리눅스 로그 확인 및 기록

로그 관련 명령어

- last

- lastlog

- lastb

- dmesg

- logger

 

 

 

 

last

: 사용자의 로그인 및 재부팅 로그를 확인

: /var/log/wtmp의 내용 출력

 

- 형식

: last [option] [user] [tty n]

 

- 주요 옵션

: -f <file>

 > 로그로테이션이 설정되어 있는 경우 기본 로그 파일 외 다른 로그파일도 확인

: -n <number>

 > 가장 최근 로그 부터 숫자값 만큼 출력. ex) -5, -n 5

: -t YYYYMMDDHHSS

 >  지정한 시간 이전에 로그인한 기록 출력

: -R

 > IP 주소나 호스트명을 생략

: -a

 > IP 주소나 호스트명을 필드 맨마지막에 출력. -d 옵션과 같이 사용

: -d

 > 호스트 이름이 존재하는 경우 IP 주소를 호스트 이름으로 변환

: -F

 > 로그인 및 로그아웃 시간 출력

: -i

 > 접속한 호스트의 IP 주소로만 출력

: -w

 > 사용자의 전체 이름 및 전체 도메인 이름 출력

: reboot

 > 최근에 재부팅한 정보 하나만 출력

 

 

 

 

 

lastlog

: 각각 사용자가 마지막으로 로그인한 정보 출력 

: /var/log/lastlog 파일의 내용 출력

 

- 형식

: lastlog [option]

 

- 주요 옵션

: -u <user> (--user)

 > 특정 사용자에 대한 정보만 출력

: -t <number> (--time)

 > 최근 number일 내에 로그인한 사용자들의 기록 출력

: -b <number> (--before)

 > 최근 number일 이전에 마지막으로 로그인한 사용자의 기록 출력

 

 

 

 

 

lastb

: 로그인 실패 정보에 대한 로그 확인

: /var/log/btmp 파일 내용 출력

 

- 형식

: lastb [option] [user]

 

- 주요 옵션

: -f <file>

 > 로그로테이션이 설정되어 있는 경우 기본 로그 파일 외 다른 로그파일도 확인

: -n <number>

 > 가장 최근 로그 부터 숫자값 만큼 출력. ex) -5, -n 5

: -t YYYYMMDDHHSS

 >  지정한 시간 이전에 로그인한 기록 출력

: -R

 > IP 주소나 호스트명을 생략

: -a

 > IP 주소나 호스트명을 필드 맨마지막에 출력. -d 옵션과 같이 사용

: -d

 > 호스트 이름이 존재하는 경우 IP 주소를 호스트 이름으로 변환

: -F

 > 로그인 및 로그아웃 시간 출력

: -i

 > 접속한 호스트의 IP 주소로만 출력

: -w

 > 사용자의 전체 이름 및 전체 도메인 이름 출력

 

 

 

 

 

dmesg

: 커널 부트 메시지 로그 출력

: /var/log/dmesg 파일 확인

 

- 형식

: -c

 > 커널 링 버퍼에 저장된 메시지 출력 후 커널 링 버퍼 메시지 삭제

 

 

 

 

 

logger

: 로그 파일에 로그 기록

: 기본적으로 /var/log/message 파일에 기록

 

- 형식

: logger [option] [message]

 

- 주요 옵션

: -i

 > PID도 기록

: -f

 > 로그를 저장하는 파일

: -t

 > 지정한 태그도 함께 기록

: -s

 > 모니터에도 메시지 출력

 

- 예시

```

logger system down

: system down이라는 내용을 로그에 증적

 

logger -i -f /var/log/messages '2mukee system upgrade'

: messages 파일에 메시지를 저장하면서 PID를 기록

 

logger -i -t warning 'plz exit'

: message 파일에 warning라는 태그와 함께 로그 증적

```

 

 

 

 

 

로그 관련 파일

- /var/log/messages

- /var/log/secure

- /var/log/dmesg

- /var/log/maillog

- /var/log/xferlog

- /var/log/cron

- /var/log/boot.log

- /var/log/lastlog

- /var/log/wtmp

- /var/log/btmp

 

 

 

 

 

/var/log/messages

: 시스템에서 발생하는 표준 메시지가 기록되는 파일

: 대부분의 로그가 증적되며, root 계정만 읽을 수 있음

 

- 기본 형식

날짜:호스트:응용프로그램:메시지

 

 

 

 

 

/var/log/secure

: 인증을 기반으로 접속과 관련된 로그 기록

: telnet이나 ssh를 통한 원격 접속 및 tcp_wrapper, xinetd 관련 로그 증적

 

 

 

 

 

/var/log/dmesg

: 시스템 부팅 시에 출력 되었던 로그 기록. 커널 부트 메시지 로그

 

 

 

 

 

/var/log/maillog

: sendmail, dovecot 등 메일 프로그램의 로그 

 

 

 

 

 

/var/log/xferlog

: FTP 접속과 관련된 로그

 

- 형식

current-time  transfer-time  remote-host   file-size   filename   transfer-type   special-action-flag   direction   access-mode   username   service-name   authentication-method   authentication-user-id   completion-status

 

- 항목별 설명

: current-time

 > 접속한 현재 시간 DDD MMM dd hh:mm:ss YYYY 형식. 요일 월 일 시 분 초 연

: transfer-time

 > 전송된 총 시간. 초 단위

: remote-host

 > 원격 호스트의 IP 주소 

: file-size

 > 전송된 크기. byte 단위

: filename

 > 전송된 파일의 절대 경로 이름

: transfer-type

 > 전송 형태. ascii, binary

: special-action-flag

 > 특정한 액션. 압축된 경우 (C), 압축이 안된 경우 (U), tar (T), 없음 (_)

: direction

 > 전송된 지시. 다운로드 (o, outgoing), 업로드 (i, incomming)

: access-mode

 > 사용자의 로그인 형태. 익명 (a, anonymous), 게스트 (g, guest), 인증한 로컬 사용자 (r, real)

: username

 > 로컬 사용자의 ID

: service-name

 > 발생된 서비스의 이름. ftp

: authentication-method

 > 인증에 사용된 방법. none (0), 1 (RFC931)

: authentication-user-id

 > 인증에 의해 되돌려진 사용자 계정

: completion-status

 > 전송 상태. 완료 (c, complete), 미완료 (i, incomplete)

 

 

 

 

 

/var/log/cron

: cron 관련 정보

 

 

 

 

 

/var/log/boot.log

: 부팅 시 발생되는 메시지 기록. 데몬 관련 정보 기록

 

 

 

 

 

/var/log/lastlog

: telnet이나 ssh를 이용한 사용자의 마지막 로그인 정보

: 바이너리 파일이기 때문에 lastlog 명령어로만 확인 가능

 

 

 

 

 

/var/log/wtmp

: 로그인 및 재부팅 성공에 대한 기록

: 바이너리 파일이기 때문에 last 명령어로만 확인 가능

 

 

 

 

 

/var/log/btmp

: 로그인 실패에 대한 기록

: 바이너리  파일이기 때문에 lastb 명령어로만 확인 가능

 

 

 

 

 

 

 

 

Refference

리눅스마스터 1급 2차 실기 정복하기 | 정성재 - 교보문고