리눅스 시스템 로그 관리

시스템 로그

: 시스템 관리 및 보안을 위해 시스템에서 발생하는 모든 이벤트를 기록한 것

: 리눅스에서는 syslog라는 패키지로 /etc/syslog.conf 파일을 기반으로 /var/log에 syslog를 남김

: 최신 리눅스 배포판에서는 rsyslog (rocket-fast system for log processing)으로 시스템 로그를 남김

 

- rsyslog

: rsyslogd 데몬이 /etc/rsyslog.conf 파일을 기반으로 서비스별 로그 파일을 /var/log 디렉터리에 증적

: 멀티 스레드, TCP, SSL 및 TLS, RELP (Reliable Event Logging Protocol) 지원

: MySQL, PostgreSQL, Oracle 등의 DBMS 지원

: 보내는 목록 제한, 메시지 일부 필터링, 출력 포맷 제어 등 다양한 기능 지원

 

 

 

 

 

rsyslog 설치 및 사용법

: yum, apt 등으로 rsyslog 설치

: service 혹은 systemctl을 통해 rsyslogd 데몬을 실행

 

 

 

 

 

rsyslog 관련 파일

- /etc/rsyslog.conf

- /etc/sysconfig/rsyslog

- /sbin/rsyslogd

- /etc/rc.d/init.d/rsyslog

 

 

 

 

 

/etc/rsyslog.conf

: rsyslogd 데몬의 환경 설정 파일

 

- 기본 구조

facility.priority     action

 

- 항목별 설명

: facility

 > 메시지를 발생 시키는 프로그램의 유형

 > 콤마 (,)를 사용해 여러 유형 나열

: priority

 > 위험의 수준

 > facility 별로 조합 시 세미콜론 (;)으로 나열

 > = 및 ! 기호로 프로그램 유형 별로 로그를 기록하는 위험의 수준을 설정

: action

 > 로그 메시지를 보낼 목적지나 행동에 대한 설정

 

- faclity의 종류 (로그를 발생시키는 유형의 종류)

: cron

 > 스케줄링 프로그램

: auth, security

 > 로그인과 같은 인증 프로그램

: authpriv

 > ssh를 이용한 인증 프로그램. 사용자 추가

: daemon

 > telnet, ftp 등 백그라운드에서 실행중인 데몬

: kern

 > 커널

: lpr

 > 프린터

: mail

 > 메일 시스템

: mark

 > syslogd에 의해 만들어지는 날짜 유형

: news

 > 유즈넷과 같은 뉴스 프로그램

: syslog

 > syslog 프로그램

: user

 > 사용자 프로세스

: uucp

 > Unix to Unix Copy Protocol

: local0 ~ local7

 > 여분으로 남겨둔 유형

: *

 > 모든 유형

 

- priority의 종류 (위험 정도의 종류)

: none

 > 지정한 유형을 제외

 > 앞에 다른 유형에 대해 설정하고 특정한 유형은 제외할 때 사용

: debug

 > 프로그램 디버깅

: info

 > 통계 및 기본정보 메시지

: notice

 > 특별한 주의는 요하나 에러는 아닌 메시지

: warning, warn

 > 주의가 필요한 경고 메시지

: error, err

 > 에러 발생

: crit

 > 크게 급하지 않지만 시스템에 문제가 발생

: alert

 > 즉각적인 조정이 필요한 상황

: emerg, panic

 > 모든 사용자들에게 전달해야할 위험한 상황

 

- action의 종류

: <file>

 > 지정한 파일에 로그를 기록. 절대 경로로 기입

: @<host>

 > 지정한 호스트에게 UDP 기반으로 메시지를 전달 

: @@<host>

 > 지정한 호스트에게 TCP 기반으로 메시지를 전달

: :omusrmsg:<user>,<user>...

 > 지정한 사용자가 로그인 했을 때 터미널에 출력

 > omurmsg란 사용자 메시지 출력 모듈을 의미

: :omusrmsg:*

 > 현재 로그인 되어있는 모든 사용자의 화면에 출력

 

- 예시

```

*.crit;kern.none     /var/log/critical

: 모든 유형에서 critical 수준의 로그만 /var/log/critical 파일에 기록. 커널에서 출력하는 로그는 제외

 

*.emerg     :omusrmsg:*

: 모든 유형에서 emerge 수준의 로그를 모든 사용자의 화면에 출력

 

authpriv.*     /var/log/auth

: ssh 등의 인증에 대한 모든 로그를 /var/log/auth 파일에 기록

 

mail.*;mail!=info      /var/log/maillog

: 메일 관련 모든 로그 중에 info 수준의 로그를 제외한 로그를 기록

```

 

 

 

 

 

/etc/sysconfig/rsyslog

: rsyslogd 데몬의 실행과 관련된 옵션이 설정되는 파일

 

 

 

 

 

/sbin/rsyslogd

: 실제 rsyslogd 데몬 실행 파일

 

 

 

 

 

/etc/rc.d/init.d/rsyslog

: rsuslogd 데몬을 시작시키는 스크립트

 

 

 

 

 

 

Refference

리눅스마스터 1급 2차 실기 정복하기 | 정성재 - 교보문고