시스템 로그파일 이해하기

시스템 로그파일 이해하기

시스템관리에 있어서 정기적으로 확인 및 점검해야 할 사항중에 가장 중요한 것이 있다. 시스템에 이상이 있거나 보안의 위험을 감지하기 위해서는 시스템에서 남겨지는 메시지를 확인해야 한다. 모든 시스템에는 작업이 있고 난 후에는 반드시 로그가 남겨지며, 관리자는 이를 정기적으로 점검을 해야한다. 시스템에 이상이 생겼을 때 혹은 보안이 뚫려서 해킹을 당했을 때 이에 대한 1차적인 확인을 로그파일들에서 하게된다. 우리 인체에 비유하자면 사람의 몸에 이상이 생기기 전에 위험신호를 감지하기 위해 몸상태를 체크해 보내는 것과 비슷하다고 할 수 있다.

리눅스에서는 /var/log디렉토리에 시스템의 모든 로그를 기록 및 관리하고 있다. 시스템의 /etc/syslog.conf파일에는 거의 모든 시스템 로그파일들의 위치를 지정하고 있다. 여기서 리눅스의 모든 로그파일을 살펴보지는 못하지만 몇가지만 살펴보도록 하자.

다음은 /var/log의 디렉토리에 있는 로그파일과 로그디렉토리이다. 중요한 것 몇가지만 살펴보겠다.

● boot.log : 리눅스가 부팅이 될때 뿌려주는 모든 메시지를 기록하고 있다. 부팅시의 에러나 조치사항을 살펴보려면 이 파일을 참조해야 한다.

● cron : 시스템의 정기적인 작업에 대한 로그를 기록하고 있다.

/etc/밑에 있는 파일들중 cron.hourly, cron.daily, , cron.weekly cron.monthly 파일들은 각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동으로 작업해야할 것에 대한 작업을 저장하고 있으며 지정한 일시에 실행이 되며 이들 작업을 한 후에는 /var/log/cron파일에 기록을 남기게 된다.

● message : 운영체제에서 보내주는 실시간 로그를 관리하고 있으며 주로 콘솔로 이 메시지는 실시간으로 보여준다.

● secure : 시스템의 접속에 관한 로그파일로서 언제, 누가, 어디에서 어떻게 접속을 했는가에 대한 로그를 기록하고 있다. 시스템의 불법침입등이 있었다고 의심이 될 때는 반드시 이 로그파일을 확인해야 한다.

● xferlog : ftp로 로그인하는 사용자에 대한 로그를 기록하는 파일로서 /etc/ftpaccess에 그 설정파일을 가지면 ftp의 홈디렉토리는 /home/ftp이다.

이외에도 중요한 로그파일이 있는데 /var/spool에는 작업중에 일시적으로 저장되는 로그 및 작업들에 대한 기록이 남겨지는 곳으로 이중 메일에 관한 것만 살펴 보면 다음과 같다.

● /var/spool/mail

사용자들에 대한 메일을 보관하고 있는 디렉토리로서 메일을 한번이상 사용한 사용자는 사용자 계정 ID와 동일한 파일이 하나씩 존재한다. 메일을 읽은 후에 사용자의 메일디렉토리로 저장하거나 메일을 삭제했을 경우에는 이 파일에서 메일내용이 삭제된다.

이 디렉토리에 있는 파일을 보기위해 "elm -f ID"로 하면 사용자의 메일을 확인할 수 있다. 물론 이 작업은 root 권한만이 가능하며 시스템관리자라고 해서 사용자의 메일내용을 함부로 확인할 수 있는 권리는 없다.