linux /var/log information

/var/log/xferlog : FTP 접속 관련 작업을 기록하고 있다. 외부에서 파일을 다운로드 하거나 업로드한 경우, 누가 어떤 파일을 올리고 받아갔는지 그 자세한 내역을 알수 있다.

/var/log/netconf : 파일은 바로 netconf 유틸리티를 이용해서 작업한 결과를 저장하는 로그 파일이다.
/var/log/secure : 모든 접속과 관련하여 언제 어디서 어떤 서비스를 사용했는지 기록하고 있다.
/var/log/maillog : sendmail의 메일 관련 작업을 기록 하고 있다.
/var/log/dmesg : 시스템 부팅시 나왔던 메시지들을 기록하고 있는 로그 파일이다.
/var/log/lastlog : 가장 최근에 telnet을 이용하여 접근 혹은 접속한 흔적을 기록하고 있다.
(단, 이 파일은 바이너리 이미지 파일로서 사용자들이 이 파일을 열어서 확인 할 수 없고, 명령 프롬프트에서 lastlog 라는 명령어로 확인할 수 있다.)

/var/log/boot.log : boot messages 를 /var/log/boot.log 파일에 기록한다.
/var/log/spooler : uucp, news의 crit 정보를 파일에 기록한다.
/var/log/cron : cron 관련 모든 로그는 기록한다.
/var/log/emerg : 현재 로그인한 모든 사용자에게 알린다.
/var/log/maillog : 메일 관련 모든 로그 기록한다.
/var/log/messages : mail



http://www.itbankac.com


리눅스 로그 파일에 대한 정리



1 로그 파일 정의
System이 booting할 때부터 종료할 때까지 작동중인 모든 상황을 별도의 파일로 만드는 것을 로그라 하고 이러한 기록이 저장되는 파일이 로그 파일이다.
이러한 다양한 로그 파일들은 주로 시스템 감시에 사용되는데, 시스템의 로그파일을 분석하거나 관련 로그 파일을 확인해서 현재 시스템의 상태를 체크할 수 있다.
또한 로그 파일은 각종 service, 주로 네트워크 서비스에 대한 접속 정보를 간직하고 있는데,이러한 접속 정보를 이용해서 시스템 관리자들은 자신이 관리하는 시스템의 각종 환경과 작동 상태 등을 확인하고 검사할 수 있다.
이러한 로그 파일은 특히 보안에 중요한데, 현재 시스템에 접속중인 사용자가 허가된 사용자인지 아니면 허가되지 않은 사용자인지 확인할 수 있고 동시에 시스템에 계정을 가진 사용자가 시스템에서 무슨 일을 하는지도 확인이 가능한 것이 바로 로그 파일이다.
30. 2 로그파일 기본 위치 : /var/log/*
[root @edu /var/log]# ls
XFree86.0.log cron.1 maillog netconf.log secure statistics
XFree86.9.log cron.2 maillog.1 netconf.log.1 secure.1 vbox
boot.log dmesg maillog.2 netconf.log.2 secure.2 wtmp
boot.log.1 htmlaccess.log messages news spooler wtmp.1 …..
명령행 프롬프트에서 ls라는 명령을 실행하면 해당 디렉토리안의 파일들의 목록을 보여준다.
/var/log 디렉토리에는 다양한 유형의 로그 파일들이 있는데 먼저 Xfree86.log는 Xfree86관련 로그를 기록하고 있으며 로그를 0부터 기록하고 있다.
다음 boot.log는 부팅 관련 로그를 저장하는 파일이며 cron은 서버의 주기적인 작업을 처리하는 cron 데몬의 로그를 기록하는 파일이다.
dmesg 파일은 시스템의 부팅 메시지를 저장하고 있는 파일이며 시스템 사용자는 부팅 후에 명령 프롬프트에서 dmesg라는 명령을 이용해서 시스템의 부팅 메시지를 볼 수 있다.
==>more


maillog는 메일 관련 로그를 저장하고 있는 파일이며 netconf는 리눅스 통합 설정 툴인 linuxconf라는 유틸리티의 모듈로 존재하는 netconf라는 유틸리티가 남긴 로그를 간직하고 있는 파일이다.
그리고 messages라는 파일은 시스템의 전반적인 기록이라고 보면 되는데, 시스템 작동 중에 발생하는 여러 유형의 기록을 저장하는 파일이며 일반적으로 tail 명령어에 옵션 ?f를 인자로 주어 실행을 하는데, 이 명령을 실행하면 시스템의 각종 기록들을 실시간으로 볼 수 있는 기능을 제공한다.
다음 secrue라는 파일은 기본적으로 접속관련 기록을 남기는 파일이며 이때 인증이 필요하다.
시스템 사용자가 외부에서 접속을 했을 때 모든 기록이 바로 이 파일에 기록이 된다.
그 외 news, statistics, wtmp 등 다양한 로그를 저장하는 파일들이 있는데, 사용자들은 이러한 로그 파일들이 어떤 정보를 저장하는지 알아 둘 필요가 있다.

3. 로그파일 관리 - logrotate
일반적으로 로그란 메시지를 말하는 것으로 시스템에 로그가 쌓이는 것을 막기 위해 시스템에서 일정 조각씩 숫자로 나누어 저장을 하는데 이것을 담당하는 유틸리티가 바로 logrotate라는 유틸리티이다.
즉, logrotate라는 유틸리티를 이용해서 시스템의 다양한 로그를 관리하고 로그를 관리하는 설정을 할 수 있다.
또한 시스템을 좀더 쉽고 편하게 관리하며 크고 많은 로그파일을 순환시키고, 압축하고, 지정 위치로 옮기는 등의 작업을 지원 기능을 제공하는 유틸리티가 바로 logrotate이다.
.
1) 관련 파일
logrotate유틸리티 관련 파일이 무엇이 있는지 그리고 그러한 파일들이 어떤 역할을 하는지 알고 있어야 logrotate 유틸리티 설정을 쉽게 할 수 있을 것이다.
실제로 logrotate 유틸리티는 rpm 패키지로 제공되고 있으며 시스템 사용자는 이러한 패키지를 이용하여 logrotate 유틸리티에 대한 세부적인 사항을 알 수 있을 것이다.
먼저 rpm 명령의 사용법을 알고 있어야 이러한 패키지를 구성하는 파일들을 쉽게 추출할 수 있을 것이다.






[root @edu /var/log]# rpm -ql | grep logrotate
/etc/cron.daily/logrotate
/etc/logrotate.conf
/etc/logrotate.d
/usr/man/man8/logrotate.8
/usr/sbin/logrotate
명령행 프롬프트에서 rpm 명령을 이용하는데 특정 패키지에 포함된 파일을 보기 위한 옵션이 ?ql이다.
q는 querry의 의미로 질의를 던진다는 의미이며 l은 리스트의 의미로 옵션 ?ql은 특정 패키지를 구성하고 있는 파일을 모두 볼 수 있게 하는데, 화면에서 보는 것처럼 환경 설정 파일들은 /etc 디렉토리 아래에 존재하고 있다는 것을 알 수 있다.
먼저 /etc/cron.daily 디렉토리는 서버의 주기적인 작업을 처리하는 cron 데몬이 매일 처리할 작업을 저장하는 디렉토리이며 사용자가 매일 수행하고 싶은 작업이 있다면 바로 이 디렉토리 아래 설정을 해주면 매일 작업을 처리하게 된다.
사용자에 따라서는 cron 데몬을 달리 시스템 자동화 유틸리티라고 하기도 한다.
/etc 디렉토리에는 cron 작업을 주기적으로 처리하기 위한 기본 디렉토리가 있는데, cron.daily, cron.hourly, cron.monthly, cron.weekly 등이 바로 그것이다.
그리고 logrotate를 주기적으로 처리하기 위해 /etc/cron.daily라는 디렉토리에 logrotate 파일을 만들어 설정을 하고 있다.
내용을 보면 /usr/sbin/logrotate /etc/logrotate.conf라고 되어 있는데, 이는 /usr/sbin/logrotate를 실행을 하되 설정 파일인 /etc/logrotate.conf라는 파일을 참조하라는 의미이다.
다음의 /etc/logrotate.conf 파일은 파일이 의미하는 것처럼 logrotate 유틸리티의 설정 파일이다.
로그를 관리하기 위한 기본 설정을 하는 파일로 로그를 lotate하기 위한 시간 간격이나 backlog를 유지하는 기간을 설정하고 error를 어떤 계정 사용자에게 보내야 하며 특정 디렉토리인 /etc/logrotate.d를 포함하고 특정 파일에 대한 설정을 할 수 있는 기능을 제공한다.
다음의 /etc/logrotate.d 디렉토리에는 시스템 및 네트워크 서비스에서의 로그를 관리하기 위한 설정이 들어있다.
==>more



예를 들어 apache, linuxconf, mgetty, mysqld, named, samba, syslog 등의 파일들이 있으며 파일 이름이 의미하는 것처럼 각 서비스에 대한 로그 설정을 담고 있다.
다음 /usr/man/man8/logrotate.8은 logrotate 유틸리티에 대한 man page를 정의하고 있는 파일이며 파일의 경로를 보면 /usr/man/man8/logrotate.8에 있다는 것을 알 수 있으며 명령 프롬프트에서 man logrotate라고 입력을 하여 실행하면 logrotate에 대한 manual page의 도움을 받을 수 있고 여기에는 각 서비스에 대한 로그를 설정하는 내용이 자세히 해설되어 있다.
그리고 마지막으로 /usr/sbin/logrotate는 logrotate를 실행하는 경로를 지정하는 것인데
일반적으로 logrotate 유틸리티가 rpm으로 제공되고 있기 때문에 /usr 디렉토리에 설치가 되고 실행을 할 수 있는 실행 명령어도 이 디렉토리에 위치하고 있다.
2) /etc/cron.daily/logrotate기본적으로 crontab에 의해서 매일 정기적으로 실행하도록 지정되어 있는데 앞에서 설명을 했지만 cron은 서버의 주기적인 작업을 처리하기 위한 데몬이고 사용자들은 분, 시, 일, 월, 요일 단위로 작업을 지정하여 실행을 시킬 수 있다.
일종의 시스템 자동화 유틸리티로 시스템에서 기본적으로 제공되는 디렉토리는 /etc/cron.daily, /etc/cron.hourly, /etc/cron.monthly, /etc/cron.weekly 등의 디렉토리와 기타 cron 관련 디렉토리가 있는데 여기에서 사용자들은 각 해당 디렉토리에 처리할 작업을 처리하고 싶은 주기에 맞추어 파일로 생성하여 작업을 지정하면 된다.
실제로 /etc/cron.daily에는 여러 가지 설정이 되어있는데, 여기에서 logrotate 파일의 내용을 보면 /usr/sbin/logrotate /etc/logrotate.conf라고 되어있다.
즉, logrotate 실행 파일을 실행을 시키되 참조할 파일은 /etc/logrotate.conf라는 파일의 설정을 참조하라는 의미이다.
즉, /etc/cron.daily 디렉토리에 logroate가 지정되어 주기적으로 작업을 처리하도록 설정되어 있다.
일반적으로 시스템의 로그파일이 클 때 시스템에 계속 쌓이게 되는데, 이러한 로그 파일들은 /etc/logrotate.conf.와 /etc/logrotate.d에서 설정을 변경하거나 또는 로그의 크기, 즉 size를 변경하여 관리할 수 있다.






3) /etc/logrotate.conf#see “man logrotate” for details
#rotate log files weekly
weekly
1주일 단위로 log rotate, weekly 뿐만 아니라 monthly나 hourly 등의 주기적인 시간 단위를 지정하여 로그를 관리하고 rotate하도록 할 수 있다.
#keep 4 weeks worth of backlogs
rotate 4
최대 4개까지 로그 순환하고 새로 생성한 로그 외에 이전의 로그를 3개까지 기록하도록 지정할 수 있다.
# send errors to root
errors root
에러가 있을 경우 root 계정으로 시스템의 에러 로그를 남기도록 설정한다.
# create new (empty) log files after rotating old ones
create
예전 로그를 순환한 후 새로운 로그 파일을 생성하도록 지정한다.
#compress
#압축여부를 결정하는데, 주석으로 처리되어 있으면 압축을 하지 않도록 지정되어 있는 것이다. 일반적으로 로그가 너무 크지 않으면 압축하지 않도록 지정한다.
#RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#이 디렉토리에 설정되어 있는 log rotate 설정 파일도 같이 포함되어 실행되도록 지정한다.
일반적으로 이 디렉토리에는 apache, linuxconf, mgetty, mysqld, named, samba, squid, syslog, uucp, vgetty 등에 대해서 로그를 설정하도록 되어있으며 현재는 기본적으로 설정되어 있다.
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
/var/log/wtmp 로그 파일에 대한 설정인데 먼저 monthly는 매월마다 로그를 순환하도록 지정하고 파일을 생성할 때 664 모드의 퍼미션을 주도록 지정하고



있으며 root 소유로 해서 utmp라는 그룹 소유로 순환 후 즉시 생성하도록 지정하고 있다.
최대 1번까지 rotate를 허용하는데 이는 이전의 로그파일이 1개만 남도록 지정하는 것이다.
==>more
4) logrotate 설정 예
1> /var/log/messages 파일에 대한 설정
/var/log/messages {
rotate 5
weekly
postrotate // rotate 후 명령부분 실행
/sbin/killall -HUP syslogd
endscript
}
weekly 라고 지정하여 일주일 단위로 최대 5번까지 log rotate를 허용하고 있다.
rotate가 끝난 후 postrotate 명령부분을 실행하는데, /sbin/killall ?HUP syslogd를 실행한다.
이는 syslogd의 설정 파일을 수정했을 경우 바로 적용시키도록 하는 명령어이며
여기에서 killall은 시스템에 signal을 보내는 명령어이며 ?HUP는 설정된 내용을
적용시키라는 옵션으로 일종의 시그널 유형이다.2> /var/log/httpd/access.log 파일에 대한 설정
/var/log/httpd/access.log {
rotate 5
mail www@my.org
errors www@my.org
size=100k
sharedscripts
postrotate
/sbin/killall -HUP httpd
endscript
}




/var/log/httpd/access.log 파일에 대한 로그 설정이다.
/var/log/httpd 디렉토리에는 아파치 관련 로그들이 저장되는데 여기에서는 access.log에 대한 설정을 하고 있다.
rotate 5의 의미는 5번까지 로그를 순환시키라는 의미이고 5번째 rotate 되었을 때 4번째 로그를 www@my.org로 메일로 보내고 만약 에러가 있을 경우에도 같은 메일 계정으로 메일을 보내도록 지정하고 있다.
그리고 로그파일의 사이즈가 100K가 넘으면 rotate를 하고 rotate가 끝난 후 postrotate 부분의 /sbin/killall ?HUP httpd를 실행하라는 의미이다.

3> /var/log/news/*에 대한 설정
/var/log/news/* {
monthly
rotate 2
missingok
errors newsadmin@my.org
postrotate
kill -HUP `cat /var/run/inn.pid`
endscript
nocompress
}
/var/log/news/ 디렉토리 아래에 있는 모든 파일에 대해서 rotate를 설정한다.
매월을 단위로 log를 rotate하는데, 만약 log파일이 없어도 에러를 발생하지 않도록 지정한다.
rotate 끝난 후에는 postrotate 부분의 kill ?HUP `cat /var/run/inn.pid` 명령어를
실행한다..
그리고 로그는 압축을 시키지 않는다.

4. syslogd로 로그 관리
syslogd의 환경설정 파일은 /etc/syslog.conf이다.
이 파일의 일반적인 형식은 facility.level 실행할 action의 순서로 설정을 지정한다.
1) facility
facility는 메세지를 보내는 프로그램의 유형을 말하는데, 여러 개의 facility를 지정할




경우는 ,로 구분하여 사용한다.
facility 뒤에 .none를 사용하는 경우가 있는데, 이는 해당 facility를 제외하겠다는
의미이다.
예를 들어 mail.none은 메일 관련 메시지를 제외하겠다는 의미이다.
==>more
일반적으로 facility의 종류에는 다음과 같은 것들이 있다.
auth ? 로그인 등의 인증 프로그램 유형이 발생한 메시지
authpriv - 개인인증을 요구하는 프로그램 유형이 발생한 메시지
cron - cron이나 at과 같은 프로그램이 발생하는 메시지
daemon - telnetd, ftpd등과 같은 데몬이 발생한 메시지
kern ? 커널이 발생한 메시지
lpr ? 프린터 유형의 프로그램이 발생한 메시지
mail ? 메일시스템에서 발생한 메시지
news - 유즈넷 뉴스 프로그램 유형이 발새?ㄴ 메시지
syslog - syslog 프로그램 유형이 발생한 메시지
user - 사용자 프로세스
uucp - uucp 시스템이 발생한 메시지
local0 - local7 - 여분으로 남겨둔 유형
2) level
다음은 level의 종류들이며 일반적으로 위험 레벨이 낮은 것부터 순서대로 나열되어있다.
debug ? 프로그램을 디버깅할 때 발생하는 메시지
info ? 통계나 기본 정보 메시지
notice - 에러는 아니지만 특별한 주의가 필요한 메시지
warning - 주의를 요하는 경고 메시지
err, error - 에러가 발생하는 경우 메시지
crit - 크게 급하지는 않지만 시스템에 문제가 생기는 단계의 메시지
alert!!!! - 즉각적인 조치가 필요한 상황
emerg - 모든 사용자에게 전달되어야 하는 위험한 상황




3) 로그관리(syslogd) 설정
1> 모든 facility나 priority를 지정하려면 * 를 사용한다.
2> 여러 개를 지정하려면 , 를 사용하여 나열한다.
3> priority를 지정하면 그와 같은 priority부터 그 위의 priority에 관련된 로그를 기록한다.
4> info를 지정하면 emerg부터 info사이의 모든 로그를 기록한다.

4) syslog의 action 설정
file : 파일에 내용을 추가한다.
@host : 지정된 호스트로 보낸다.
user : 지정된 사용자의 스크린으로 메시지를 보낸다.
공백 : 현재 로그인된 모든 사용자의 스크린으로 보낸다.
5. syslog 설정 파일의 실제 예
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
커널의 모든 메시지를 콘솔로 보낸다.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don’t log private authentication messages!
*.info;mail.none;news.none;authpriv.none /var/log/messages
모든 info를 /var/log/messages 파일에 기록한다.
단 여기서 mail, news, authpriv 관련 기록은 제외한다.
# The authpriv file has restricted access.
authpriv.* /var/log/secure
모든 로그인 인증 관련 기록은 /var/log/secure 파일에 저장한다.
특히 su나 login등을 모두 여기 기록하여 log 파일 분석시 활용한다.
# Log all the mail messages in one place.
mail.* /var/log/maillog
메일 관련 모든 로그는 /var/log/maillog 파일에 기록한다.
# Log cron stuff