인용: 해킹사고의 재구성 - 최상용
wtmp, wtmpx
==> 사용자의 로그인/로그아웃 이력, 시스템의 셧다운/ 부팅 이력 등이 포함되어 있으며 last명령으로 내용 확인 가능
utmp, utmpx
==> 시스템에 현재 로그인한 사용자의 상태를 기록한 파일로 사용자 이름, 터미널 장치 이름, 원격 로그인 시 원격 호스트명, 사용자가 로그인한 시간 등이 기록되어 있으며, who,w, whodo, users, finger 등의 명령을 사용해 관련된 정보를 알아 낼 수 있다.
sulog
==> 사용자가 su라는 명령을 사용한 기록을 갖고 있으며, 날짜와 시간, 성공/실패 , 사용한 터미널 이름, from 사용자, to 사용자 등의 정보를 포함한다. 리눅스 시스템에서는 해당 로그가 messages 파일 또는 auth.log에 기록된다.
syslog, secure
==> 사용자 인증과 관련된 로그와 커널, 데몬에서 생성된 모든 로그를 포함. 특히 rsh,rlogin, ftp, finger, telnet, pop3 등에 대한 접속 기록과 접속 실패 기록 등이 남으며, /etc/syslog.conf 설정에 따라 달라진다. 또한 BOF 공격의 시도의 경우 관련된 로그가 남는 유일한 파일이다.
lastlog
==> 각 사용자가 가장 최근에 로그인한 시간과 접속 장소가 기록되는 파일로서, 사용자가 시스템에 로그인할 때 마다 갱신된다. 텍스타 파일 포맷임.
messages
==> 타임스탬프, 호스트명, 프로그램명, 메시지 내용 등이 기록되는데 메시지 내용에는 su 실패에 대한로그, 특정 데몬이 비활성화된 로그, 부팅 시 발생한 에러등 다양한 로그를 포함. syslog 프로세스에 의해 남는 로그로 /etc/syslog.conf에 어떻게 설정되어 있느냐에 따라 남는 정보의 종류가 달라진다. syslog와 마찬가지로 보안사고 발생 시 가장 먼저 분석해야 하는 파일이다.
history
==> 사용자가 한 작업을 알 수 있다. 쉘에 따라 .sh_history, .history, .bash_history 등의 파일로 기록
'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글
| [Elasticsearch] 기초 컨셉 (0) | 2015.10.19 |
|---|---|
| [Elasticsearch] Logstash와 Elasticsearch의 연동 (0) | 2015.10.19 |
| Access Log 관련 (0) | 2015.10.16 |
| 해킹사고의 취약점과 관련된 로그 (0) | 2015.10.16 |
| elasticsearch로 로그 검색 시스템 만들기 (0) | 2015.10.15 |