로그(Log)의 개념
- 로그란 시스템 사용에 대한 모든 내역을 기록해 놓은 것으로, 이러한 로그 정보를 이용하면 시스템 침해 사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있다.
- 로그 정보를 정기적으로 분석하면 시스템에 대한 침입 흔적이나 취약점을 확인할 수 있다.
리눅스(LINUX) 로그
- 리눅스에서는 시스템의 모든 로그를 var/log 디렉터리에서 기록하고 관리한다.
- 로그 파일을 관리하는 syslogd 데몬은 etc/syslog.conf 파일을 읽어 로그 관련 파일들의 위치를 파악한 후 로그 작업을 시작한다.
- syslog.conf 파일을 수정하여 로그 관련 파일들의 저장 위치와 파일명을 변경할 수 있다.
리눅스의 주요 로그 파일
- 리눅스에서는 커널 로그, 부팅 로그, 크론 로그, 시스템 로그, 보안 로그, FTP 로그, 메일 로그 등을 기록하고 관리한다.
로그 데몬 파일명 내용 커널 로그 kernel /dev/console 커널에 관련된 내용을 관리자에게 알리기 위해 파일로 저장하지 않고 지정된 장치에 표시한다. 커널 로그 kernel var/log/wtmp - 성공한 로그인/로그아웃에 대한 로그를 기록한다.
- 시스템의 시작/종료 시간에 대한 로그를 기록한다.커널 로그 kernel var/run/utmp 현재 로그인한 사용자의 상태에 대한 로그를 기록한다. 커널 로그 kernel var/log/btmp 실패한 로그인에 대한 로그를 기록한다. 커널 로그 kernel var/log/lastlog 마지막으로 성공한 로그인에 대한 로그를 기록한다. 부팅 로그 boot /var/log/boot 부팅 시 나타나는 메시지들을 기록한다. 크론 로그 crond /var/log/cron 작업 스케줄러인 crond의 작업 내역을 기록한다. 시스템 로그 syslogd /var/log/messages 커널(Kernel)에서 실시간으로 보내오는 메시지들을 기록한다. 보안 로그 xinetd /var/log/secure 시스템의 접속에 대한 로그를 기록한다. FTP 로그 ftpd /var/log/xferlog FTP로 접속하는 사용자에 대한 로그를 기록한다.
윈도우(Windows) 로그
- Windows 시스템에서는 이벤트 로그 형식으로 시스템의 로그를 관리한다.
- Windows의 이벤트 뷰어를 이용하여 이벤트 로그를 확인할 수 있다.
- Windows의 이벤트 뷰어는 [제어판] → [관리 도구] → [이벤트 뷰어]를 선택하여 실행한다.
Windows 이벤트 뷰어의 로그 로그
- Windows 이벤트 뷰어에서는 응용 프로그램 로그, 보안 로그, 시스템 로그, Setup 로그, Forwarded Events 로그를 확인할 수 있다.
- 응용프로그램
- 응용 프로그램에서 발생하는 이벤트가 기록된다.
- 기록되는 이벤트는 응용 프로그램 개발자에 의해 결정된다.
- 보안
- 로그온 시도, 파일이나 객체 생성, 조회, 제거 등의 리소스 사용과 관련된 이벤트가 기록된다.
- 시스템
- Windows 시스템 구성 요소에 의해 발생하는 이벤트가 기록된다.
- Setup
- 프로그램 설치와 관련된 이벤트가 기록된다.
- Forwarded Events
- 다른 컴퓨터와의 상호 작용으로 발생하는 이벤트가 기록된다.
alpaka의 자격증 공부장