시스템관리에 있어서 정기적으로 확인 및 점검해야 할 사항중에 가장 중요한 것이 있다. 시스템에 이상이 있거나 보안의 위험을 감지하기 위해서는 시스템에서 남겨지는 메시지를 확인해야 한다. 모든 시스템에는 작업이 있고 난 후에는 반드시 로그가 남겨지며, 관리자는 이를 정기적으로 점검을 해야한다. 시스템에 이상이 생겼을 때 혹은 보안이 뚫려서 해킹을 당했을 때 이에 대한 1차적인 확인을 로그파일들에서 하게된다. 우리 인체에 비유하자면 사람의 몸에 이상이 생기기 전에 위험신호를 감지하기 위해 몸상태를 체크해 보내는 것과 비슷하다고 할 수 있다.
리눅스에서는 /var/log디렉토리에 시스템의 모든 로그를 기록 및 관리하고 있다. 시스템의 /etc/syslog.conf파일에는 거의 모든 시스템 로그파일들의 위치를 지정하고 있다. 여기서 리눅스의 모든 로그파일을 살펴보지는 못하지만 몇가지만 살펴보도록 하자.
다음은 /var/log의 디렉토리에 있는 로그파일과 로그디렉토리이다. 중요한 것 몇가지만 살펴보겠다.
[root@ciss9 log]# ls -l
total 4020
-rw-r--r-- 1 root root 12427 Sep 6 14:50 boot.log
-rw------- 1 root root 21890 Oct 12 13:20 cron
-rw-r--r-- 1 root root 6606 Sep 6 14:49 dmesg
drwxr-xr-x 2 root root 4096 Oct 10 04:02 httpd
-rw-r--r-- 1 root root 149796 Oct 14 01:55 lastlog
-rw------- 1 root root 5275 Oct 13 18:11 maillog
-rw------- 1 root root 408515 Oct 14 02:07 messages
-rw-r--r-- 1 root root 0 Oct 1 04:02 netconf.log
drwxrwxr-x 3 news news 4096 Oct 12 04:02 news
-rw------- 1 root root 0 Apr 6 1999 pacct
-rw------- 1 root root 0 Apr 6 1999 pacct
drwxr-xr-x 2 root root 4096 Oct 7 07:18 samba
-rw------- 1 root root 0 Apr 6 1999 savacct
-rw------- 1 root root 3314 Oct 14 01:55 secure
-rw-r--r-- 1 root root 616 Oct 13 18:11 sendmail.st
-rw------- 1 root root 0 Oct 10 04:02 spooler
drwxr-x--- 2 squid squid 4096 Apr 19 12:42 squid
-rw------- 1 root root 0 Apr 6 1999 usracct
drwxr-xr-x 2 uucp uucp 4096 Oct 10 04:02 uucp
-rw-rw-r-- 1 root utmp 38016 Oct 14 01:55 wtmp
-rw-rw-r-- 1 root utmp 76416 Sep 30 20:01 wtmp.1
-rw------- 1 root root 0 Oct 10 04:02 xferlog
● boot.log : 리눅스가 부팅이 될때 뿌려주는 모든 메시지를 기록하고 있다. 부팅시의 에러나 조치사항을 살펴보려면 이 파일을 참조해야 한다.
● cron : 시스템의 정기적인 작업에 대한 로그를 기록하고 있다.
/etc/밑에 있는 파일들중 cron.hourly, cron.daily, , cron.weekly cron.monthly 파일들은 각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동으로 작업해야할 것에 대한 작업을 저장하고 있으며 지정한 일시에 실행이 되며 이들 작업을 한 후에는 /var/log/cron파일에 기록을 남기게 된다.
● message : 운영체제에서 보내주는 실시간 로그를 관리하고 있으며 주로 콘솔로 이 메시지는 실시간으로 보여준다.
● secure : 시스템의 접속에 관한 로그파일로서 언제, 누가, 어디에서 어떻게 접속을 했는가에 대한 로그를 기록하고 있다. 시스템의 불법침입등이 있었다고 의심이 될 때는 반드시 이 로그파일을 확인해야 한다.
● xferlog : ftp로 로그인하는 사용자에 대한 로그를 기록하는 파일로서 /etc/ftpaccess에 그 설정파일을 가지면 ftp의 홈디렉토리는 /home/ftp이다.
이외에도 중요한 로그파일이 있는데 /var/spool에는 작업중에 일시적으로 저장되는 로그 및 작업들에 대한 기록이 남겨지는 곳으로 이중 메일에 관한 것만 살펴 보면 다음과 같다.
● /var/spool/mail
사용자들에 대한 메일을 보관하고 있는 디렉토리로서 메일을 한번이상 사용한 사용자는 사용자 계정 ID와 동일한 파일이 하나씩 존재한다. 메일을 읽은 후에 사용자의 메일디렉토리로 저장하거나 메일을 삭제했을 경우에는 이 파일에서 메일내용이 삭제된다.
이 디렉토리에 있는 파일을 보기위해 "elm -f ID"로 하면 사용자의 메일을 확인할 수 있다. 물론 이 작업은 root 권한만이 가능하며 시스템관리자라고 해서 사용자의 메일내용을 함부로 확인할 수 있는 권리는 없다.
[root@ciss9 mail]# ls -l
total 252
-rw-rw---- 1 news mail 236418 Oct 14 16:26 news
-rw------- 1 root root 6809 Oct 14 16:27 root
-rw-rw---- 1 shkim mail 514 Oct 7 22:13 shkim
-rw-rw---- 1 sspark mail 514 Oct 8 19:13 sspark
리눅스에서는 /var/log디렉토리에 시스템의 모든 로그를 기록 및 관리하고 있다. 시스템의 /etc/syslog.conf파일에는 거의 모든 시스템 로그파일들의 위치를 지정하고 있다. 여기서 리눅스의 모든 로그파일을 살펴보지는 못하지만 몇가지만 살펴보도록 하자.
다음은 /var/log의 디렉토리에 있는 로그파일과 로그디렉토리이다. 중요한 것 몇가지만 살펴보겠다.
[root@ciss9 log]# ls -l
total 4020
-rw-r--r-- 1 root root 12427 Sep 6 14:50 boot.log
-rw------- 1 root root 21890 Oct 12 13:20 cron
-rw-r--r-- 1 root root 6606 Sep 6 14:49 dmesg
drwxr-xr-x 2 root root 4096 Oct 10 04:02 httpd
-rw-r--r-- 1 root root 149796 Oct 14 01:55 lastlog
-rw------- 1 root root 5275 Oct 13 18:11 maillog
-rw------- 1 root root 408515 Oct 14 02:07 messages
-rw-r--r-- 1 root root 0 Oct 1 04:02 netconf.log
drwxrwxr-x 3 news news 4096 Oct 12 04:02 news
-rw------- 1 root root 0 Apr 6 1999 pacct
-rw------- 1 root root 0 Apr 6 1999 pacct
drwxr-xr-x 2 root root 4096 Oct 7 07:18 samba
-rw------- 1 root root 0 Apr 6 1999 savacct
-rw------- 1 root root 3314 Oct 14 01:55 secure
-rw-r--r-- 1 root root 616 Oct 13 18:11 sendmail.st
-rw------- 1 root root 0 Oct 10 04:02 spooler
drwxr-x--- 2 squid squid 4096 Apr 19 12:42 squid
-rw------- 1 root root 0 Apr 6 1999 usracct
drwxr-xr-x 2 uucp uucp 4096 Oct 10 04:02 uucp
-rw-rw-r-- 1 root utmp 38016 Oct 14 01:55 wtmp
-rw-rw-r-- 1 root utmp 76416 Sep 30 20:01 wtmp.1
-rw------- 1 root root 0 Oct 10 04:02 xferlog
● boot.log : 리눅스가 부팅이 될때 뿌려주는 모든 메시지를 기록하고 있다. 부팅시의 에러나 조치사항을 살펴보려면 이 파일을 참조해야 한다.
● cron : 시스템의 정기적인 작업에 대한 로그를 기록하고 있다.
/etc/밑에 있는 파일들중 cron.hourly, cron.daily, , cron.weekly cron.monthly 파일들은 각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동으로 작업해야할 것에 대한 작업을 저장하고 있으며 지정한 일시에 실행이 되며 이들 작업을 한 후에는 /var/log/cron파일에 기록을 남기게 된다.
● message : 운영체제에서 보내주는 실시간 로그를 관리하고 있으며 주로 콘솔로 이 메시지는 실시간으로 보여준다.
● secure : 시스템의 접속에 관한 로그파일로서 언제, 누가, 어디에서 어떻게 접속을 했는가에 대한 로그를 기록하고 있다. 시스템의 불법침입등이 있었다고 의심이 될 때는 반드시 이 로그파일을 확인해야 한다.
● xferlog : ftp로 로그인하는 사용자에 대한 로그를 기록하는 파일로서 /etc/ftpaccess에 그 설정파일을 가지면 ftp의 홈디렉토리는 /home/ftp이다.
이외에도 중요한 로그파일이 있는데 /var/spool에는 작업중에 일시적으로 저장되는 로그 및 작업들에 대한 기록이 남겨지는 곳으로 이중 메일에 관한 것만 살펴 보면 다음과 같다.
● /var/spool/mail
사용자들에 대한 메일을 보관하고 있는 디렉토리로서 메일을 한번이상 사용한 사용자는 사용자 계정 ID와 동일한 파일이 하나씩 존재한다. 메일을 읽은 후에 사용자의 메일디렉토리로 저장하거나 메일을 삭제했을 경우에는 이 파일에서 메일내용이 삭제된다.
이 디렉토리에 있는 파일을 보기위해 "elm -f ID"로 하면 사용자의 메일을 확인할 수 있다. 물론 이 작업은 root 권한만이 가능하며 시스템관리자라고 해서 사용자의 메일내용을 함부로 확인할 수 있는 권리는 없다.
[root@ciss9 mail]# ls -l
total 252
-rw-rw---- 1 news mail 236418 Oct 14 16:26 news
-rw------- 1 root root 6809 Oct 14 16:27 root
-rw-rw---- 1 shkim mail 514 Oct 7 22:13 shkim
-rw-rw---- 1 sspark mail 514 Oct 8 19:13 sspark