[정보보안] Unix/Linux_로그관리

logrotate 

 logrotate : 로그를 관리하기 위해 설정하는 기능 

- weekly : 주 단위로 로그파일을 순환 

- size 1M : 로그파일이 1MB가 되면 새로 순환 

- create : 오래된 로그부터 순환하여 새로운 로그파일을 생성

- compress : 로그를 압축하여 저장 

---

lastlog  

 lastlog : 사용자의 가장 최근 로그인 시간, 호스트명, 포트정보를 기록 

해당 파일 : /var/log/lastlog

명령어 : lastlog 

- t (--time) : 지정한 날짜에 로그인한 계정 정보를 출력

- u (--user) : 지정한 로그인명(계정명)의 정보를 출력 

ex) lastlog -t 

---

btmp 

btmp : 5회 이상 실패한 로그인 정보를 담고 있는 로그파일

해당 파일 : /var/log/btmp

명령어 : lastb

---

utmp 

utmp : 현재 로그인한 사용자의 상태 정보를 담고 있는 로그파일

해당 파일 : var/run/utmp

명령어 : who

---

wtmp 

wtmp : 성공한 사용자의 로그인, 로그아웃 정보를 담고 있는 로그파일

해당 파일 : var/log/wtmp

명령어 : last

---

xferlog 

xferlog : FTP 서비스를 이용한 파일 업&다운로드 내역을 담고 있는 로그파일

해당 파일 : /var/log/xferlog

명령어 : xferlog

 

Thu May 17 11:54:41 2018 6 file.test.kr 1234567 /home/user/test1.mp3 b _ i r itwiki ftp 0 * c

 

 < 일자 및 일시 > Thu May 17 11:54:41 2018 → 2018.05.17(목) 11:54:41 

 < 원격 호스트 주소 > file.test.kr 

 < 전송된 파일의 크기 > 1234567

 < 전송이 된 파일의 전체 경로 > /home/user/test1.mp3

 < 전송 파일 유형 >  b → ( a = ascii / b = binary )

 < 액션 플래그 > '_' → ( _  = 행위 미발생 / C = 파일 압축됨 / U  = 파일 미압축됨 / T = tar로 묶여있음

 < 전송 방향> i →( i  =파일을 업로드하여 서버에 생성되는 것을 의미

                             o = 파일을 다운로드하여 서버에서 나가는 것 

                             d = 파일을 삭제하는 것을 의미 )

 < 액세스 모드 > r → ( r = 시스템의 사용자 계정

                                   a = 익명사용자 

                                   g = 비밀번호가 있는 게스트 사용자 )

 < 로그인한 사용자 > itwiki

 < 서비스명 > ftp 

 < 사용자의 인증방식 > 0 → None / 1 → 931 RFC Authentication

 < 인증 사용자 ID > * → 인증 메소드가 돌려주는 사용자 ID로써, *는 인증된 사용자의 ID를 사용할 수 없는 상태를 의미함

 < 완료 상태 > c → 전송완료(complete) / i → 전송 실패 (incomplete) 

 

lastcomm

lastcomm : 최근 사용한 명령어를 확인하기 위한 명령

lasttr

lasttr : 파일 속성을 확인할 때 사용 

chattr -i 파일명 (+추가, -삭제)

chattr : root 권한으로 삭제할 수 없는 파일의 속성을 변경하기 위한 명령