog (바이너리 파일)

# lastlog | more

rpcuser                                    **Never logged in**
nfsnobody                                  **Never logged in**
mailnull                                   **Never logged in**
smmsp                                      **Never logged in**

7. wtmp (바이너리 형태의 데이터)

사용자들의 로그인과 로그아웃에 대한 내용 기록

# last | more
[root@localhost log]# last | more
root     pts/2        221.154.90.117   Mon Feb  9 23:48   still logged in  
root     pts/3        221.154.90.117   Sat Feb  7 03:38 - 04:45  (01:06)   
root     pts/2        221.154.90.117   Sat Feb  7 01:33 - 06:56  (05:23)   

8. samba (/var/log/samba/사용자별 로그 생성)

# more yoonbari.log
[2009/02/08 08:03:11, 1] smbd/service.c:make_connection_snum(648)
  yoonbari (221.154.90.117) connect to service yoonbari initially as user yoonbari (uid=503, gid=508) (pid 26481)
[2009/02/08 08:21:29, 1] smbd/service.c:close_cnum(837)
  yoonbari (221.154.90.117) closed connection to service yoonbari
[2009/02/09 09:18:45, 1] smbd/service.c:make_connection_snum(648)
  yoonbari (221.154.90.117) connect to service yoonbari initially as user yoonbari (uid=503, gid=508) (pid 4396)

9. utmp (/var/run/utmp), 바이너리 형태

현재 로그인한 사용자들의 상태 정보를 가지고 있음

# w
 15:09:53  up  5:53,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU  WHAT
root     pts/0    221.154.90.117    3:01pm  0.00s  0.05s  0.01s  w

# who
root     pts/0        Feb  9 15:01 (221.154.90.117)

[root@ftp run]# finger
Login     Name       Tty      Idle  Login Time   Office     Office Phone
root      root       pts/0          Feb  9 15:01 (221.154.90.117)