로그_관리

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
로그_관리 [2022/01/07 01:48] fatp11th로그_관리 [2022/01/18 01:12] (현재) – [정책에 따른 시스템 로깅 설정] fatp11th
줄 14: 줄 14:
  2. sulog를 확인하여 허용된 계정 외에 su 명령어를 통해 권한상승을 시도하였는지 검토  2. sulog를 확인하여 허용된 계정 외에 su 명령어를 통해 권한상승을 시도하였는지 검토
  3. xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토  3. xferlog를 확인하여 비인가자의 ftp 접근 여부를 검토
 +
 Step 2) 로그 분석에 대한 결과 보고서 작성 Step 2) 로그 분석에 대한 결과 보고서 작성
 +
 Step 3) 로그 분석 결과보고서 보고 체계 수립 Step 3) 로그 분석 결과보고서 보고 체계 수립
 \\ \\
줄 26: 줄 28:
  
 점검방법 점검방법
-Step 1) vi 편집기를 이용하여 /etc/syslog.conf” 파일 열기 +Step 1) vi 편집기를 이용하여 ''/etc/rsyslog.conf'' 파일 열기 
- #vi /etc/syslog.conf +<WRAP prewrap> 
- ※ CentOS 6.x 이상 버전의 로그파일명: rsyslog.conf+<code bash> 
 + #vi /etc/rsyslog.conf 
 +</code> 
 +</WRAP>
  
 Step 2) 아래와 같이 수정 또는, 신규 삽입 Step 2) 아래와 같이 수정 또는, 신규 삽입
 +<WRAP prewrap>
 +<code vim>
 *.info;mail.none;authpriv.none;cron.none     /var/log/messages *.info;mail.none;authpriv.none;cron.none     /var/log/messages
 authpriv.*                                   /var/log/secure authpriv.*                                   /var/log/secure
줄 37: 줄 44:
 *.alert                                      /dev/console *.alert                                      /dev/console
 *.emerg                                      * *.emerg                                      *
 +</code>
 +</WRAP>
  
-Step 3) 위와 같이 설정 후 SYSLOG 데몬 재시작 +Step 3) 위와 같이 설정 후 RSYSLOG 데몬 재시작 
- #ps –ef | grep syslogd +<WRAP prewrap> 
- root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/syslogd+<code bash> 
 + #ps –ef | grep rsyslogd 
 + root 7524 6970 0 Apr 23 - 0:02 /usr/sbin/rsyslogd
  #kill –HUP [PID]  #kill –HUP [PID]
 +</code>
 +</WRAP>
  
 서비스 데몬 종류 서비스 데몬 종류
-메시지         설명 + 
-auth          로그인 등의 인증 프로그램 유형이 발생한 메시지 +^메시지       ^설명                                               ^ 
-authpriv      개인 인증을 요구하는 프로그램 유형이 발생한 메시지 +|auth         | 로그인 등의 인증 프로그램 유형이 발생한 메시지     | 
-cron          cron, at 데몬에서 발생한 메시지 +|authpriv     | 개인 인증을 요구하는 프로그램 유형이 발생한 메시지 | 
-daemon        telnet, ftpd 등과 같은 데몬이 발생한 메시지 +|cron         | cron, at 데몬에서 발생한 메시지                   |   
-kern          커널이 발생한 메시지 +|daemon       | telnet, ftpd 등과 같은 데몬이 발생한 메시지       | 
-lpr           프린터 유형의 프로그램이 발생한 메시지 +|kern         | 커널이 발생한 메시지                              | 
-mail          메일 시스템에서 발생한 메시지 +|lpr          프린터 유형의 프로그램이 발생한 메시지            | 
-news          유즈넷 뉴스 프로그램 유형이 발생한 메시지 +|mail         | 메일 시스템에서 발생한 메시지                     | 
-syslog        syslog 프로그램 유형이 발생한 메시지 +|news         | 유즈넷 뉴스 프로그램 유형이 발생한 메시지         | 
-user          사용자 프로세스 관련 메시지 +|syslog       | syslog 프로그램 유형이 발생한 메시지               
-uucp          시스템이 발생한 메시지 +|user         | 사용자 프로세스 관련 메시지                       | 
-local0        여분으로 남겨둔 유형+|uucp         | 시스템이 발생한 메시지                             
 +|local0       | 여분으로 남겨둔 유형                              |
  
 메시지 우선순위 메시지 우선순위
-등급       메시지               설명 + 
-4 (높음)   Emergency [emerg]    매우 위험한 상황 +^등급       ^메시지               ^설명 ^ 
-3          Alert [alert]        즉각적으로 조치를 취해야 할 상황 +|4 (높음)   |Emergency [emerg]    |매우 위험한 상황| 
-2          Critical [crit]      하드웨어 등의 심각한 오류가 발생화 상황 +|3          |Alert [alert]       | 즉각적으로 조치를 취해야 할 상황| 
-1          Error [err]          에러 발생 시 +|2          |Critical [crit]     | 하드웨어 등의 심각한 오류가 발생화 상황| 
-0          Warnnig [warning]    주의를 요하는 메시지 +|1          |Error [err]         | 에러 발생 시| 
--1         Notice [notice]      에러가 아닌 알림에 관한 메시지 +|0          |Warnnig [warning]   | 주의를 요하는 메시지| 
--2         Information [info]   단순한 프로그램에 대한 정보 메시지 +|-1         |Notice [notice]     | 에러가 아닌 알림에 관한 메시지| 
--3 (낮음)  Debug [debug]        프로그램 실행 오류 발생 시+|-2         |Information [info]  단순한 프로그램에 대한 정보 메시지| 
 +|-3 (낮음)  |Debug [debug]       | 프로그램 실행 오류 발생 시|
  
  • 로그_관리.1641520098.txt.gz
  • 마지막으로 수정됨: 2022/01/07 01:48
  • 저자 fatp11th