실습> rsyslog 데몬
rsyslog : 로그를 기록하는 데몬(서비스)
1. rsyslog 데몬 확인
# systemctl status rsyslog
# ps aux | grep rsyslog
root 989 0.0 0.4 214432 4304 ? Ssl 16:59 0:00 /usr/sbin/rsyslogd -n
root 2105 0.0 0.1 116972 1024 pts/2 R+ 19:38 0:00 grep --color=auto rsyslog
2. rsyslog 데몬 중지
# systemctl stop rsyslog
# systemctl status rsyslog
# ps aux | grep rsyslog
root 2117 0.0 0.1 116972 1020 pts/2 R+ 19:40 0:00 grep --color=auto rsyslog
3. 로그 모니터링
# tail -f /var/log/secure
4. 로그인 시도
# ssh 192.168.101.254
# su -
# exit
5. 로그 모니터링
# tail -f /var/log/secure
<-- SSH로 로그인을 했지만 로그에는 저장이 안된다
<-- su - 를 했지만 로그에는 저장이 안된다
결론 : rsyslog 데몬이 중지되었으므로 로그에 기록되지 않는다.
!!! 중요 !!!
rsyslog 데몬이 실행되어야 로그 파일에 기록이 된다.
다시 rsyslog 데몬을 시작하고 /var/log/secure 파일을 모니터링 한다.
# systemctl start rsyslog
# tail -f /var/log/secure
ssh로 접속하면 기록되는 로그는 아래와 같다.
# ssh 192.168.1.254
Mar 4 19:44:34 firewall sshd[2174]: Accepted password for root from 192.168.101.254 port 59584 ssh2
Mar 4 19:44:34 firewall sshd[2174]: pam_unix(sshd:session): session opened for user root by (uid=0)
su - 명령어를 실행하면 기록되는 로그는 아래와 같다.
# su -
Mar 4 19:44:41 firewall su: pam_unix(su-l:session): session opened for user root by root(uid=0)
exit 명령어를 실행하면 기록되는 로그는 아래와 같다.
# exit
Mar 4 19:44:48 firewall su: pam_unix(su-l:session): session closed for user root
exit 명령어를 실행하면 기록되는 로그는 아래와 같다.
# exit
Mar 4 19:46:24 firewall sshd[2174]: Received disconnect from 192.168.101.254 port 59584:11: disconnected by user
Mar 4 19:46:24 firewall sshd[2174]: Disconnected from 192.168.101.254 port 59584
Mar 4 19:46:24 firewall sshd[2174]: pam_unix(sshd:session): session closed for user root
'Linux > 보안장비 운용' 카테고리의 다른 글
| 장치에 로그 출력하기 (0) | 2022.03.04 |
|---|---|
| /etc/rsyslog.conf (0) | 2022.03.04 |
| history 변수 조작을 막는 방법 (0) | 2022.03.04 |
| history (0) | 2022.03.04 |
| /var/log/btmp (0) | 2022.03.04 |