리눅스 로그 시스템의 이해와 활용 -2-

작성자 : (주)수퍼유저코리아, http://www.superuser.co.kr 서버팀

1. 리눅스 로그시스템 흐름도

2. 로그파일의 종류와 내용

3. /etc/syslog.conf 파일의 예

4. /etc/syslog.conf 파일의 이해와 활용

5. syslogd와 klogd의 시작과 종료

6. 로그파일의 로테이트를 위한 logrotated

7. 로테이트된 로그파일들의 실제 예

8. logrotated 관련 파일들

9. logrotated 설정파일의 이해와 활용

10. 활용1 : 중요로그기록 이중저장

11. 활용2 : 중요로그파일 원격실시간 저장

ㅇ 로테이트(rotate) 처리

- 특정날짜 또는 특정용량이상이 되었을 때 로그파일을 로테이트(교체)한다.(size)

- 로테이트작업 직전과 직후에 특정작업을 수행할 수 있다.(prerotate/endscript,postrotate/endscript)

- 로테이트 작업을 하면서 압축을 하거나 하지않을 수 있다.(compress, nocompress)

- 로테이트 후에 보관할 파일의 수를 지정할 수 있다.(rotate)

- 로테이트 후에 생성되는 파일의 소유주와 퍼미션등을 설정할 수 있다.(create)

- 로테이트 후에 생성되는 파일의 확장자 임의로 지정할 수 있다.(extension)

ㅇ /etc/logrotate.conf파일은 logrotated데몬의 주 설정파일로서 global하게 적용되는 파일임.

ㅇ /etc/logrotate.d/ 디렉토리내에 존재하는 파일들은 개별 로그파일의 개별 logrotate설정파일

ㅇ /etc/logrotate.d/ 디렉토리내에 로그파일에 대한 추가파일을 설정해 두면 그 로그파일을 로테이트(rotate)처리를 할 수 있음.

ㅇ /etc/logrotate.conf 파일의 예

- logrotated 데몬이 실행되면서 /etc/logrotate.conf파일을 읽어들여서 그 내용을 적용함.

- 위의 “include /etc/logrotate.d” 설정으로 인하여 /etc/logrotate.d 디렉토리에 존재하는 개별로그 파일들을
모두 읽어들여 적용함.

ㅇ /etc/logrotate.d/ 디렉토리내의 파일의 예

ㅇ daily
해당 로그파일을 매일 로테이트 함.

ㅇ weekly
해당 로그파일을 매주 로테이트 함.

ㅇ monthly
해당 로그파일을 매월 로테이트 함.

ㅇ rotate 숫자
현재 로그파일을 제외한 숫자만큼까지의 로테이트된 파일을 보관함. 이전 로테이트된 파일은 삭제함.
예) “rotate 2”일 경우 해당로그파일이 secure라면
secure 파일(현재파일)과 secure.1파일, secure.2파일까지만 보관됨. 그 이전파일은 자동삭제.

ㅇ compress
순환된 로그파일이 gzip에 의해 압축됨. 예) messages.1.gz, secure.1.gz

ㅇ nocompress
순환된 로그파일이 압축되지 않고 원본상태로 저장됨. 예) messages.1, secure.1

ㅇ create 퍼미션 소유자 소유그룹
순환된 로그파일이 지정된 퍼미션을 가지고, 지정된 소유자와 소유그룹으로 생성됨.
예) create 600 root wheel

ㅇ errors 메일주소
로테이트 실행시 문제(에러)가 발생하면 관련 내용을 지정된 메일주소로 메일 발송함.

ㅇ mail 메일주소
로테이트된 후에 삭제되는 로테이트된 파일들을 지정한 메일주소로 보내게 됨.

ㅇ extension 확장자명
로테이트된 파일뒤에 지정된 확장자명을 붙여주게 됨. (로테이트파일의 개별 구분을 위한 것)
예) “extension kkk”라고 설정되었다면 messages.1.kkk, 또는 messages.1.ext.gz로 생성됨.

ㅇ ifempty
로테이트하고자 하는 원본파일의 용량이 0이라 하더라도 로테이트 시킴.(기본값)

ㅇ notifempty
로테이트하고자 하는 원본파일의 용량이 0이라면 로테이트하지 않음.

ㅇ prerotate/endscript
로테이트를 수행하기 이전에 prerotate와 endscript 사이의 내용을 실행함.

ㅇ postrotate/endscript
로테이트를 수행한 후에 postrotate와 endscript 사이의 내용을 실행함.
거의 대부분 syslogd 데몬을 재시작하기 위한 것임.

ㅇ size 용량크기
로테이트의 수행결과 로테이트된 파일의 크기가 지정한 용량크기 이상을 넘지 않도록 함.
예) size 200K, size 1024M

ㅇ 시스템로그파일(messages)들 중요한 기록들을 별도 위치에 이중저장 한다.

1단계
: 별도로 저장 파일명과 저장위치를 결정하고 디렉토리를 생성한다.
예) /var/tmp/..hidden/..messages
/var/tmp/..hidden/..secure

2단계
: /etc/syslog.conf 파일의 내용을 수정한다.

3단계
: syslogd 데몬을 재시작한다.

4단계

: /var/tmp/..hidden/디렉토리에 ..messages파일과 ..secure파일이 생성되어 해당 로그가 기록되고 있는가를 확인한다.

ㅇ 웹서버 설정내용

- 작업1 : 원격로그서버에 대한 호스트 설정 : /etc/hosts 설정
192.168.100.1 logserver

- 작업2 : syslog.conf파일 수정 : /etc/syslog.conf 설정

*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info;mail.none;authpriv.none;cron.none @logserver
authpriv.* /var/log/secure
authpriv.* @logserver

- 작업3 : syslogd 데몬 재시작 : /etc/rc.d/init.d/syslog restart

ㅇ 원격로그서버 설정내용

- 작업1 : 웹서버에 대한 호스트 설정 : /etc/hosts 설정
192.168.10.1 webserver

- 작업2 : 원격에서 들어오는 로그메시지를 저장할 수 있도록 syslogd 데몬 재시작
방법1 : /sbin/syslogd ?r ?m 0
방법2 : /etc/sysconfig/syslog 파일내에 설정된 SYSLOGD_OPTIONS=“-m 0”을
SYSLOGD_OPTIONS=“-r ?m 0”로 변경한다.

- 확인작업 : 로그파일에 웹서버의 로그내용이 실시간으로 저장되고 있는가를 확인한다.