Ch1. 로그 파일

로그 파일

/var/log/messages	- 시스템에서 발생한 표준 메시지가 기록되는 파일 - root만 읽을 수 있도록 설정 - 날짜 및 시간, 메시지가 발생한 호스트명, 메시지를 발생시킨 내부 시스템이나 응용 프로그램의 이름, 발생된 메시지 등 콜론(:)으로 구분되어 순서대로 기록
/var/log/secure	- 인증에 기반한 접속관 관련된 로그가 기록되는 파일 - 보통 로그인(telnet or ssh), tcp_wrappers, xinetd 관련 로그
/var/log/dmesg	- 시스템이 부팅할때 출력되었던 로그 - 보통 커털 부트 메시지 로그 라고 불린다.
/var/log/maillog	- sendmail, dovecot 등 메일 관련 작업이 기록되는 파일
/var/log/xferlog	- FTP 접속과 관련된 작업이 기록되는 파일 - 로그 포멧은 총 14개의 영역으로 구성되어 있다.
/var/log/cron	- cron 관련 정보가 기록되는 파일
/var/log/boot.log	- 부팅 시 발생되는 메시지가 기록되는 파일 - 보통 부팅 시 동작하는 데몬 관련 정보가 기록된다.
/var/log/lastlog	- telnet이나 ssh를 이용해서 접속한 각 사용자의 마지막 정보가 기록되는 파일 - 바이너리 파일로 되어있음 - lastlog 라는 명령으로 확인 가능
/var/log/wtmp	- 콘솔, telnet, ftp 등을 이용하여 접속한 사용자의 기록과 관련된 로그가 쌓이는 파일 - 바이너리 파일로 되어 있다. - last 라는 명령으로 확인 가능
/var/log/btmp	- wtmp와 반대되는 로그이다. - 접속이 실패할 경우, 관련된 로그가 기록된느 파일 - 바이너리 파일로 되어 있다. - lastb 라는 명령으로 확인 할 수 있다.

last [option] 사용자명 [ttyn]

- /var/log/wtmp 파일의 내용을 확인
- 재부팅한 정보는 reboot 옵션을 지정하면 확인할 수 있다.
- 인자값으로 정수값을 줄 경우, 로컬의 특정 터미널로 로그인한 정보를 확인할 수 있다.

 

-f [파일명]	로그 로테이션이 설정이 되어 있는 경우, 기본 로그 파일 이외의 다른 파일의 기록을 볼 경우에 사용한다.
-n [숫자]	가장 최근부터 해당 숫자값 만큼만 출력한다.  숫자 옵션과 같다.
-t YYYYMMDDHHMMS	지정한 시간 이전에 로그인한 기록을 출력한다.
-R	IP 주소나 호스트명을 출력하지 않는다.
-a	호스트명이나 IP 주소 필드를 맨 마지막에 출력한다.  일반적으로 -d 옵션과 함께 사용한다.
-d	리눅스는 외부에서 접속한 기록을 IP 주소 뿐만 아니라 호스트 이름도 지정하는데, 이 옵션을 사용하면 호스트 이름이 존재하는 경우에는 IP 주소를 호스트 이름으로 변환하여 출력한다.
-F	로그인 및 로그아웃 시간을 출력하는 옵션
-i	접속한 로스틩 IP 주소로만 출력하는 옵션
-w	사용자의 전체 이름이나 전체 도메인 이름을 전부 출력하는 옵션

EX
#/var/log/wtmp 가 만들어 진 후 관련 정보 출력
last

#larva 사용자의 로그인 정보 출력
last larva

#시스템이 재부팅된 정보 출력
last reboot

#가장 최근에 재부팅한 정보 하나만 출력
last -1 reboot

#/var/log/wtmp.1 파일의 정보 출력
last -f /var/log/wtmp.1

#/dev/tty2 로 로그인한 정보 출력
last 2

 

 

lastlog [option]

 

- 각각의 사용자가 마지막으로 로그인한 정보를 출력해주는 명령
- 바이너리 파일인 /var/log/lastlog의 내용을 출력한다.

 

-u  [사용자]	특정 사용자에 대한 정보만 출력
-t [날짜 수]	오늘부터 지정한 날짜만큼 거슬러 올라가 그 이후에 로그인한 사용자의 정보를 보여줌
-b [날짜 수]	오늘을 기준으로 날짜 수 이전에 최종적으로 로그인한 사용자 정보를 출력

#모든 사용자의 최종 로그 기록 출력
lastlog

# larva 사용자의 최종 로그 기록 출력
 lastlog -u larva

# 최근 3일 내에 로그인한 사용자의 기록 출력
lastlog -t 3 

# 최근 3일 이전에 로그인한 자용자의 기록 출력
lastlog -b 3

 

 

lastb [option] [사용자명]

 

last 와 반대되는 개념의 명령어
로그인 실패에 대한 실패 정보인 /var/log/btmp 파일의 내용을 출력 하는 명령
기본적인 사용법은 last 명령과 동일하지만, root만 사용이 가능하다

-f [파일명]	로그 로테이션이 설정이 되어 있는 경우, 기본 로그 파일 이외의 다른 파일의 기록을 볼 경우에 사용한다.
-n [숫자]	가장 최근부터 해당 숫자값 만큼만 출력한다.  숫자 옵션과 같다.
-t YYYYMMDDHHMMS	지정한 시간 이전에 로그인한 기록을 출력한다.
-R	IP 주소나 호스트명을 출력하지 않는다.
-a	호스트명이나 IP 주소 필드를 맨 마지막에 출력한다.  일반적으로 -d 옵션과 함께 사용한다.
-d	리눅스는 외부에서 접속한 기록을 IP 주소 뿐만 아니라 호스트 이름도 지정하는데, 이 옵션을 사용하면 호스트 이름이 존재하는 경우에는 IP 주소를 호스트 이름으로 변환하여 출력한다.
-F	로그인 및 로그아웃 시간을 출력하는 옵션
-i	접속한 로스틩 IP 주소로만 출력하는 옵션
-w	사용자의 전체 이름이나 전체 도메인 이름을 전부 출력하는 옵션

 

#로그인 실패 정보 출력
lastb

#larva 사용자의 로그인 실패 기록 출력
lastb larva

#가장 최근에 로그인을 실패한 3개 기록 출력
lastb 3

#/var/log/btmp.1 로그 기록 출력
lastb -f /var/log/btmp.1

#/dev/tt3 에서의 로그인 실패 기록 출력
lastb 3

 

 

 

dmesg [option]

 

커널 링 버퍼의 내용을 출력하고 제어하는 명령어
커널링 버퍼 : 커널의 동작과 관련딘 메시지를 기록해주는 영역

 

-C	커널 링 버퍼에 저장된 메시지를 출력한 후에 지움

 

#커널링 버퍼에 저장된 메시지를 출력함
dmesg

#커널링 버퍼에 저장된 메시지를 전부 지움
dmesg -C

 

 

 

logger [option] [message]

 

명령행에서 로그 시스템에 메시지를 전송할때 사용하는 명령
기본적으로 /var/log/messages 파일에 기록된다.

-i	PID를 기록할때 사용 한다.
-f	저장되는 파일명을 지정할 때 사용한다.
-t	저장한 태그(Tag)를 함게 기록할 때 사용한다
-s	표준 출력에도 메시지를 출력한다.

 

#/var/log/messages 파일에 'CentOs7' 이라는 메시지가 저장된다.
logger CentOS 7

#/var/log/messages 파일에 'CentOs7' 이라는 메시지가 저장되며 PID를 기록한다.
logger -i -f /var/log/messages 'CentOS7'

#/var/log/messages 파일에 'CentOs7' 이라는 메시지가 저장되며 PID와 hack이라는 태그를 기록한다.
logger -i -t hack 'CentOS7'

 

 

logrotate [option] config_file

 

로그 파일을 여러 개로 분할해주는 프로그램
로그 파일의 자동 로테이션, 압축 기능, 제거등의 기능을 지원한다.
각각의 로그 파일은 하루, 일주일, 한 달 단위로 로테이션을 할 수 있다.
시스템과 관련된 기본적인 로그 설정은 /etc/logrotate.conf 파일에서 할 수 있다.
명령행에서 logrotate를 직접 사용 가능하다.
현재 리눅스에서는 cron에 의해 스케쥴링 되어 실행되고 있으며, /etc/cron.daily

 

-f	강제로 환경 설정 파일을 읽어들여서 실핸한다.

 

loglotate -f /etc/logrotate.conf

 

weekly	로그 파일을 일주마일마다 로테이트 가장 맨 위에 등록되어 있는 경우 특별히 명시하지 않은 로그파일들은 이 파일의 적용을 받는다
rototate 4	최대 4번가지 rotate 를 하는 설정 기본 logfile, logfile.1, logfile.2, logfile.3, logfile.4 형태로 생성된다.
create	로테이트를 한 후에 비어 있는 로그 파일을 생성하도록 성정하는 항목
datetext	로테이션으로 생성되는 로그 파일에 해당 날짜를 덧붙여서 생성하는 항목
compress	로테이트 한 후에 생성된 로그 파일에 대해 압축할 때 사용하는 항목
icnlude /etc/logrotate.d	/etc/logrotate.d 디렉터리 안에 설정된 파일에 대해서도 로테이트를 적용하는 설정
nomiisngok	로그 파일이 존재하지 않은 경우에 에러 메시지 출력 기본값으로 설정되어 있다.
missingok	로그 파일이 존재하지 않은 경우에 에러 메시지를 출력하지 않고 다음 파일로 이동한다.