[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(45일차)

오늘 학습 주제

1. 로그

2. 리눅스 로그

 

 

 

 

로그

---

- 로그(Log) -

시스템의 모든 기록을 담고 있는 데이터로

성능, 오류, 경고 및 운영정보 등의 중요한 정보가 기록

특별한 기준에 따라 숫자와 기호 등으로 구성

분석하지 않은 로그는 활용하기가 어려움

(웹 서버는 하루에 수백 메가에서 기가 단위의 로그가 생성)

 

 

- 로그 데이터 중요성 -

시스템에서 발생하는 모든 문제에 대한 유일한 단서

시스템에서 발생한 오류 및 보안 결함 검색 가능

잠재적인 시스템 문제 예측

쟁애 발생 시 복구에 필요한 정보

침해 사고 시 근거 자료

 

 

- 로그 분석 -

로그 데이터를 분석하여 필요로 하는 유용한 정보를 만드는 행위

서버, 클라이언트, 네트워크 장비 보안 장비 등의 로그를 분석

 

분석을 통해

외부로부터 침입 감지 및 추적

시스템 성능 관리

마케팅 전략(사용량, 유입 경로 등)

시스템의 장애 원인

시스템 취약점

등을 확인 가능

 

 

리눅스 로그

---

- 텍스트 기반 로그 -

로그 종류	로그 파일 위치	설명
시스템 로그	/var/log/messages	시스템에서 발생하는 전반적인 로그 기록
인증 로그	/var/log/secure	인증 시스템(PAM 등)이 발생시키는 로그
메일 로그	/var/log/mailog	메일 로그
부팅 로그	/var/log/boot.log	시스템 부팅 시의 로그
크론 로그	/var/log/cron	작업 스케줄링 로그

Cat 명령어를 통해 확인 가능

로그 내용은 중복 저장 가능

 

/var/log/messages시스템에서 발생하는 표준 메시지가 기록날짜 및 시간, 메시지가 발생한 호스트명, 발생한 내부 시스템(응용 프로그램), 메시지순서로 기록

 

- 텍스트 기반 로그(애플리케이션) -

로그 종류	로그 파일 위치	설명
Apache 웹 서버	/var/log/httpd	아파치 웹 서버가 발생시킨 로그
Samba 서버	/var/log/samba	삼바 서버가 발생시킨 로그
SMTP 서버	/var/log/maillog	Sendmail이나 Postfix 같은 메일 서버가 발생시킴
FTP 서버	/var/log/xferlog	VSFTP나 Proftp 서버가 발생시킨 로그

 

 

- 바이너리 로그 -

로그 파일	설명	로그 확인 명령어
/var/run/utmp	사용자의 현재 로그인 정보를 기록	who , w, user, finger
/var/log/wtmp	성공한 로그인과 로그아웃, 시스템 재부팅 정보	last
/var/log/btmp	사용자의 로그인 실패를 기록	lastb
/var/log/lastlog	가장 최근 로그인 정보를 기록	lastlog
/usr/account/pacct	시스템에 로그인한 사용자가 수행한 프로그램 정보 기록 로그인해서 로그오프 할 때까지 입력 정보 등을 기록 시스템 자원을 많이 소모하므로 기본적으로 동작 안함	acctcom lastcomm

실행 파일이기 때문에 Cat 명령어로 확인 불가

특정 명령어를 이용하여 로그 확인

 

/var/log/wtmp

사용자의 로그인과 로그아웃 정보를 가지고 있는 로그 파일

(로그인, 로그아웃, 시스템 종료, 부팅, 재부팅 정보)

[last 계정명]을 통해 특정 계정의 로그 정보 확인 가능

 

/var/log/btmp모든 로그인 실패 정보를 기록하는 로그 파일[lastb -n]을 통해 최근 로그인에 실패한 n개 기록 출력