[Server] 로그 분석 방법
서버 로그 분석
서비스 개발을 하다보면, 장애나 이슈가 발생할 수도 있고 또한 허용되지 않은 사용자가 접근할 수도 있습니다. 이때 보통 서버의 로그를 분석하는 경우가 있는데 이에 대해 정리합니다.
해당 게시글에서는 리눅스 서버와 윈도우 서버에 대해 정리합니다.
Linux 서버
일반적으로 Linux / Unix 기반의 대부분 서버의 로그 파일은 "/var/log"에 저장됩니다. 대부분이 text 방식으로 저장되며 *.log
의 형식을 지니고 있습니다.
일반적으로 cat
, less
명령어를 사용해서 확인하고, *.gz
파일의 경우는 zcat
을 통해서 압축을 풀지않고 확인할 수 있습니다. 텍스트 형식이 아닌 log 파일 들은 특정 명령어를 사용해서 확인해야합니다.
Linux Log File
핵심 로그파일은 다음과 같습니다.
로그이름 | 로그 파일명 | 설명 | 관련 데몬 |
---|---|---|---|
커널 log | /dev/console |
콘솔에 뿌려지는 로그 | kernel |
시스템 log | /var/log/messages |
리눅스 커널로그 및 주 로그 | sysload |
보안 log | /var/log/secure |
보안 인증 관련 로그 | xinetd |
메일 log | /var/log/maillog |
메일 로그 | sendmail popper |
크론 log | /var/log/cron |
crond에 의한 로그 | crond |
부팅 log | /var/log/boot.log |
시스템 부팅시의 로그 | kernel |
커널 부트 메시지 log | /var/dmesg |
부팅될 당시의 각종 메시지들 저장 | kernel |
커널 log | /var/log/wtmp |
시스템 전체 로그인 기록 저장 | kernel |
커널 log | /var/log/utmp |
현재 로그인 사용자에 대한 기록, 사용자 ip를 저장 | kernel |
FTP log | /var/log/xferlog |
ftp 로그 | ftp |
웹 log | /var/log/httpd/access_log |
아파치(웹서버) 로그 저장 | httpd |
웹 log | /var/log/httpd/error_log |
아파치(웹서버) 에러 저장 | httpd |
네임서버 log | /var/log/named.log |
네임서버( 로그 | name |
이 중 핵심적인 로그를 더 자세하게 보면 다음과 같습니다.
콘솔 로그 (/dev/console)
- 커널에 관련된 내용을 시스템 콘솔에 뿌려주는 로그입니다.
- messages 내용과 일치하는 것은 아니지만 시스템에 관련된 중요한 내용(시스템 풀, 다운 등)에 대한 로그를 확인할 수 있습니다.
- /dev/console을 통해서 콘솔로 로그를 뿌려줍니다.
시스템 로그 (/var/log/messages)
- 접속 시 인증에 대한 것, 메일에 관한 내용, 시스템에 관한 변경사항 등인 시스템에 대한 전반적인 로그를 기록합니다.
- 시스템 관리자가 가장 신경써야하는 로그 파일이며, 보안사고 발생 시 가장 먼저 분석하는 파일입니다.
- su(root 권한)에 대한 실패 로그와, 데몬 비활성 로그, 부팅 실패 로그와 같이 다양한 로그들이 필요합니다.
dmesg
를 사용하면 명령어를 확인할 수 있습니다.
보안 로그 (/var/log/secure)
- 모든 접속과 관련하여 언제 어디서 어떤 서비스를 사용했는지 기록합니다.
- login, tcp_wrappers, xinetd 관련 로그들이 남습니다.
Window 서버
일반적으로 윈도우 서버는 IIS 서버로 돌아가고, 많은 회사들이 리눅스 서버를 사용하지만 가끔 사용하는 서버가 있어서 이에 대해서 정리합니다. (그 예외에 속하는 회사이지만...)
IIS 서버에 접속하는 방법은 다음과 같습니다.
제어판
=>관리도구
=>이벤트뷰어
해당 이벤트 로그에 접속하여서, Windows 로그 중 중요한 것은 다음과 같습니다.
응용프로그램 로그
- 응용프로그램 구동 중 특이사항이 발생될 때 저장되는 로그입니다.
보안 로그
- 윈도우 보안과 관련된 정보들이 저장되는 로그입니다.
- 사용자가 지정한 특정 작업을 수행할 때, 항목이 기록됩니다.
- 성공한 작업과 실패한 작업을 모두 감사합니다.
- 다른 로그와 다르게 보안 로그는 감사정책이 설정되어야만 기록이 됩니다.
시스템 로그
- 윈도우 시스템을 구동하거나 운영하면서 발생된 충돌이나 에러 등이 저장되는 로그입니다.
마무리
간단하게 로그 파일을 정리했습니다. 좀 더 자세하게 보기위해서는 아래의 출처를 참고하면 좋을 듯합니다.
출처