리눅스마스터1급 : 시스템 로그 파일 xferlog

리눅스마스터1급 : 시스템 로그 파일 xferlog

xferlog 는 ProFTPD 등의 FTP 데몬들에 의한 시스템의 데이터 전송에 대한 정보를 기록하는 파일이다.

이 파일을 통해 부정한 파일들이 전송되었는지 여부를 확인할 수 있다.

예를 들어 이 파일에서 ftp를 통해 mp3, 그림 파일, 프로그램 파일, 해킹 프로그램 파일 등이 서버에 전송된 일이 있는 지 알 수 있으며, 서버에서의 작업 상황을 모니터링 할 수 있다.

xferlog의 기본 형식은 다음과 같다(다음 사항들은 모두 한 줄로 나타난다).

∙current-time : “DDD MMM dd hh:mm:ss YYYY”과 같은 형식의 현재의 로컬 시간(local time)이다.

DDD은 요일, MMM은 달, dd는 달의 날짜, hh는 시간, mm은 분, ss는 초, YYYY는 연도이다.

∙transfer-time : 이것은 전송에 걸린 총 시간을 표시한 것이다.

∙remote-host : 호스트에 접속한 원격 호스트명이다.

∙file-size : 전송된 파일의 크기를 바이트 단위로 출력한다.

∙filename : 전송된 파일의 이름이다.

∙transfer-type : 전송 타입을 하나의 문자로 표시한다.

a는 ascii 모드, b는 binary를 뜻한다.

∙special-action-flag : 어떤 행위(action)가 행해졌는지를 하나 또는 그 이상의 문자로 표시한다.

C는 파일이 압축되었다는 것이고, U는 파일의 압축이 풀렸다는 것이며, T는 파일이 tar로 묶였다는 것이다.

그리고, _는 어떤 행위도 취해지지 않았다는 것이다.

∙direction : 전송의 방향을 말한다.

o는 호스트 밖으로, i 는 호스트 안으로 파일이 전송된 것이다.

∙access-mode : 사용자가 로그인하는 모드를 표시한다.

a는 anonymous 게스트 사용자를 뜻하고, g는 패스워드가 guest로 된 사용자가 접속한 것을 말하며, r은 로컬에 계정을 가진 사용자가 로그인한 것을 말한다.

∙username : 이것은 로컬 사용자명이다.

guest의 경우 ID가 주어진다.

∙service-name : 관련된 서비스의 이름을 말한다.

보통 FTP이다.

∙authentication-method : 인증의 방법이다.

0이 있으면 없는 것이고, 1이 있으면 RFC931의 인증방식에 따른 인증을 취했다는 것을 뜻한다.

∙authenticated-user-id : 인증 방식에 따라 되돌려 받은 사용자 ID이다.

*는 인증 받은 사용자 ID가 사용되지 않을 때 사용된다.

∙completion-status : 전송 상태를 알려 주는 것이다.

c의 경우 전송이 성공한 것이고, i의 경우 전송이 불완전하다는 것이다.

다음은 xferlog의 일부이다.

마지막 로그를 살펴보면 이 사람은 2023년 3월 24일 일요일 0시 46분 15초에 211.187.30.243의 IP를 가진 호스트에서 7588 byte의 크기를 가진 footer.php 파일을 /home/seminar/5th_home/에 전송했음을 알 수 있다.

그리고 파일에 대해서 a로 ascii 모드로 전송했다는 것을, _ 로 어떤 행위도 하지 않았음을, i를 통해 서버 호스트로 파일이 전송되었음을, r을 통해 사용자가 로컬 사용자라는 것을, sem을 통해 sem이라는 사용자 id를 가지고 있음을 각각 알 수 있다.

또한 ftp라는 것으로 전송 방식이 FTP라는 것을, 0을 통해 특정한 인증 방식이 없다는 것을 c를 통해 파일 전송이 완벽하게 이루어졌음을 각각 알 수 있다.