klogd syslogd

 Linux Server에서는 기본적으로 두가지 로그가 있다.

① 커널 로그 : kernel messages 라고 하는 것으로 klogd 라는 데몬에 의해 생성

② 시스템로그 : syslogd 데몬에 의해 생성되는 서비스로그

• klogd와 syslogd의 위치를 보려면 which 명령어를 사용하여 확인하면 된다.

# which klogd   /sbin/klogd   # which syslogd   /sbin/syslogd

• /var/log 디렉토리에서 시스템의 모든 로그를 기록 및 관리를 한다.

• /etc/syslog.conf 파일에서 시스템 로그파일들의 위치를 지정하고 syslogd가 실행이 될때 참조되는 로그파일 설정파일이다.

• /var/log 디렉토리에서 주요한 로그파일들을 살펴보자.

① /var/log/dmesg : 리눅스가 부팅이 될때 출력되는 모든 메시지를 기록하고 있다.

                                부팅시의 에러나 조치사항 등이 기록된다.

                                dmesg 라는 명령어로도 확인이 가능하다.

② /var/log/cron : 시스템의 정기적인 작업에 대한 로그, 즉 시스템 cron 작업에 대한 기록하고 있는 파일

/etc/디렉토리에는 cron.hourly, cron.daily, cron.monthly 디렉토리들이 있는데 이는 각각 시간별, 일별, 주별, 월별로 정기적으로 운영체제에서 자동실행할 작업스크립트 파일들이 존재하고 있다.

이들 크론작업의 실행에 관련된 내용들이 모두 이 로그파일(/var/log/cron)에 기록된다. 

③ /var/log/messages : 리눅스 시스템의 가장 기본적인 시스템로그파일. 시스템 운영에 대한 전반적인 메시지를 저장하고 있다.

주로 시스템 데몬들의 실행상황과 내역, 그리고 사용자들의 접속정보등의 로그기록내역을 기록하고 있다.

④ /var/log/secure : 원격로그인 정보를 기록하고 있는 로그파일

언제, 누가, 어디에서, 어떻게 접속했는가에 대한 로그를 기록하고 있다.

sshd데몬과 su 관련 실행, telnet 관련 원격접속 등이 기록된다.

⑤ /var/log/xferlog : 리눅스 시스템의 FTP 로그파일로서 proftpd 또는 vsftpd 데몬들의 서비스내역을 기록하는 파일

⑥ /var/log/maillog : sendmail 또는 qmail 등과 같은 메일송수신관련 내역들과 ipop 또는 imap 등과 같은 수신내역들에 대하여 기록

• /etc/syslog.conf 파일은 각각의 로그파일들이 어디에 남겨지는가에 대하여 설명되어 있다. 형식을 보면

형식 : facility.priority; facility.priority                                                logfile-location                     A         B             A          B                                                                              C    → A 서비스(데몬)에 대하여 B의 경우에 해당하는 상황이 발생하였을 때에 C 로그파일에 그 기록을 남겨라

facility : 서비스 이름

priority : 메시지의 우선순위를 의미

• syslogd에서 사용하는 facility의 종류와 의미

*           : 모든 서비스를 의미

auth       : 로그인과 같이 사용자 인증에 과한 메시지

authpriv : 보안 및 승인에 관한 메시지

cron      : crond 데몬과 atd 데몬에 의해 발생되는 메시지

daemon : telnet, ftp 등과 같은 데몬에 의한 메시지

kern       : kernel 에 의한 메시지로서 커널메시지라고함

lpr          : 프린터데몬인 lpd에 의해 발생되는 메시지

mail        : sendmail 또는 pop 또는 qmail 등의 메일에 의해 발생되는 메시지

news      : innd 등과 같은 뉴스시스템에 의해 발생되는 메시지

uucp       : uucp에 의한 시스템에 의한 메시지

user       : 사용자에 의해 생성된 프로세스

syslog    : syslogd에 의해 발생되는 메시지

local0~local7 : 시스템부팅 메시지 기록, 기타 여분서비스에 사용하기 위함

• syslogd에서 사용하는 priority의 종류와 의미

*           : 발생하는 모든 상황에 대한 메시지

debug   : 최하위, 디버깅관련 메시지

info       : 단순한 프로그램에 대한 정보 및 통계관련 메시지

notice   : 에러가 아닌 알림에 관한 메시지

warning : 주의를 요하는 메시지

err        : 에러가 발생한 상황의 메시지

crit        : 급한상황은 아니지만 치명적인 시스템 문제발생 상황의 메시지

alert      : 즉각적인 조치를 취해야하는 상황의 메시지

emerg   : 최상위, 매우 위험한 상황의 메시지, 전체공지가 요구되는 메시지

none     : 어떠한 경우라도 메시지를 저장하지 않음.

• 커널로그데몬과 시스템로그데몬 컨트롤 하기

/etc/rc.d/init.d/syslog 라는 스크립트 파일을 이용하여 시작/재시작/종료가 가능하다.   # /etc/rc.d/init.d/syslog restart   # /etc/rc.d/init.d/syslog stop   # /etc/rc.d/init.d/syslog start

• 로그모니터링하기 : 로그의 갱신상황이 계속 뜬다.

# tail -f [로그파일절대경로]

• syslogd 버전 확인

# syslogd -v

• 서버의 로그파일을 그대로 방치할 경우 파일시스템풀(Filesystem full)이 생길 수 있다. Filesystem full이란 할당된 디스크공간에 여유공간이 모자란다는 의미이다. 그러므로 로그파일을 잘 관리해야한다.