[Linux] 리눅스 주요 로그 파일 정리

 

 

utmp 로그 파일

 

   - 현재 로그인한 사용자의 상태정보를 담고 있는 로그 파일

   - binary 파일로 되어 있으며 "w", "who", "finger"등의 명령어로 확인할 수 있다.

   - 위치 : /var/run/utmp

   - "w" 명령어

USER : 로그인 계정, TTY : 터미널 장치 명, FROM : 원격 호스트 주소, LOGIN@ : 로그인한 시간    

IDLE : 아무 입력도 수행하지 않은 idle 시간, WHAT : 현재 수행하는 작업(명령어)

 

[root@localhost ~]# w 09:54:40 up 22 min,  4 users,  load average: 0.26, 0.18, 0.18USER     TTY      FROM                 LOGIN@      IDLE     JCPU      PCPU   WHATroot     :0       :0                   09:36       ?xdm?     1:15     0.16s   /usr/libexec/gnroot     pts/0    :0                   09:37       8:56      0.22s    0.22s   bashroot     pts/1    :0                   09:44       0.00s     0.14s    0.01s   wuser01   pts/2    192.168.56.201       09:54       8.00s     0.05s    0.05s   -bash[root@localhost ~]# [root@localhost ~]# whoroot     :0           2018-08-22 09:36 (:0)root     pts/0        2018-08-22 09:37 (:0)root     pts/1        2018-08-22 09:44 (:0)user01   pts/2        2018-08-22 09:54 (192.168.56.201)

 

wtmp 로그파일

 

   - 사용자의 성공한 로그인/로그아웃, 시스템의 Boot/Shutdown 정보에 대한 히스토리를 담고 있는 로그파일

   - binary 파일로 되어 있으며 "last"명령어로 확인할 수 있다.

   - 위치 : /var/log/wtmp

   - "last" 명령어

인자값 없이 실행하면 모든 계정에 대한 로그인/로그아웃 정보를 출력한다. 특정 계정에 대한 로그인/로그아웃 정보를 보려면 "last [ USER ]" 형식으로 실행한다

순서대로 계정명, 터미널 타입, 접속 주소, 로그인 시간, 로그아웃 시간

reboot 사용자를 통해 Boot 정보를 알 수 있다. 

 

last user01user01   pts/2        192.168.56.201   Wed Aug 22 09:54   still logged in   user01   pts/2        192.168.56.201   Wed Aug 22 09:54 - 09:54  (00:00)    user01   pts/2        localhost          Wed Aug 22 09:44 - 09:46  (00:02)    user01   pts/0        :1                   Tue Jul  3 15:32 - 16:44  (01:11)    user01   :1            :1                    Tue Jul  3 15:32 - crash  (01:19)
last rebootreboot   system boot  3.10.0-862.9.1.e Wed Aug 22 09:32 - 09:56  (00:24)    reboot   system boot  3.10.0-862.9.1.e Wed Aug 22 09:08 - 09:56  (00:47)    reboot   system boot  3.10.0-862.9.1.e Mon Aug 20 16:44 - 09:56 (1+17:11)   reboot   system boot  3.10.0-862.9.1.e Fri Aug 17 10:24 - 09:56 (4+23:31)   reboot   system boot  3.10.0-862.9.1.e Mon Aug 13 17:37 - 09:56 (8+16:18)   reboot   system boot  3.10.0-862.9.1.e Mon Aug  6 15:04 - 09:56 (15+18:52)

 

lastlog파일

 

   - 가장 최근에 성공한 로그인 기록을 담고 있는 로그 파일

   - binary파일로 되어 있으며 "lastlog"를 통해 확인 가능

   - 위치 : /var/log/lastlog

   - lastlog 명령어

모든 계정의 최근 접속 기록을 확인할 수 있다.

"-u 계정명" 옵션으로 사용자를 지정하여 확인할 수 있다.

"-t 일수" 옵션으로 해당 일수 이내에 접속한 기록을 확인할 수 있다. 

 

lastlog -t 5사용자이름          포트     어디서              최근정보root               :0                          수  8월 22 09:36:34 +0900 2018user01             pts/2    192.168.56.201     수  8월 22 09:54:29 +0900 2018gdm                :0                          수  8월 22 09:32:24 +0900 2018

 

btmp 로그 파일

   - 실패한 로그인 시도에 대한 기록을 담고있는 파일

   - binary파일로 되어 있으며 "lastb"명령어를 통해 확인할 수 있다.

   - 위치 : /var/log/btmp

 

lastb

user01   ssh:notty    192.168.56.201   Wed Aug 22 09:59 - 09:59  (00:00)    

user01   ssh:notty    192.168.56.201   Wed Aug 22 09:59 - 09:59  (00:00)    

user01   ssh:notty    localhost           Wed Aug 22 09:44 - 09:44  (00:00)

 

history 로그 파일

 

   - 각 계정별로 실행한 명령어에 대한 기록을 저장한 파일

   - 각 계정별 홈 디렉토리에 존재

   - ".쉘 종류_history" 형식의 텍스트 파일로 생성되며 "history"명령어를 통해 확인 가능

 

secure 로그 파일

 

   - 주로 사용자/그룹 생성/삭제, 로그인 등의 사용자 인증에 대한 정보를 기록하고 있는 로그파일

   - 원격에서 접속한 내역과 su명령을 수행한 내역 등이 저장된다.

   - 위치 : /var/log/secure

 

messages 로그 파일

 

   - 리눅스 시스템의 가장 기본적인 시스템 로그 파일로 시스템 운영에 대한 전반적인 메세지를 저장

   - 주로 시스템 데몬들의 실행상황과 내역, 사용자들의 접속정보, TCP Wrapper 접근 제어 정보 등을 저장

   - 위치 : /var/log/messages

 

dmesg 로그 파일

 

   - 리눅스가 부팅될 때 출력되는 모든 메세지를 기록

   - 부팅 시의 에러나 조치사항을 살펴보려면 이 파일을 참조

   - 텍스트 형식의 로그파일을 보거나 dmesg명령을 통해 내용을 확인할 수 있다.

   - 위치 : /var/log/dmesg

 

boot.log 로그 파일

 

   - 리눅스가 부팅될 때 파일 시스템에 대한 체크, 서비스 데몬들의 실행 상태 등을 기록

   - 성공 / 실패 여부가 기록됨

   - 위치 : /var/log/boot.log

 

xferlog 로그 파일

 

   - 리눅스 시스템의 FTP 로그 파일로서 proftpd, vsftpd 데몬들의 서비스 내역을 기록하는 파일

   - FTP로 로그인하는 사용자에 대한 기록과 어떤 파일을 업로드/다운로드 했는지 기록된다.

   - 위치 : /var/log/xferlog

 

cron 로그 파일

 

   - 시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대하여 기록하고 있는 파일

   - /etc 디렉토리에 cron.hourly, cron.daily, cron.weekly, cron.monthly 들의 디렉터리들은 각각 시간별, 일별, 주별, 월별로 

     정기적으로 운영체제에서 자동 실행할 작업 스크립트 파일들이 존재하고 있다.

   - 위치 : /var/log/cron

 

mail 로그 파일

 

   - 사용자들에 대한 메일을 보고나하고 있는 디렉터리로서 메일을 한번 이상 사용한 사용자는 사용자 계정 ID와 동일한 

     파일이 하나씩 존재한다.

   - 사용자 계정 생성 시에 /var/spool/mail 디렉토리 내에 생성하는 계정명과 동일한 메일 파일이 생성된다. 

   - 메일을 읽은 후에 사용자의 메일 디렉터리로 저장하거나 삭제했을 경우에는 이 파일에서 내용이 삭제된다.

   - 위치 : /var/spool/mail

 

maillog 로그 파일

 

   - sendmail 또는 qmail 등과 같은 메일 송수신 관련 내역들과 ipop 또는 imap 등과 같은 수신 내역들을 기록

   - 메일에 관련된 거의 모든것을 기록

   - 위치 : /var/log/maillog