[정보보안기사 필기]리눅스 로그 파일

utmp 로그 파일

- 현재 로그인한 사용자의 상태정보를 담고 있는 로그 파일

- 위치 : /var/run/utmpwtmp 로그파일
- 명령어 : "w", "who", "finger"등의 명령어로 확인할 수 있다.

wtmp 로그파일

- 사용자의 성공한 로그인/로그아웃, 시스템의 Boot/Shutdown 정보에 대한 히스토리를 담고 있는 로그
- 위치 : /var/log/wtmp
- 명령어: "last"명령어로 확인할 수 있다.

 

btmp 로그 파일

- 실패한 로그인 시도에 대한 기록을 담고있는 파일
- 위치 : /var/log/btmp
- 명령어 :"lastb"명령어를 통해 확인할 수 있다.

 

lastlog파일

- 가장 최근에 성공한 로그인 기록을 담고 있는 로그 파일
- 위치 : /var/log/lastlog
- lastlog 명령어

           모든 계정의 최근 접속 기록을 확인할 수 있다.

           "-u 계정명" 옵션으로 사용자를 지정하여 확인할 수 있다.

           "-t 일수" 옵션으로 해당 일수 이내에 접속한 기록을 확인할 수 있다.

 

history 로그 파일

- 각 계정별로 실행한 명령어에 대한 기록을 저장한 파일

- 각 계정별 홈 디렉토리에 존재

- ".쉘 종류_history" 형식의 텍스트 파일로 생성되며 "history"명령어를 통해 확인 가능

 

xferlog 로그 파일

- 리눅스 시스템의 FTP 로그 파일로서 proftpd, vsftpd 데몬들의 서비스 내역을 기록하는 파일

- FTP로 로그인하는 사용자에 대한 기록과 어떤 파일을 업로드/다운로드 했는지 기록된다.

- 위치 : /var/log/xferlog

 

cron 로그 파일

- 시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대하여 기록하고 있는 파일

- /etc 디렉토리에 cron.hourly, cron.daily, cron.weekly, cron.monthly 들의 디렉터리들은 각각 시간별, 일별, 주별, 월별로

정기적으로 운영체제에서 자동 실행할 작업 스크립트 파일들이 존재하고 있다.

- 위치 : /var/log/cron

- crontab은 분, 시, 일, 월 순으로 설정

 

acct/pacct 로그 파일
- acct/pacct 로그 파일은 시스템에 로그인한 모든 사용자가 로그아웃할 때까지 입력한 명령어와
터미널의 종류, 프로세스 시작 시간 등을 저장한 로그이다.

 

messages 로그 파일

- 리눅스 시스템의 가장 기본적인 시스템 로그 파일로 시스템 운영에 대한 전반적인 메세지를 저장

- 주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보, TCP Wrapper 접근 제어 정보 등을 저장

- 위치 : /var/log/messages

 

답은 드레그

1. 리눅스/유닉스 시스템에서 로그를 확인하는 명령어나 로그파일 과 가장 거리가 먼 것은? 4

• ① wtmp
• ② history
• ③ pacct
• ④ find

2. 분석 시 사용될 수 있는 명령어에 대하여 잘못 나열한 것은? 3

• ① secure - 사용자 원격접속 정보 - text file - grep
• ② utmp - 현재 로그인 사용자 정보 - binary file - who
• ③ pacct - 사용자별 명령 실행 정보 - text file - history
• ④ wtmp - 최근 로그인 및 접속 호스트 정보 - binary file- last

3. 사용자 로그인과 로그아웃 정보를 누적하여 저장하는 파일은? 2

• ① utmp
• ② wtmp
• ③ lastlog
• ④ xferlog

4. 바르지 않은 것은? 4

• ① wtmp: 사용자들이 로그인, 로그아웃한 정보를 가지고 있다.
• ② pacct: 사용자가 로그인한 후부터 로그아웃할 때까지의 입력한 명령과 시간, 작동된 tty 등에 대한 정보를 가지고 있다.
• ③ utmp: 시스템에 현재 로그인한 사용자들에 대한 상태 정보를 가지고 있다.
• ④ btmp: 사용자별로 가장 마지막에 로그인한 시간과 접속 IP, tty 등에 대한 정보를 가지고 있다.

5. 다음 중 ‘lastb’라는 명령을 통하여 로그를 살펴볼 수 있는 로그 파일명은?2

• ① utmp
• ② btmp
• ③ dmGsg
• ④ secure

5.매일 8시 30분에 /usr/logrepost.sh를 실행하고 크론을 설정하고자 한다 다음중 가장 올바른것은?2

• ① * * * 08 30 /usr/logrepost.sh
• ② 30 08 * * * /usr/logrepost.sh
• ③ 08 30 * * * exec /usr/logrepost.sh
• ④ * 08 30 * * exec /usr/logrepost.sh

6. 다음은 Crontab 에 대한설명이다 틀린것은?2

• ① /etc/crontab 파일에 작업을 설정한다
• ② crontab 에 대한 로그는 /etc/default/cron 파일에 저장한다
• ③ 주간 월간 단위로 일자를 지정하여 실행한다
• ④ 정기적으로 작업을 실행할 수 있다

7.  리눅스의 var/log/messages 설명으로 가장 적절한 것은 4

• ① 특정 사용자의 로그를 기록한다
• ② root 사용자를 위한 로그 정보를 기록한다
• ③ 백업로그를 기록한다
• ④ 시스템 메시지 로그이며 브트 프로세스에서 발생한 커널 메시지 및 기타 커널 상태 메시지를 저장한다