1. /var/log/syslog (Ubuntu 같은 데비안) 또는 /var/log/messages (CentOS 같은 레드햇)
- 시스템 전체의 메시지와 정보 기록 (커널 메시지, 장치 드라이버, 서비스 상태, 네트워크 이벤트, 데몬 등의 메시지)
- 커널이란?
- 하드웨어와 소프트웨어 사이에서 중개 역할로, 소프트웨어가 하드웨어에 직접 접근하지 않고도 작업을 수행할 수 있게 해줌
- 자격 증명 해킹이나 무차별 대입 공격과 같은 의심되는 행위 조사
>> sysyemd[1843] 로그 메시지를 생성한 프로세스의 이름과 PID(프로세스 ID)
메시지 내용: systemd이 수행한 작업
2. /var/log/auth.log (Ubuntu 같은 데비안) 또는 /var/log/secure (CentOS 같은 레드햇)
- 인증 및 보안 관련 이벤트를 기록하는 로그 파일 (비정상적인 로그인 시도, 권한 변경 활동, 사용자 인증 실패)
- login이나 tcp_wrappers, xinetd 관련 로그 / useradd, userdel, su 로그 기록
- tcp_wrappers이란?
- 네트워크 접속 제어를 제공하는 도구
- xinetd이란?
- 인터넷 서비스의 데몬으로, 요청에 따라 서비스를 시작하고 종료하는 슈퍼 데몬 역할
>> /etc/polkit-1/rules.d에서 PolicyKit 데몬이 3개의 규칙 실행 → SSH 서버가 포트 22에서 연결을 수신 대기 → 루트 계정 비밀번호 변경 → PolicyKit이 정책 규칙을 로드 및 3개의 규칙 실행 → 외부 IP 주소에서 루트 계정으로 SSH 로그인 성공
- PolicyKit 데몬이란?
- 리눅스 기반 시스템에서 권한 관리를 위한 프레임워크
3. /var/log/boot.log
- 시스템 부팅 과정에서 발생하는 로그 메시지(데몬 시작, 성공 또는 실패 여부) 기록
4. /var/log/dmesg
- 시스템 부팅 과정 이후 커널에서 발생하는 메시지 기록
- 장치 드라이버 통신을 위한 중앙 위치 역할
- dmesg 명령어 사용
5. /var/log/cron
- 크론 작업과 관련된 활동을 추적하며 작업의 시작, 완료, 실패 기록
>> cron데몬이 시작되었고, 시스템 로그를 사용하여 로그 메시지 기록
6. /var/log/btmp
- 실패한 모든 로그인 시도 기록
- last 명령어를 사용하여 확인 가능 (바이너리 형식)
- 바이너리 형식이란?
- 기계가 읽고 처리할 수 있는 형식을 말하며 텍스트 형식과 대비되는 개념 해석하려면 전용 프로그램이나 도구가 필요
- cat으로 확인 안 되고 다른 명령어 사용
>> root 사용자가 pts/0 터미널에서 IP 주소 211.168.63.220에서 로그인하여 현재도 로그인 중
8월 22일 14시 18분에 시스템이 부팅되었고, 현재도 실행 중
7. /var/log/utmp
- 현재 로그인 세션과 활동 중인 사용자에 대한 정보 (현재 로그인한 사용자와 터미널, 로그인 시간, 로그인 상태 기록)
- w, uptime, who 명령어 사용
>> root 계정에서 pts/0 터미널을 통해 서버에 로그인하였으며 w 명령어 실행 중
시스템이 31분 동안 실행 중이며 부하 평균이 낮음
root 사용자가 211.168.63.220에서 pts/0 터미널을 통해 로그인
8. /var/log/wtmp
- 로그인, 로그아웃, 시스템 부팅 및 종료 등의 이벤트를 기록하는 로그 파일
- last(이전 로그인 세션) 명령어 사용
root 사용자가 pts/0 터미널에서 IP 주소 211.168.63.220에서 로그인하여 현재도 로그인 중
8월 22일 14시 18분에 시스템이 부팅되었고, 현재도 실행 중
9. /var/log/lastlog
- 사용자의 마지막 로그인 시간, 호스트명, 포트 기록
- lastlog 명령어 사용 (바이너리 형식 파일)
>> root 사용자가 로그인한 기록이 있으며 다른 사용자는 로그인 기록 없음
10. /var/log/yum.log 또는 /var/log/dnf.log
- yum(dnf) 명령 기반 패키지 설치에 대한 정보 관련 로그 파일 (패키지의 설치, 업데이트, 삭제 작업에 대한 상세 로그 포함)
- dnf update 해야 폴더가 생김
11. /var/log/httpd/
- Apache HTTP 서버(웹 서버)의 로그 파일이 저장되는 디렉토리
- error_log 파일: httpd에서 발생하는 오류 기록
- access_log 파일: HTTP를 통해 들어오는 요청 기록
- yum install httpd로 해야 관련 디렉터리 생성
[root@sechoi-server httpd]# tail -f access_log
211.***.63.*** - - [21/Aug/2024:13:15:51 +0900] "GET / HTTP/1.1" 200 425 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36"
211.***.63.*** - - [21/Aug/2024:13:15:52 +0900] "GET /favicon.ico HTTP/1.1" 404 196 "<http://211.188.52.119/>" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36"
211.***.63.*** - - [21/Aug/2024:13:16:40 +0900] "-" 408 - "-" "-"
>> 첫 번째 요청: 성공
두 번째 요청: favicon.ico 파일이 없어 404 오류 발생
- 404 오류란?
- 클라이언트가 서버에 특정 파일이나 페이지를 요청했지만, 해당 파일이나 페이지가 없어서 발생
세 번째 요청: 클라이언트의 응답 시간이 초과되어 408 오류
- 408 오류란?클라이언트가 서버에 요청을 보내고 일정 시간 내에 요청을 완료하지 못함
- Request Timeout 오류
12. /var/log/audit/
- 시스템에서 발생한 감사 이벤트를 기록하는 로그 파일
- 시스템 호출, 파일 접근, 사용자 로그인 및 로그아웃, 권한 변경 등의 보안 관련 활동이 포함
