Linux Log 확인 및 분석 방법

Linux Log 확인 및 분석 방법에 대해서 알아보자

 

리눅스 시스템의 보안로그는 시스템(SSH, Telnet)의 접속에 대한 로그 파일을 의미한다.

즉, 언제, 누가, 어디에서 어떻게 접속했는지에 대한 로그가 남는 뜻이다.

그렇기에 요즘은 서버 보안이 필수로 사용하는 분위기다.

 

 

리눅스 보안 로그 확인

 

/var/log/secure 경로 확인

 

• /var는 시스템을 운영할 때 발생하는 로그가 위치한 디렉토리다.
• /var/log/secure는 사용자의 원격(SSH, Telnet, FTP 등) 로그인 정보를 저장하는 로그이다.
• 이 경로를 통해 확인하면, timestamp, 호스트 명, PID값, 메시지 내용이 기록되어 있고
• 보통 login,tcp_wrappers,xinetd 관련 로그가 남는다.

 

 

Tip 1.

- 대부분 리눅스 환경에서는 /var/log에 로그가 위치하지만, 룰 경로에 대한 상세 정보는 /etx/rsyslog.conf에서 관리되고 있다.

 

Tip 2. 

- 모든 접속에 대한 내용이 남기에 불법 침입이 의심될때는 이 로그 파일을 꼭 확인해본다.

- 시스템 접근 사용자, 접근 방법, 보안 침투에 관한 정보가 들어 있으며 대부분의 정보가 /var/log/messages로 미러링 되어 있고 기본적으로 모든 root 로그인은 이 파일에 로그로 남는다.

 

Tip 3.

- 로그인에 성공한 IP 목록은?.

 

cat /var/log/secure*|grep Accepted|awk '{print$9"\t"$11"\t"$14}'|sort|uniq  = 경로 확인

※ root 계정을 탈취해서 정보를 빼가는 방식, 여전히 자주 사용되는 해킹 방법으로 침입자가 root 계정으로 로그인을 시도하기에 로그인 시도, 로그인을 성공한 IP 목록을 확인해야 한다.

 

/var/log/dmesg 경로 확인

 

 

• 시스템을 운영하다 보면, 시스템 자체의 문제인지 하드웨어 문제인지 확인할 때가 온다.
• 이 경우 부팅과 관련된 dmesg를 살펴보자.
• 해당 로그는 부팅이 될 때 발생되는 모든 메시지 로그를 포함하고, 주로 하드웨어 설정 관련 문제의 로그를 볼 때 유용하다.
• OS 부팅 과정에서 나오는 로그는 /var/log/boot.log에서 확인 가능하다.

 

/var/log/audit 경로 확인

 

리눅스 감사 로그는 설정된 감사 룰에 따라 시스템 정보를 기록한다.

 

 

 

출처 : https://blog.naver.com/innerbus_co/221439737250