[Day 54] syslog

syslog

• 유닉스/리눅스 시스템에서는 syslog API를 통해 커널 및 응용 프로그램에서 발생하는 로그를 체계적으로 생성하고 관리함
• 커널 및 응용 프로그램이 syslog API를 통해 로그를 생성하면 syslogd 데몬 프로세스가 syslogd.conf 설정파일을 참조하여 지정한 로그파일이나 콘솔, 원격로그서버에 로그를 기록함
• syslogd.conf에서 로그파일의 저장위치, 파일명, 로그레벨을 변경할 수 있음

 

/etc/syslog.conf 

• 시스템 로그 데몬(syslogd)이 실행될 때 참조되는 로그설정 파일
• 어떤 로그를 어디에 남길지 로그 저장규칙이 정의되어 있음

A서비스(데몬)에 대하여 B 로그 레벨 이상의 상황이 발생한 경우, C의 형식(파일, 콘솔, 원격로그서버 등)으로 로그를 남기라는 의미

 

facility : 로그 생성 서비스

facility	설명
*	모든 서비스
auth authpriv	인증 및 보안 관련 메시지
cron	cron 데몬, atd 데몬에 의해 발생되는 메시지
daemon	telnet, ftp 등과 같은 데몬에 의해 발생되는 메시지
kern	kernel에 의해 발생하는 메시지
lpr	프린터 데몬에서 의해 발생하는 메시지
mail	메일 시스템에서 발생하는 메시지
news	뉴스시스템에서 발생하는 메시지
uucp	uucp에 의한 메시지
syslog	syslogd 에 의해 발생하는 메시지
local0~local7	시스템 부팅 메시지, 기타 여분 서비스에 사용하기 위한 용도

 

priority : Log Level

• facility에 로그 수준 지정하게 되면 해당 수준 이상의 로그가 전부 남게됨

Priority (단축어)	설명
Emergency (emerg)	시스템 전면 중단 system is unuable
alert (alert)	즉각적인 조치가 필요한 상황 action must be taken immediately
Critical (crit)	하드웨어 등의 심각한 오류 발생 critical condition
Error (err)	일반적인 오류 발생 error condition
Warning (warning)	경고 메시지 warning condition
Notice (notice)	오류는 아니지만 관리자의 조치 필요 normal, but significant condition
Information (info)	의미있는 정보 관련 메시지 information message
Debug (debug)	디버깅용 메시지 debug-level message

 

action : logfile-location

• 로그를 어디에 남길지 결정. 로그파일, 콘솔, 원격로그서버, 특정 사용자 등에 로그를 남길 수 있음
  • 로그 파일 : 파일경로 지정(ex. /var/log/secure)
  • 콘솔 출력: /dev/console
  • 원격 로그 서버 : @호스트 주소
  • user : 지정된 사용자의 스크린으로 메시지 발송(ex. Root)
  • * : 현재 로그인한 모든 사용자의 스크린으로 메시지 발송

 

syslog.conf 설정 예시

*.info;mail.none;authpriv.none;cron.none     /var/log/messages	모든 서비스에 대한 info 수준 이상의 로그를 /var/log/messages 로그 파일에 기록하되 mail, authpriv, cron 서비스에 대한 로그는 기록하지 않음(none)
cron.*   /var/log/cron	crond 데몬과 atd 데몬에 의해 발생되는 모든 수준의 로그를 /var/log/cron 로그파일에 기록
*.emerg   *	모든 서비스의 emerg 수준 이상의 로그를 모든 사용자(*)에게 보냄

 

 

---

※참고

알기사 정보보안기사 실기 교재