1. Log File의 종류
기본적인 로그들은 syslogd에 의해서 제어가 되며, syslogd의 설정파일인 /etc/syslog.conf 파일을 수정함으로써 이 파일들의 저장위치와 저장파일명을 변경 가능하다.
보안을 위하여 숨김속성(.으로 시작하는 디렉토리)의 디렉토리를 다른곳에 만들어 숨김속성파일(.으로 시작하는 파일)을 만들어서 찾기 힘든 곳에 보관 할 수 있다.
2. Log File 분석
① 콘솔 로그 (/dev/console)
커널에 관련된 내용을 시스템 콘솔에 뿌려주는 로그이다.
시스템에 관련된 중요한 내용들(시스템풀, 다운 등)에 대한 로그를 관리자에게 알리고자 함이 목적이다.
출력을 파일로 저장하는 것이 아니라 장치명(/dev/console)을 사용하여 콘솔로 로그를 뿌려준다.
timestamp, 호스트명, 커널 메시지 내용 등이 기록 되었다.
② 시스템 로그 (/var/log/messages)
****- 사용명령어 : dmesg (/var/log/messages를 출력한다.)
주로 접속 시 인증에 관한 것과 메일에 관한 내용, 시스템에 관한 변경사항 등 시스템에 관한 전반적인 로그를 기록하는 파일이다.
timestamp, 호스트명, 데몬명, 메시지 내용 등이 기록된다.
시스템 관리자에 의해서 가장 소중하게 다루어지는 로그이다.
- 보안사고가 발생시에 가장 먼저 분석을 해야하는 파일이다.
메시지 내용은 su 실패에 대한 로그, 특정 데몬이 비활성화된 로그, 부팅 시 발생된 에러 등 다양한 로그들을 포함한다.
syslog facility에 의하여 남은 로그로 /etc/syslog.conf의 설정에 따라 남는 정보의 종류가 달라진다.
③ 보안 로그 (/var/log/secure)