로그, syslog , /etc/rsylog.conf , /etc/logrotate.conf
로그파일
→운영체제와 애플리케이션이 실행하는 동안 발생한 모든 오류 및 보안 경고 등 여러 이벤트에 대한 정보를 일련의 규칙에 따라 저장한다.
→시스템 보안 운영자는 시스템이 공격받았는지, 실제로 무슨 일이 발생했는지, 누구인지 등을 알아내기 위해 로깅 함수를 관리하는 방법 알아야 함.
syslog데몬
→ 리눅스는 이 데몬을 이용하여 컴퓨터의 이벤트를 자동으로 기록함.
/etc/rsyslog.conf
→ 아래를 조금 내리다보면 rules섹션이 있다.
→이는 리눅스가 무엇을 자동으로 기록할지에 대한 규칙을 설정할수있음
→이를 통해 무엇이 어디에 기록되는지 찾을 수 있으며, 결과적으로 이들을 얻거나 삭제 가능
- facility키워트는 mail,kernel,lpr같이 메시지를 기록할 프로그램을 가르킴.
- auth,authpriv : 보안/인증메시지
- cron : 시간 데몬
- daemon : 기타 데몬
- kern : 커널 메시지
- lpr : 프린트 시스템
- mail : 메일 시스템
- user : 일반 사용자 수준 메시지
- priority키워드는 해당 프로그램을 위해 어떤 종류의 메시지를 기록할지 정함
- 여기서 어떤 종류의 메시지는 debug부터 시작하여 낮은 우선순위부터 높은 순위인 panic 으로 나열됨
- 만약 우선순위가 *이면 모든 우선순위의 메시지가 기록됨
- 만약 alert코드로 지정시 alert와 이보다 상위 우선순위로 지정된 메시지를 기록함
- debug , info , notice , earning , warn , error , err , crit , alert , emerg , panic존재
- 여기서 어떤 종류의 메시지는 debug부터 시작하여 낮은 우선순위부터 높은 순위인 panic 으로 나열됨
- action키워드는 보통 로그가 보내져야 할 위치 및 파일임
/etc/logrotate.conf
→ 로그를 자동으로 정리하기 위한 설정 파일
여기에서 weekly는 주간이라는 의미, 거기에 rotate 4이니 4주마다 로그를 순환하는 것을 의미
→ 만약 매주 로그 파일을 점검 or 저장 공간을 절약하고 싶다면 rotate 1과 같이 주면 됨
순서대로 순환한다
활동 로그 삭제 방법
-로그 파일을 열어서 한 줄씩 삭제 → 이는 많은 시간이 요구됨. 로그 파일에 시간 간격이 생기니 이를 의심 가능
-그나마 나은 방법은 파쇄shred하는 것이다.
→ shred는 기본적으로 4번을 덮어쓴다. 많이 덮어쓸수로 복구가 어려움. 하지만 파일이 클 경우 덮어쓰기 시간이 많이 소요됨
-f는 파일의 권한 변경이 필요한 경우 덮어쓸수있게 파일의 권한을 변경함
-n 은 덮어쓸 횟수를 선택한다.
로깅 데몬 멈추기