당신은 주제를 찾고 있습니까 “syslog rsyslog 차이 – Syslog 설명 | 시스코 CCNA 200-301“? 다음 카테고리의 웹사이트 you.tfvp.org 에서 귀하의 모든 질문에 답변해 드립니다: you.tfvp.org/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 CertBros 이(가) 작성한 기사에는 조회수 51,841회 및 좋아요 1,555개 개의 좋아요가 있습니다.
rsyslog는 syslog와 비교하여 아래와 같은 다른 점이 있다. MariaDB나 PostgresSQL 등의 데이터 베이스에 로그를 저장한다. 로그에 대한 패턴 매칭을 사용하여 파일 처리를 실행할 수 있다. 로그의 출력 포맷을 설정할 수 있다.
syslog rsyslog 차이 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 Syslog 설명 | 시스코 CCNA 200-301 – syslog rsyslog 차이 주제에 대한 세부정보를 참조하세요
MY FULL CCNA COURSE
📹 CCNA PreLaunch – https://certbros.teachable.com/p/cisco-ccna?coupon_code=PRELAUNCH21
HOW TO PASS THE CCNA
📚 Get a great book – https://amzn.to/3f16QA5
📹 Take a video course – https://certbros.teachable.com/p/cisco-ccna?coupon_code=PRELAUNCH21
✔ Use practice exams – https://www.certbros.com/ccna/Exsim
SKILLSHARE COURSES
Landing your dream job takes more than just technical skills. Skillshare is a great place to learn all the soft skills you need to be successful. Use the below link for a free 14-day trial.
📺 https://skillshare.eqcm.net/vnzRkO
THE SOFTWARE I USE TO MAKE VIDEOS
🗯 Animations – https://www.certbros.com/AfterEffects
📺 Video editing – https://www.certbros.com/PremierPro
SOCIAL
🐦 Twitter – https://twitter.com/certbros
📸 Instagram – https://www.instagram.com/certbros
👔 LinkedIn – https://www.linkedin.com/company/certbros
💬 Discord – https://www.certbros.com/discord
Disclaimer: These are affiliate links. If you purchase using these links, I’ll receive a small commission at no extra charge to you.
————————————————————————————————————— NEW DISCORD SERVER: https://certbros.com/discord
————————————————————————————————————— –~–
MY FULL CCNA COURSE
📹 Register your interest – https://www.certbros.com/Course-Interest
HOW TO PASS THE CCNA
📚 Get a great book – https://amzn.to/3f16QA5
📹 Take a video course – https://www.certbros.com/Course-Interest
✔ Use practice exams – https://www.certbros.com/ccna/Exsim
SKILLSHARE COURSES
Landing your dream job takes more than just technical skills. Skillshare is a great place to learn all the soft skills you need to be successful. Use the below link for a free 14-day trial.
📺 https://skillshare.eqcm.net/vnzRkO
THE SOFTWARE I USE TO MAKE VIDEOS
🗯 Animations – https://www.certbros.com/AfterEffects
📺 Video editing – https://www.certbros.com/PremierPro
SOCIAL
🐦 Twitter – https://twitter.com/certbros
📸 Instagram – https://www.instagram.com/certbros
👔 LinkedIn – https://www.linkedin.com/company/certbros
Disclaimer: These are affiliate links. If you purchase using these links, I’ll receive a small commission at no extra charge to you.
—————————————————————————————————————
Using a SYSLOG server allows us to centrally manage our log information. Why would you want to do that? Well, there are a few reasons why.
First, Syslog information is very important when troubleshooting problems. Let’s say a user reports a network outage. You can go through all of the logs to see if there were any problems at the time the user reported the issue.
Another benefit of storing syslog information in a central place is data retention. Cisco devises, by default, stores log information in RAM. This means, when the device reboots, the logs are erased. Keeping all of your log information in one place allows for easy archiving.
OK, so now we know what a syslog server is and why we use them, let’s look at some log messages! It may not seem like it straight away, but these messages follow an industry standard. This makes it easy to correlate logs from different vendors.
– The first part is the timestamp or sequence number. You can choose which one you want to use.
– The next part is called the facility. This shows the source of the message.
– Next, we have the severity. This shows how urgent the log message is.
– Then we have something call the mnemonic, this is a code to identify the message.
– And finally, we have the description, which contains the log message.
Syslog has 8 severity levels ranging from 0-7. The top is the most urgent, severity 0, and the bottom is the least urgent, which is 7 for debug messages. This is important because you likely don’t want to send all syslog messages to your server.
0 Emergency
1 Alert
2 Critical
3 Error
4 Warning
5 Notice
6 Informational
7 Debug
Unfortunately, this is one of those tables you’re going to have to memorise for the CCNA exam. You need to know, not only the severity levels but which order they’re in. As with most of these things, mnemonics come to the rescue.
Every Awesome Cisco Engineer Will Need Ice-cream Daily
Ernie Always Cries Even when No one is Dying
#ccna #cisco #networking
syslog rsyslog 차이 주제에 대한 자세한 내용은 여기를 참조하세요.
로그관리| 로그시스템 이해와 로그 분석 ① – 네이버 블로그
아래 rsyslog와 syslog를 비교한 결과입니다. 한 번 클릭하셔서 확인해보시고 자신에 맞는 데몬을 사용하시길 바랍니다. rsyslog vs …
Source: m.blog.naver.com
Date Published: 4/17/2022
View: 4038
syslog란?
/etc/syslog.conf 파일은 시스템 로그 데몬이 실행될 때 참조되는 … 최근 리눅스에서는 기존 syslog를 개선한 rsyslog를 주로 사용한다는데 뭐.
Source: cypsw.tistory.com
Date Published: 1/6/2021
View: 6551
[Hcd][Livestream] Cơ Bản Về Log, Syslog, Rsyslog
주제에 대한 설명 syslog rsyslog 차이:.
Source: ko.nataviguides.com
Date Published: 5/22/2021
View: 5684
rsyslog와 fluentd – 그대안의 작은 호수
… 계속 진화하고 있습니다. syslog-ng가 나온지 오래이지고 rsyslog와 같이 LOG의 수집에 촛점을 맞춘 프로젝트도 있습니다. 그러면 성능에서 어떤 차이가 있을까요?
Source: smallake.kr
Date Published: 4/20/2021
View: 1716
로그관리(rsyslog,journal) – 혁! 클라우드
syslog(rsyslog). systemd 이후의 로그. syslog(rsyslog); journal. systemd-journald. journal을 담당하는 데몬; 메모리에 저장; 바이너리 데이터 …
Source: hyuksssss.tistory.com
Date Published: 12/23/2022
View: 1022
리눅스 시스템 로그 1편 – 입맛대로 설정해보자
정광근. 2022년 07월 11일; 11 min read; 1 Comment · centos facility log log-server logger priority redhat rsyslog syslog. Home · Technology; 리눅스 시스템 …
Source: tech.osci.kr
Date Published: 12/15/2021
View: 8612
/etc/syslog.conf, /etc/rsyslog.conf – 근짱의 정보보안
cat /etc/rsyslog.conf 이다. 두 로그의 차이점은 다음에 살펴보도록 하고,,,. AIX에서는. 기본적으로 syslog를 사용할 수 있고, rsyslog는 설치 후 …
Source: wkdrmsh.tistory.com
Date Published: 2/11/2022
View: 1727
[Linux] rsyslog 원격 로깅 구성하기 – 일하기 귀찮을 때
2004년에 최초로 시작되었으며 “syslog → syslog-ng → rsyslog”와 같은 이름으로 … 혹여나 패키지 버전에 따라 설정파일에서 일부 차이가 있을 수 …
Source: autoattack.tistory.com
Date Published: 9/23/2021
View: 7781
리눅스 auth와 authprive의 차이 (rsyslog) – 긍정탁
로그 관련 설정인 rsyslog.conf에서 사용되는 facility중에서 auth, authpriv에는 … mail, mark, news, security (same as auth), syslog, user, …
Source: jungtak.tistory.com
Date Published: 11/7/2022
View: 285
주제와 관련된 이미지 syslog rsyslog 차이
주제와 관련된 더 많은 사진을 참조하십시오 Syslog 설명 | 시스코 CCNA 200-301. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 syslog rsyslog 차이
- Author: CertBros
- Views: 조회수 51,841회
- Likes: 좋아요 1,555개
- Date Published: 2020. 10. 27.
- Video Url link: https://www.youtube.com/watch?v=BMVHHX02T4Q
기억 저장소 기억 저장소
반응형
컴퓨터의 동작 상태의 기록을 로그라고 한다. 세큐리티나, 시스템 관리의 필요성에 의하여, 로그의 출력을 커스터마이즈 하는 것이 중요하다. Linux에서는 syslog를 사용하여 다양한 이벤트를 로그파일에 기록하거나, 콘솔에 표시하는 것이 가능하도록 되어 있다. syslog는 다른 프로그램으로부터의 메시지를 받아들이거나 출력처나 우선도에 따라서 분류하여 지정된 출력처로 보낸다.
시스템 로그 ( 시스로그 )를 취득하여 처리하는 소프트웨어에는 syslog 쪽이 rsyslog나 syslog-ng 등이 사용된다.
이편에서는 syslog 또는 rsyslog를 다룰 예정이다. 하지만 대부분 그러하듯 사용방법은 대부분 비슷하다.
참고
CentOS7 또는 Ubuntu 14.04 는 rsyslog를 표준으로 채용하고 있다.
syslog/rsyslog의 설정
syslog의 동작을 설정하기 위해서는 syslog의 설정 파일인 /etc/syslog.conf에 기록한다. 이 파일에는 어떤 종류의 로그를 어디에 출력할 것인가를 설정한다.
/etc/syslog.conf 파일은 아래의 서식으로 이루어진다.
facility, priority , 출력처
facility ( 파실리티 )
facility는 메시지의 출력처이다. 구체적으로는 커널이나 실행 중의 프로세스가 된다. facility를 사용하는 것으로 메시지의 출력이 어디서부터 왔는지 로그의 출력처를 제한하는 것이 가능하다. [*]를 이용하는 것으로 모든 facility를 선택 가능하다.
facility 설명 auth, authpriv 인증 시스템 ( login이나 su ) cron cron daemon 각종 데몬 kern 커널 lpr 인쇄 시스템 mail 메일 시스템 syslog syslog 기능 local0 ~ local7 독자 설정
priority 우선순위
priority는 메시지의 우선도를 나타낸다. priority를 낮게 설정하는 것으로 로그에 출력되는 정보량도 많이 달라진다. * 을 사용하면 모든 priority를 선택 가능하다. 아래의 표는 priority가 높은 것 순으로 작성하였다. none은 예외이며 지정된 priority를 예외 하는 역할을 가지고 있다.
priority 설명 emerg 위급적인 상태 alert 급한 대응이 필요함 crit 위험한 상태 err 일반적인 에러 warning 시스템으로 부터의 경고 notice 시스템으로 부터의 중요한 통지 info 시스템으로 부터의 정보 debug 디버그 정보 none priority를 무시
출력처
메시지의 출력처이다. 로그 파일에 저장하고 싶은 경우에는 파일명을 full path로 지저 한다 ( -를 선두에 붙이면 작성 후에 플래시 하지 않는다. 작성 빈도가 높은 쓰기의 부하를 내릴 순 있지만, 시스템 장애가 발생했을 경우 로그를 작성되지 않을 경우가 있다. ) [@]를 사용하여 호스트명을 지정하면 네트워크 상의 리모트 호스트에 로그를 전송하는 것도 가능하다 유저명을 지정하면 해당 유저의 단말에 메시지가 출력된다.. [*]를 이용하면 모든 유저에게 통지한다.
표기 설명 파일명 파일에 출력한다. @호스트 명 리모트 호스트의 syslogd 에 출력한다. 유저명 해당 유저의 단말에 출력한다. /dev/console 콘솔에 출력한다. * 모든 유저의 단말에 출력한다.
/etc/syslog.conf의 설정 예
맨 처음 실행하면 커널이 출력하는 메시지가 모드 /var/log/lernel 에 보내고 만다. 2행과 3행에는 커널이 출력할 메시지로 더해 priority가 err이상의 것은 호스트 lpic로 보내는 것과 콘솔에도 출력하도록 한다. 마지막 행에는 모든 긴급 메시지가 로그인되어 있는 유저의 단말에 보내도록 한다.
# 모든 유저으 ㅣ커널 메시지를 콘솔에 출력한다 kern.* /dev/console # priority가 info이상이지만, facility가 authpriv, mail, cron이외의 로그를 저장 *.info;mail.none;authpriv.none;cron.none /var/log/messages # priority가 authpriv의 로그를 저장 authpriv.* /var/log/secure # facility가 mail 인 로그의 저장 mail.* -/var/log/maillog # facility가 cron 인 로그의 저장 cron.* /var/log/cron # 긴급한 메시지는 모든 유저에게 송신 *.emerg *
/etc/rsyslog.conf의 설정
rsyslog의 설정 파일은 /etc/rsyslog.conf도 기본적인 설정은 /etc/syslog.conf와 동일하다. rsyslog는 syslog와 비교하여 아래와 같은 다른 점이 있다.
로그의 네트워크 송신 시 TCP, SSL/TLS도 이용 가능하다 ( syslog는 UDP 뿐 )
MariaDB나 PostgresSQL 등의 데이터 베이스에 로그를 저장한다.
로그에 대한 패턴 매칭을 사용하여 파일 처리를 실행할 수 있다.
로그의 출력 포맷을 설정할 수 있다.
모듈단위로 기능을 추가할 수 있다.
이하는 /etc/rsyslog.conf 파일이다.
# 타임스탬프의 서식 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # /etc/rsyslog.d 디렉터리 이하의 설정 파일을 읽음 $IncludeConfig /etc/rsyslog.d/*.conf # 이하는 syslog.conf의 설정과 동일 kern.* /dev/console *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail. * -/var/log/maillog cron.* /var/log/cron *.emrg *
설정 변경 후에는 rsyslog의 재기동 또는 설정 파일의 재 일기가 필요하다.
logger 커맨드
logger 커맨드를 사용하여 로그 메시지를 생성하는 것이 가능하다. syslog.conf의 설정을 체크할 경우 사용 가능하다.
logger -p syslog.info -t Test “logger test message ”
보통 facility를 syslog, priority를 info로 설정하면 메시지는 /var/log/messages 에 저장된다
로그 조사
로그를 조사하는 것으로 시스템의 이용상 태나 소프트웨어의 동작에 이상이 없는지 등을 확인할 수 있다. 또한 문제의 징후를 발견할 수도 있다. 우선은 주로 사용하는 로그파일인 /var/log/messages를 확인해볼 수 있다.
Jun 27 14:16:44 lpic kernel: Loaded 162 symbols from 3 modules
위와 같은 형식으로 작성되어 있다.
이런 로그에서는 아래의 정보를 확인할 수 있다.
일시 : Jun 27 14:16:44
출력처 호스트 명 : lpic
메시지의 출력처 : kernel
메시지 : Loaded 162 symbols from 3 modules
로그 파일을 계속하여 감시하기 위해서는 -f 옵션을 붙인 tail 커맨드를 실행한다. 로그 파일에 로그가 추가되는 것을 계속하여 감시할 수 있다.
로그는 방대하기 때문에 특정 메시지만 조사하고 싶을 경우에는 grep 커맨드를 사용하여 검색 하하는 것도 가능하다
/var/log/secure 파일에는 인증 등의 세큐리티 관련의 로그가 저장된다.
로그인 중인 유저를 확인하는 방법은 who 커맨드를 사용한다.
w 커맨드를 사용하면 로그인 중의 유저에 더해 시스템 정보도 표시한다.
who 커맨드나 w 커맨드는 /var/run/utmp 파일의 정보를 참조하고 있다. 이 파일은 로그인 중의 유저 정보가 저장되어 있는 곳이다. last 커맨드를 사용하면 최근 로그인한 유저의 리스트가 표시된다. 이 커맨드는 로그 파일 /var/log/wtmp 파일을 참조한다.
lastlog 커맨드는 /var/log/lastlog 파일을 참조하여 유저별로 최근의 로그인 리스트를 보여준다. 한 번도 로그인한 적이 없는 유저는 그에 해당하는 메시지가 따로 출력된다.
systemd를 채용하고 있는 시스템인 경우 journalctl 커맨드를 사용하여 systemd의 로그를 볼 수 있다.
옵션 설명 -f 로그의 끝을 표시한다. -r 로그를 새로운 순으로 표시한다( 기본은 오래된 순 ) -u Unit 명 설정한 Unit의 로그를 출력한다. –full 이스케이프 문자를 제외하고 plain text로 출력한다 –no-pager 1페이지 단위로 표시하지 않고 모든 로그를 출력한다.
journalctl 커맨드를 실행하면 less 등의 페이저를 사용하여 1페이지씩 로그를 표시한다.
이 로그가 저장되어 있는 것은 /var/log/journal이나 /var/run/log/journal이라고 하는 디렉터리 내에 있는 바이너리 파일이다. 로그는 일정량을 넘어가면 낡은 순서부터 삭제된다.
아래의 표는 주요한 로그 파일과 해당 로그를 보기 위해 이용하는 대표적인 커맨드의 정리이다.
로그 파일 커맨드 /var/log/messages less, tail, grep /var/log/syslog less, tail, grep /var/log/secure less, tail, grep /var/log/wtmp last /var/run/utmp who, w /var/log/lastlog lasglog
로그 파일의 로테이션
로그파일은 배치해두면 추가되기만 할 뿐이기 때문에 용량이 거대해져 간다. 로그파일의 로테이션 기능을 사용하면 낡아진 로그를 나누고, 로그파일이 방대해지는 것도 예방할 수 있다. 이 기능을 사용하면 예를 들어 /var/log/messages 파일은 /var/log/messages.1 파일로 이름을 변경하고 새로운 /var/log/messages 파일이 작성된다.
다음 로테이션이 오면 messages.1 파일이 messages.2 가 되며 messages 파일이 messages.1이 된다. 규정된 파일수를 넘어가면 가장 늙은 로그 파일이 삭제된다.
로그 파일의 로테이션 기능은 logrotate 유틸리티가 제공한다. logrotate 유틸리티는 cron을 이용하여 정기적으로 실행된다. logrotate의 설정은 /etc/logrotate.conf 파일에서 행한다.
# 로테이션 주기를 1주일로 설정 weekly # 백업로그를 4주간 보관한다 rotate 4 # 로테이션된 후 비어있는 로그파일을 작성한다 create # 로그 파일을 압축한다 compress # /var/log/wtmp 파일의 설정 /var/log/wtmp { monthly // 로테이션 주기를 1개월로 설정 create 0664 root utmp // 퍼미션을 644 소유자를 root 그룹을 utmp로 새로운 파일 작성 rotate 1 // 백업 로그를 1개 저장한다. }
반응형
|로그관리| 로그시스템 이해와 로그 분석 ①
1번 – kernel에 관련된 로그를 /dev/console에 뿌리라는 의미이다
2번 – mail 접속시의 인증등에 대한 로그를 /var/log/messages에 남기라는 의미이다.
3번 – xinetd에 관련된 로그들을 /var/log/secure에 남기라는 의미이다. 이 경우 xinetd에 관련된 데몬들은 /etc/xinetd.d/ 의 디렉토리안에 개별 파일로 설정되어 있으며 해당데몬들은 telnet, ftp, finger등입니다.
4번 – 메일에 관련된 로그를 /var/log/maillog에 남겨라는 의미입니다.
5번 – 시스템크론에 관련된 로그를 /var/log/cron에 남겨지게 됩니다.
6번 – 그림에는 없지만 만약 local7.* /var/log/boot.log 라는 행이 있을 경우 시스템이 부팅될 때의 로그메시지를 /var/log/boot.log에 남기라는 의미입니다.
* 로그를 syslog로 설정할 때 syslog daemon의 facility를 주는 건 local0-7 까지만 가능합니다.
– /etc/syslog.conf 파일의 형식
–> A 서비스(데몬)에 대하여 B의 경우에 해당하는 상황이 발생하였을 때에 C파일에 그 기록을 남겨라.
facility : 서비스이름(메시지의 종류)
facility 설명 auth * 로그인과 같이 사용자 인증에 관한 메시지 authpriv * 보안 및 승인에 관한 메시지 cron * crond데몬과 atd데몬에 의해 발생되는 메시지 daemon * telnet, ftp등과 같은 데몬에 의한 메시지 kern * kernel에 의한 메시지로서 커널메시지라고 함. lpr * 프린터데몬인 lpd에 의해 발생되는 메시지 mail * sendmail또는 pop또는 qmail등의 메일에 의해 발생되는 메시지 news * innd등과 같은 뉴스시스템에 의해 발생되는 메시지 uucp * uucp에 의한 시스템에 의한 메시지
priority : 메시지의 우선순위를 의미함.
priority 설명 emerg * 최상위, 매우 위험한 상황. info * 단순한 프로그램에 대한 정보 메시지 notice * 에러가 아닌 알림에 관한 메시지 warning * 주의를 요하는 메시지 err * 에러가 발생한 상황 crit * 급한상황은 아니지만 치명적인 시스템 문제발생상황 alert * 최하위 즉각적인 조치를 취해야 하는 상황 3. 로그데몬 시작 및 정지 그림 3) syslog 정지 및 시작
Cyp Software Blog
반응형
개념
Syslog란 유닉스 시스템 내에서 사용하는 일종의 ‘로그 생성/관리’ 도구이다.
커널 및 응용프로그램에 의해 발생하는 로그를 가리지 않는다
동작 방식과 여담
커널 및 응용 프로그램이 syslog API를 통하여 로그를 생성하면
syslogd 데몬 프로세스가 syslog.conf 설정 파일을 참조하여 지정한 로그파일, 콘솔(Console) 또는
외부 서버(Remote Server) 등에 로그를 기록한다
/etc/syslog.conf 파일은 시스템 로그 데몬이 실행될 때 참조되는 로그 설정 파일로서
어떤 로그를 어디에 남길지 → 로그 저장 규칙이 정의되어 있다.
syslog.conf 파일의 각 행들은 특정한 포맷으로 정의되어 있다
A 서비스(데몬) 에 의하여 → B로그 레벨이상의 상황이 발생한 경우 C의 형식(뭐 파일이라던지… 콘솔이나 외부서버등)
으로 로그를 남기라는 의미
A서비스가 B상황을 만들경우 C에게 보고해라
A병사가 B라는사고를치면 C에게 보고해라
정도 수순으로 정리가 가능하다.
최근 리눅스에서는 기존 syslog를 개선한 rsyslog를 주로 사용한다는데 뭐…
대충 보니 형식은 크게 다르지 않는걸로 보인다.
더하여
syslog는 정보보호 특성을 고려하지 않고 개발되었기에 UDP를 통해 로그를 전송할 때 공격자가 syslog 메시지를 모니터링 하는게 가능하다.
이 때문에 RFC 3195(Reliable Delivery for syslog) 에서는 다음과 같은 보안기능을 제공하도록 권고하고 있다.
1. 로그의 신뢰성 보장을 위한 연결 지향 프로토콜인 TCP를 이용
2. syslog 메시지 전송 시 기밀성 보장을 위한 syslog 서버 및 log 수집대상 서버의 IP를 제외한 payload를 보호할 수 있는 BEEP를 이용하도록권고
3. BEEP 연결 지향적이고 비동기적인 연결을 위한 응용 프로그램 프로토콜 프레임워크로 내부적 인증, 프라이버시, 재전송을 통한 신뢰성을 보장
근데 내 생각엔 rsyslog가 나온 이유가 이런걸로 커버하는게 한계가 있어서 나온게 아닐까 싶다
사용법
facility 항목에 기재할 수 있는 서비스의 경우엔 여러가지가 있다
* = 모든 서비스
auth = 인증과 같은 보안 관련 메시지
cron = cron,atd 데몬에 의해 발생하는 메시지
kern = 커널에 의해 발생하는 메시지 등….
여러가지가 있다 ( 다 적진 않았다)
priority 로그수준의 경우에는 리눅스에 무지하더라도 한번 보면 직관적으로 이해가 가능하다
Emergency = 좆된상황 (시스템 전면중단)
alert = 즉각적인 조치가 필요
Critical = 하드웨어 등의 심각한 오류발생
Error = 일반적인 에러/ 오류
Warning = 경고 메세지
Notice = 에러나 오류는 아니나, 관리자의 조치가 필요
Infomation = 의미 있는 정보 관련 메시지
debug = 디버깅용 메시지
위로갈수록 위험성이 높아지고
아래로 갈수록 위험성이 낮아진다.
Emergency 같은 상황은 뭐 갑자기 발로 컴퓨터를 차서 램이 탈거가 되거나… 하는 상황이려나? 감은 잘 안 잡히는데
일단 대충은 이해가 간다.
로그가 남겨지는 방식은
facility에 로그수준을 지정하게 되면 해당 수준 이상의 상황이 발생했을때만 로그가 남게 된다.
가령 Linx 구동시 CPU 부하로 인한 Critical 급의 오류가 빈번히 발생한다 하면 alert급으로 설정해 두면 되는것이다.
그에 더해 syslog.conf 에 로그수준을 “*” 으로 지정하면 모든 로그를 남기겠다는 의미이고
“none” 으로 설정하면 로그를 아예 남기지 않겠다는 의미이다.
action 영역에 관해 설명하자면
action은 로그를 어디에 남길 것인가를 결정한다.
로그 파일, 콘솔, 원격 로그서버, 특정 사용자 등에 로그를 남길 수있다.
왠 쌩뚱맞게 아까 [A병사가 B라는사고를치면 C에게 보고해라] 라고 했는데 이게 뭔소리나 하면
로그를 ‘남긴다’ 는 행위가 일종의 ‘보고서를 남긴다’ 라는 행위가 되므로 이상할것이 없다.
Action 원격 로그 서버를 통해 rsyslog 설정을 실제 하는법에 관해 보면
#provides UDP syslog reception
$MedLoad imudp.so
$UDPServerRun 514
로 이루워져 있으며
리눅스의 경우엔 Fedora , Backtrack 에서 이용한다 한다
해석하자면
rsyslogd 데몬 프로세스를 원격 로그 서버로 만들기 위해
rsyslogd.conf에 514/udp(syslog 기본 포트)를 설정한다는 내용이다
이딴게 산기문제에 나왔다니 허를 찔리는 기분이다 .(망할 정보보안기사)
예제
[Fedora-localhost] ps 및 netstat 명령을 통해 rsyslogd 데몬 기동 여부와 514/udp 포트 오픈 여부를 확인하는 내용이다# hostname
{호스트 네임 출력}
# ps -ef | gref rsyslogd
{출력}
# netstat -anup | grep rsyslogd
{출력값}
으로 확인이 가능하다.
그외 잡다한 정보는 생략하였고
마지막으로 syslog.conf(rsyslog.conf) 설정 예시와 해석을 첨부한다
[1]# kern.* /dev/console
1. kernel에 관련된 로그를 /dev/console(콘솔, 대부분 모니터 화면을 의미) 에 출력하라는 의미
2. 해당 설정은 #(주석처리) 처리 되어 있는데 적용하려면 주석을 제거하고 syslogd(rsyslogd) 데몬을 재시작 해 주면 된다.
[2]*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.info 는 모든 서비스에 대한 info(mation 말하는듯) 이상 수준의 로그를 var/log/massages 로그 파일에 기록하되, mail, authpriv, cron 서비스에 대해서는 로그를 기록하지 말라는 (none) 의미이다.
2. 여기서 알 수 있듯이 세미콜론 (;) 으로 여러 Facility.Priority를 동시에 지정하는것이 가능하다.
[3]authpriv.* /var/olog/secure
슬슬 감이 잡힐거다
authpriv 에 속하는 서비스의 모든 로그 수준의 로그를 var/log/secure 로그 파일에 기록하라는 의미이다.
[4]mail.* /var/log/maillog
위와 동일
[5]cron.* /var/log/cron
위와 동일 (단 여기서 주체는 crond데몬과 atd 데몬 등에 의해 발생되는..)
[6]*.emerg *
모든 서비스(*)의 emerg 수준 이상의 로그를 모든 사용자(*)에게 보내라는 의미이다.
[7]uucp,news.crit /var/log/spooler
uucp,news 서비스 관련 서버의 crit 수준 이상의 로그를 /var/log/spooler에 기록하라는 의미
[8]local7.* /var/log/boot.log
시스템이 부팅될 때의 모든 수준의 로그를 (*) /var/log/boot.log에 기록하라는 의미이다.
반응형
[Hcd][Livestream] Cơ Bản Về Log, Syslog, Rsyslog | syslog rsyslog 차이 오늘 업데이트
We are using cookies to give you the best experience on our website.
You can find out more about which cookies we are using or switch them off in settings.
rsyslog와 fluentd
1.
오래전 개발자와 함께 일을 할 때 가장 많이 했던 작업이 시험입니다. 화면으로 하는 경우도 있지만 서버에 남아 있는 로그를 확인합니다. 이 때 syslog가 남긴 파일을 명령어로 살핍니다.
Syslog.유닉스나 리눅스에서 프로그램을 개발하는 분들에게 아주 익숙한 표준입니다.
syslog는 Unix시스템에서 로그메시지를 처리하기 위해서 제공하는 (매우 오래된)표준 인터페이스 중 하나다. 이것을 이용하면, 시스템이나 응용 프로그램에서 발생하는 각종 메시지를 체계적으로 관리할 수 있다. 또한 표준이기 때문에, 운영체제에 관계없이 동일하게 사용할 수 있다는 장점도 제공한다. 응용프로그램에서 굳이 이러한 메시지를 처리하는 루틴을 만들지 않고, syslog를 사용하는데에는 몇가지 이유가 있다. 일단 메시지처리를 위한 루틴에 특별히 신경쓰지 않고 다른 특화된 모듈에 맡김으로써, 작은것이 아름답다 라는 unix 철학에 부합됨과 동시에, 코딩시 라인수를 대단히 많이 줄일수 있다라는 점 그리고 검증된 안전한 도구라는 점이다.
syslog 사용중에서
아주 오랜 연인같은 syslog이지만 계속 진화하고 있습니다. syslog-ng가 나온지 오래이지고 rsyslog와 같이 LOG의 수집에 촛점을 맞춘 프로젝트도 있습니다. 그러면 성능에서 어떤 차이가 있을까요? “Comparative Analysis of Open-Source Log Management Solutions for Security Monitoring and Network Forensics”는 글입니다.
Download (PDF, Unknown)
위의 분석에 오류가 있다고 하는 글도 있습니다. 같이 참고하세요.
Measuring log collection performance
2.
syslog는 표준입니다. 아래와 같은 기능을 하도록 만들어진 RFC5424가 syslog입니다.
로그의 생산, 저장, 분석의 분리를 허가한다.
로그의 생산자는 Facility를 로그 메세지에 붙임으로서 어디서 로그가 왔는지 표시 할 수 있다.
로그의 중요도를 표시한다.
만약 syslog를 이용하지않은 LOG를 통하여 모니터링하고자 할 때 어떻게 하여야 할까요? 요즘과 같이 다양한 시스템들이 넘치는 조건일 때 통합하고자 하는 요구는 더 커집니다. 필요가 있어서 검색하던 중 rsyslog와 비슷하지만 다른 역할을 하는 프로젝트를 찾았습니다. Fluentd입니다. 상세한 기능을 살피기 전에 그림 한장으로 깊은 인상을 받았습니다.
단순합니다. 그래서 아름답습니다.(^^) Fluentd의 기능중 다양한 Plugin을 통하여 다양한 방식으로 output을 처리할 수 있는 점이 좋더군요. 특히 DB와 관련한 부분에 관심이 갔습니다.
국내도 Fluentd를 소개하는 글이 많습니다. 구글링을 하면 설치부터 활용법까지 다양합니다. 그중 최근에 ‘엘라스틱 서치와 fluentd를 이용한 웹서버 로그분석’로 발표한 글입니다.
3.
리눅스를 사용하는 환경이 늘어나면서 서버를 모니터링하는 일이 중요해집니다. 최소한 로그라도 통합관리하면 무척 편합니다. 이와 같은 제품을 LOG Aggregator라고 하네요. Fluentd 말고 다양한 오픈소스가 있습니다. 비교해보시고 환경과 요구에 맞는 제품을 선택하시길.
Log Aggregator 비교 – Scribe, Flume, Fluentd, logstash
로그관리(rsyslog,journal)
로그 관리(Log)
로그(Log) – 시스템에서 발생한 이벤트에 대한 기록
감사(Audit) – 관리자가 설정한 특정 대상에 대한 기록
로그의 필요성
보안적 측면: 침입 등에 대한 감시, 대응
운영적 측면: 시스템 장애 대응
systemd 이전의 로그
syslog(rsyslog)
systemd 이후의 로그
syslog(rsyslog)
journal
systemd-journald
journal을 담당하는 데몬
메모리에 저장
바이너리 데이터 형태로 저장 : /run/log/journal
syslog(rsyslog)
로그 데이터를 파일로 저장, 사용자에게 전달
네트워크의 다른 시스템으로 로그 전달
systemd-journald에서 발생한 로그 중 선택적으로 분류하여 처리
선택/분류 조건: 기능(Facility), 우선순위(Priority)
로그의 우선순위
숫자 우선순위 심각도 0 emerg 시스템 구동 여부에 영향을 줄 수 있는 레벨 1 alert 즉시 조치가 필요함 2 crit 심각한 오류 3 err 중요도가 낮은 오류 4 warning 경고 5 notice 정상상태에서 발생하는 메시지 중 중요도 높음 6 info 일상적인 내용 7 debug 디버깅 메시지(일상적인 내용보다 자세한 내용)
rsyslog 관련 파일
/var/log
messages : 일반적인 시스템 로그의 데이터 저장 (아래 항목 제외)
secure : 인증 관련 로그
maillog : 메일 관련 로그
cron : 예약 작업 관련 로그
boot.log : 부팅 관련 로그
/etc/rsyslog.conf : rsyslog 설정 파일
rsyslog.conf 내 RULE 설정
ex) cron.* /var/log/cron
cron : 기능(Facility, 출처), 어디에서 나온 로그인가?
주요 Facility: https://en.wikipedia.org/wiki/Syslog#Facility
https://en.wikipedia.org/wiki/Syslog#Facility * : 모든 facility
* : 우선순위. 지정된 우선순위에 해당하는 로그를 저장
*: 모든 우선순위의 로그를 모두 지정
0~7, emerg~debug : 지정된 우선순위 해당 로그 및 그보다 높은 우선순위의 로그를 모두 지정
none: 해당 기능은 로그 저장하지 않음
/var/log/cron: 기록 대상
–<파일명> : 비동기화 저장 설정
/dev/… : 특정 장치로 로그 전송
:omusrmsg:* : 특정 사용자에게 로그 전송
journal
명령어 : journalctl
옵션
-n [숫자]: 최근 [숫자] 개의 저널 출력
-p [우선순위] : priority. 저널 메시지의 우선순위 지정
-f : 발생하는 저널 메시지 실시간 확인
-r : 역순 출력 (최근 저널부터)
–since [시작 시점] : 특정 시점부터 출력
–until [종료지점] : 특정 시점까지 출력
_COMM : 명령 이름
_EXE : 실행파일 경로
_PID : 특정 PID 관련 로그 확인
메모리에 저장 : 재부팅, 종료 후 시작 등 초기화됨
저널 영구 저장 설정
기존 저널 저장 위치 정보를 확인
기존 저널 저장 위치인 /run/log/journal 경로와 같은 정보를 가지는 디렉터리를 생성
# ls -ld /run/log/journal
소유자 root
소유 그룹 systemd-journal
권한 2755
/var/log/journal 디렉터리 생성
소유자/소유 그룹/권한 설정 통일
# mkdir /var/log/journal
# chown root:systemd-journal /var/log/journal/
# chmod 2755 /var/log/journal/
# ls -ld /var/log/journal
logrotate
로그를 순환시키는 명령어
로그파일이 과도하게 커지거나, 과도하게 장기간의 데이터를 저장하거나 하는 상태를 방지
백업 생성. 규칙에 따라 일정 개수만큼의 백업만 보관
cron(anacron)에 의해 주기적으로 실행
*이 포스팅은 엔코아 플레이 데이터 수업 내용을 참고로 합니다.
오픈소스컨설팅 테크블로그 리눅스 시스템 로그 1편
안녕하세요. 오픈소스컨설팅에서 리눅스 엔지니어로 근무하고 있는 정광근 프로 입니다.
리눅스 서버를 구축/운영하는 엔지니어 분들의 경우 시스템 로그를 봐야 하는 일이 많습니다. 이런 시스템 로그를 맞춤형으로 설정하여 관리할 수 있다면 업무를 하시는데 훨씬 수월해지겠죠.
이처럼 시스템 로그를 효율적으로 관리하기 위해 1편에서는 시스템 로그를 설정하는 방법에 대해, 2편에서는 다양하게 관리할 수 있는 방안에 대해 이야기를 나누어 볼까 합니다.
시스템 로그란
커널, 데몬, 인증, 보안 등 의한 메시지 등 시스템이 동작하며 발생하는 다양한 종류의 커널 메시지나 응용프로그램 로그를 통틀어 시스템 로그라고 합니다.
rsyslog란 무엇인가
이렇게 커널 메시지나 응용프로그램 등에서 발생된 다양한 로그들은 rsyslogd라는 로그데몬을 통해 로그파일이나 콘솔, 또는 외부 서버로 로그를 저장하게 됩니다.
레드햇 계열(Redhat, CentOS, Oracle Linux 등)에서는 systemd 프로세스를 통해 rsyslog.service 서비스로 구현하여 이러한 역할을 수행하도록 하고 있습니다.
rsyslog는 설치할 필요가 없다?
rsyslog는 OS설치 단계 중 최소설치(minimal)기준으로도 설치되어 있으며 부팅 시 자동으로 동작하게 설정이 되어 있어 그동안 사용자들은 추가적으로 작업할 일이 없었습니다.
그렇다면 저는 왜 이 글을 적게 되었을까요?
저는 주로 구축보다는 운영 위주로 업무를 수행해왔습니다.
시스템을 운영하다 보면 문제점은 보이는데 이를 해결하기가 쉽지 않는 상황들을 겪게 됩니다.
중요하지는 않지만 그렇다고 않하면 안되는 그런…. 목에 걸린 잔가시 같은 느낌이라고나 할까요?
그 중 하나가 시스템 로그 및 주요 서비스 로그를 보관할 수 있는 로그 서버를 구축하는 것과 로그 보관 정책에 준하는 아카이빙 로그 보관 업무였습니다.
IDC나 공공기관에서는 최소 1년에서 3년까지 시스템과 주요 서비스의 로그를 보관하도록 정책이 수립되어 있지만, 대부분의 시스템 구축 사업에서는 이런 로그 시스템을 구축하지 않기 때문에 보관되어 있지 않는 경우가 허다 합니다.
막상 운영업무를 위임 받아 수행하다 보면 지난 아카이빙 로그를 찾아야 하거나 보관하고 있어야 하는 상황이 생기는데요. 먼저 장기간에 걸친 부하로 발생한 이슈를 확인하려면 과거의 데이터를 찾아야 하는 상황이 종종 발생합니다.
또한 보안 감사 같은 내부 정책을 증빙해야 하는 과정에서 로그 데이터를 보관하고 있어야 합니다.
시스템 로그 및 주요 서비스 로그를 기관의 정책에 맞게 보관을 해야 업무에 누수 없이, 잘 수행하고 있다고 말할 수 있겠죠.
이런 고민을 하게 되는 시점에서 시스템 로그 서버를 신규로 구축하려면 일단 예산부터 할당 받아야 합니다.
남는 서버를 잘 활용해서 이를 해결했다 하더라도 1년에서 3년 동안 다수의 시스템 로그를 보관할 수 있는 스토리지를 할당 받아야 합니다. 그리고 기존 시스템의 로그를 로그서버로 옮기는 작업을 해야 하죠.
예산이 필요할 수도 있고 서비스 운영 중인 시스템의 변경 작업도 필요하게 되는데, 이런 프로세스를 진행하는 일이 운영 조직에서는 여간 쉽지 않습니다.
이런 업무들은 서비스 운영 전에 이루어 져야 이슈가 발생해도 리스트가 적으며, 시스템 변경이 필요한 경우에도 좀 더 자유롭게 변경 및 테스트가 가능하기 때문에 운영 단계로 넘어오기 전에 구성하는 것이 여러모로 적절해 보입니다.
그래서 가장 좋은 방법은 시스템 구축 사업의 상세설계나 ISP, RFP같은 사전 설계 단계에서 부터 해당 기관의 정책에 부합하는 로그 시스템도 함께 구성되어야 한다고 생각하구요.
그럼에도 불구하고 운영 단계에서 시스템 로그 설정을 변경해야 하거나, 보관해야 하는 상황이 생겼을 때, 리스크 없이 손쉽게 작업할 수 있다면 좋겠다는 생각을 하여 이 글을 적게 되었습니다.
rsyslog 설치 방법
본문을 기재하는데 사용된 테스트 환경은 centos 7.9 버전을 사용하였습니다.
rsyslog가 설치되어 있지 않은 상태의 시스템이나 업데이트가 필요할 경우 yum install 명령어로 수행합니다.
[root@test21 ~]# yum install rsyslog Dependencies Resolved ======================================================================================== Package Arch Version Repository Size ========================================================================================= Updating: rsyslog x86_64 8.24.0-57.el7_9.3 updates 622 k Transaction Summary ========================================================================================= Upgrade 1 Package테스트 서버의 상태값은 설치는 되어 있지만 실행이 되고 있지 않습니다.
[root@test21 ~]# systemctl status rsyslog ● rsyslog.service – System Logging Service Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; disabled; vendor preset: enabled) Active: inactive (dead) Docs: man:rsyslogd(8)부팅시 자동으로 시작될 수 있도록 설정을 해줍니다.
[root@test21 ~]# systemctl enable rsyslog Created symlink from /etc/systemd/system/multi-user.target.wants/rsyslog.service to /usr/lib/systemd/system/rsyslog.service.rsyslog 서비스를 시작합니다.
[root@test23 ~]# systemctl start rsyslog부팅 시 자동으로 동작도 하게 되어 있구요. 서비스도 잘 실행되어 있는지 확인하였습니다.
[root@test21 ~]# systemctl status rsyslog ● rsyslog.service – System Logging Service Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled) Active: active (running) since Thu 2022-06-30 01:41:47 EDT; 6s ago Docs: man:rsyslogd(8) http://www.rsyslog.com/doc/ Main PID: 1001 (rsyslogd) CGroup: /system.slice/rsyslog.service └─1001 /usr/sbin/rsyslogd -n Jun 30 01:41:47 test21 systemd[1]: Starting System Logging Service… Jun 30 01:41:47 test21 rsyslogd[1001]: [origin software=”rsyslogd” swVersion=”8.24.0-55.el7″ x-pid=”1001″ x-info=”http… start Jun 30 01:41:47 test21 systemd[1]: Started System Logging Service.위 작업을 한번에 수행하는 명령어는 아래와 같으니 참고하시면 좋을 것 같습니다.
[root@test21 ~]# systemctl enable rsyslog –now Created symlink from /etc/systemd/system/multi-user.target.wants/rsyslog.service to /usr/lib/systemd/system/rsyslog.service.서비스 기동 후 프로세스 동작 유무와 포트가 활성화 되었는지 확인합니다.
[root@test21 ~]# ps -ef | grep rsyslog root 11267 1 0 00:45 ? 00:00:00 /usr/sbin/rsyslogd -n [root@test21 ~]# netstat -anp | grep rsyslog unix 2 [ ] DGRAM 26342 11267/rsyslogd [root@test21 sudoers.d]# lsof -i tcp:514 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME systemd 1 root 41u IPv6 15106 0t0 TCP *:shell (LISTEN)rsyslog 설정 방법
설정파일
rsyslog의 설정파일은 /etc/rsyslog.conf 이며 기본 설정값은 레드햇 계열에서는 아래와 같이 버전에 영향을 받지 않고 7,8버전 모두 동일 하게 구성되어 있습니다.
*.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log
설정값
Rsyslog에서 로그를 설정하는 인자값은 크게 Selector와 Action 구성되어 있으며, Selector는 세부적으로 Facility와 Priority로 나뉘어 집니다.
이제 각각의 인자값에 대해 알아볼 시간입니다.
Facility
Selector 앞단에 위치한 Facility는 메시지를 발생 시키는 서비스 종류를 뜻합니다.
커널메시지, 데몬이 발생시키는 메시지, 사용자 인증 메시지 같은 다양한 종류가 있습니다.
Facility 설명 * 모든 서비스 kern kernel 메시지 user 사용자에 의해 생성된 프로세스 메시지 mail mail 시스템에 의해 발생되는 메시지 daemon daemon에 의해 발생된 메시지 auth login 같은 사용자 인증 관련 메시지 syslog syslogd에 의해 발생되는 메시지 lpr lpd에 의해 발생되는 메시지 news 유즈넷 뉴스시스템에 의해 발생되는 메시지 uucp uucp시스템이 발생 시킨 메시지 authpriv 보안 및 승인에 관한 메시지 cron cron같은 스케줄링 프로그램에 의해 발생되는 메시지 local0 ~ local7 시스템 부팅 메시지 기록, 기타 여분 서비스에 사용하기 위함.
Priority
각각의 Facility마다 구현할 수준의 Priority라는 로그 레벨을 설정하게 됩니다.
Priority는 emerg 부터 debug까지 총 8단계의 레벨중에 선택하면 되는데, 상황에 따라서 모든 레벨을 포함하거나 지정하지 않기도 합니다.
높은 단계로 설정 할 수록 중요 정보만 남기 때문에 이슈에 대한 빠른 파악이 가능하지만, 사전 대비가 어려울 수 있습니다.
반대로 너무 낮은 레벨로 설정할 경우 메시지가 많아 가독성이 떨어져 정확한 원인 파악을 위해 많은 로그를 살펴보는 지체될 수 있으므로 서비스 형태에 맞추어 적정 수준을 선택하는 것이 바람직 해 보입니다.
Priority 설명 emerg 패닉 상황으로 모든 담당자들에게 연락해야 하는 경우.여러 앱, 서버, 사이트에 영향력 끼치는 메시지 alert 즉각적인 조치가 필요한 상황의 메시지 crit 하드웨어 등의 치명적인 오류에 관한 메시지 err 일반적인 에러/오류에 관한 메시지 warning 긴급 장애는 아니지만 경고에 준하는 메시지 notice 에러는 아니지만 관리자의 확인이 필요한 메시지 info 단순 정보 및 통계성 메시지 debug 개발 수준의 디버깅 관련 메시지 none 어떠한 경우라도 메시지를 저장하지 않음 * 발생하는 모든 상황에 대한 메시지
Action
마지막으로 Action은 로그의 End Point를 지정하는 역할을 합니다.
로그가 저장될 파일 위치를 지정하거나 콘솔, 원격 로그 서버, 특정 사용자 등에 로그를 남길 수도 있습니다.
Action 설명 로그 파일 로그 저장위치를 풀경로로 지정 콘솔 /dev/console로 지정 시 콘솔 출력 원격 로그 서버 로그서버 IP설정을 통해 지정한 호스트로 로그를 보냄 user 지정된 사용자의 스크린으로 메시지를 보냄 * 현재 로그인 되어있는 모든 사용자의 스크린으로 메시지를 보냄
적용 방안
rsyslog에서 설정값을 적용 시키는 방법은 서비스와 원하는 로그 서비스(Facility)와 로그 레벨(Priority)을 선택한 후 저장 방식(Action)을 작성하는 형태로 이루어 집니다.
facility.priority; action
예시로 default 값인 messages 설정을 한번 보겠습니다.
*.info;mail.none;authpriv.none;cron.none /var/log/messages
위 설정값이 의미하는 내용은 모든 시스템 내 동작 되는 모든 info 레벨의 메시지를 저장하고 싶은데 그중에 mail, authpriv, cron은 제외한다는 내용입니다.
개인적인 소견으로 제외된 서비스들은 secure나 cron, maillog등 로그 파일에 남기도록 default로 설정 되어 있기 때문에 제외한 것으로 보입니다.
Selector의 개수는 특별히 제한이 있지 않고 두개 이상일 경우에도 앞뒤 순서는 동작과 무관합니다.
다수의 엔지니어가 함께 사용하는 시스템은 기본 설정을 변경하기 어려운 경우가 있을 수도 있습니다.
그런 상황에서는 아래처럼 원하는 형태의 로그 파일을 추가하여 따로 관리하는 것도 좋을 듯 합니다.
*.info;mail.none;authpriv.none;cron.none /var/log/messages daemon.err;mail.none;authpriv.none;cron.none /var/log/daemon-error kern.warn;mail.none;authpriv.none;cron.none /var/log/kernel-warning
rsyslog 테스트 – 첫번째
rsyslog를 어떻게 다루어야 하는지 알아봤으니 이제 입맛에 맞게 시스템 로그를 쌓아 보겠습니다.
먼저 시스템 하드웨어 자원 변화에 따른 Priority 별 로그 메시지를 확인해 보겠습니다.
이 테스트를 통해 필요한 정보가 어느 레벨에 구현되어 있는지를 간단하게 확인 해 볼 수 있습니다.
(인증) 신규로 SSH 접속하여 login session을 추가해 보겠습니다.
ssh login의 경우 secure에서 확인이 가능하기 때문에 daemon, auth서비스 항목의 info 레벨에서만 간단한 로그를 생성하는 수준이었습니다.
test서버로 접속
[root@test23 ~]# ssh test21 root@test21’s password: Last login: Thu Jun 30 03:09:19 2022 from test23 [root@test21 ~]#info 레벨 로그 확인
Jun 28 04:21:44 test21 systemd: Started Session 4 of user root. Jun 28 04:21:44 test21 systemd-logind: New session 4 of user root.
notice레벨 로그 확인
없음
warning 레벨 로그 확인
없음
(디바이스)mount/umount 명령어를 통한 디바이스 변경사항에 대해서도 각 레벨별로 더 자세한 로그로 남기는 것을 확인 할 수 있었습니다.
테스트 볼륨 마운트/언마운트
[root@test21 ~]# mount /dev/mapper/vol1-test1 /data1 [root@test21 ~]# mount /dev/mapper/vol1-test2 /data2 [root@test21 ~]# umount /data1 [root@test21 ~]# umount /data2info 레벨
Jun 28 04:21:49 test21 kernel: XFS (dm-3): Mounting V5 Filesystem Jun 28 04:21:49 test21 kernel: XFS (dm-3): Ending clean mount Jun 28 04:22:00 test21 kernel: XFS (dm-4): Mounting V5 Filesystem Jun 28 04:22:00 test21 kernel: XFS (dm-4): Ending clean mount Jun 28 04:43:46 test21 kernel: XFS (dm-3): Unmounting Filesystem Jun 28 04:43:47 test21 kernel: XFS (dm-4): Unmounting Filesystem
notice레벨
Jun 28 04:32:36 test21 kernel: XFS (dm-3): Mounting V5 Filesystem Jun 28 04:32:38 test21 kernel: XFS (dm-4): Mounting V5 Filesystem Jun 28 04:32:31 test21 kernel: XFS (dm-3): Unmounting Filesystem Jun 28 04:32:32 test21 kernel: XFS (dm-4): Unmounting Filesystem
warning 레벨
없음
(네트워크)인터페이스 down/up에 의한 상태 변경에 대한 로그는 레벨에 따른 차이가 있어 보입니다.
테스트용 인터페이스 다운/업
[root@test21 ~]# ifdown eth1 Device ‘eth1’ successfully disconnected. [root@test21 ~]# ifup eth1 Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/3) [root@test21 ~]#info레벨
Jun 28 04:22:20 test21 NetworkManager[686]:
[1656404540.1023] device (eth1): state change: activated -> deactivating (reason ‘user-requested’, sys-iface-state: ‘managed’) Jun 28 04:22:20 test21 NetworkManager[686]: [1656404540.1066] audit: op=”device-disconnect” interface=”eth1″ ifindex=3 pid=2476 uid=0 result=”success” Jun 28 04:22:20 test21 systemd: Starting Network Manager Script Dispatcher Service… Jun 28 04:22:20 test21 NetworkManager[686]: [1656404540.1066] device (eth1): state change: deactivating -> disconnected (reason ‘user-requested’, sys-iface-state: ‘managed’) Jun 28 04:22:20 test21 dbus[678]: [system] Activating via systemd: service name=’org.freedesktop.nm_dispatcher’ unit=’dbus-org.freedesktop.nm-dispatcher.service’ Jun 28 04:22:20 test21 dbus[678]: [system] Successfully activated service ‘org.freedesktop.nm_dispatcher’ Jun 28 04:22:20 test21 systemd: Started Network Manager Script Dispatcher Service. Jun 28 04:22:20 test21 nm-dispatcher: req:1 ‘down’ [eth1]: new request (3 scripts) Jun 28 04:22:20 test21 nm-dispatcher: req:1 ‘down’ [eth1]: start running ordered scripts… Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0476] agent-manager: req[0x55d6a2595d50, :1.68/nmcli-connect/0]: agent registered Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0489] device (eth1): Activation: starting connection ‘eth1’ (9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0490] audit: op=”connection-activate” uuid=”9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04″ name=”eth1″ pid=2519 uid=0 result=”success” Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0490] device (eth1): state change: disconnected -> prepare (reason ‘none’, sys-iface-state: ‘managed’) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0492] device (eth1): state change: prepare -> config (reason ‘none’, sys-iface-state: ‘managed’) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0495] device (eth1): state change: config -> ip-config (reason ‘none’, sys-iface-state: ‘managed’) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0502] device (eth1): state change: ip-config -> ip-check (reason ‘none’, sys-iface-state: ‘managed’) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0505] device (eth1): state change: ip-check -> secondaries (reason ‘none’, sys-iface-state: ‘managed’) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0506] device (eth1): state change: secondaries -> activated (reason ‘none’, sys-iface-state: ‘managed’) Jun 28 04:22:28 test21 NetworkManager[686]: [1656404548.0576] device (eth1): Activation: successful, device activated. Jun 28 04:22:28 test21 nm-dispatcher: req:2 ‘up’ [eth1]: new request (3 scripts) Jun 28 04:22:28 test21 nm-dispatcher: req:2 ‘up’ [eth1]: start running ordered scripts… notice레벨
Jun 28 04:41:06 test21 dbus[678]: [system] Activating via systemd: service name=’org.freedesktop.nm_dispatcher’ unit=’dbus-org.freedesktop.nm-dispatcher.service’ Jun 28 04:41:06 test21 dbus[678]: [system] Successfully activated service ‘org.freedesktop.nm_dispatcher’
warning 레벨
없음
(응용프로그램)httpd 데몬을 정상적인 형태로 시작/중지 해보았을 때 다음과 같이 로그가 발생하였습니다.
http데몬 시작/중지
[root@test21 ~]# systemctl status httpd ● httpd.service – The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled) Active: active (running) since Thu 2022-06-30 03:14:33 EDT; 5s ago Docs: man:httpd(8) man:apachectl(8) Main PID: 6246 (httpd) Status: “Processing requests…” CGroup: /system.slice/httpd.service ├─6246 /usr/sbin/httpd -DFOREGROUND ├─6247 /usr/sbin/httpd -DFOREGROUND ├─6248 /usr/sbin/httpd -DFOREGROUND ├─6249 /usr/sbin/httpd -DFOREGROUND ├─6250 /usr/sbin/httpd -DFOREGROUND └─6251 /usr/sbin/httpd -DFOREGROUND Jun 30 03:14:33 test21 systemd[1]: Starting The Apache HTTP Server… Jun 30 03:14:33 test21 httpd[6246]: AH00558: httpd: Could not reliably determine the server’s fully qualified domain n…message Jun 30 03:14:33 test21 systemd[1]: Started The Apache HTTP Server. Hint: Some lines were ellipsized, use -l to show in full. [root@test21 ~]# systemctl stop httpdinfo레벨
Jun 28 04:49:10 test21 systemd: Starting The Apache HTTP Server… Jun 28 04:49:10 test21 httpd: AH00558: httpd: Could not reliably determine the server’s fully qualified domain name, using fe80::8fc1:5d44:e85a:1b0c. Set the ‘ServerName’ directive globally to suppress this message Jun 28 04:49:10 test21 systemd: Started The Apache HTTP Server. Jun 28 04:49:16 test21 systemd: Stopping The Apache HTTP Server… Jun 28 04:49:17 test21 systemd: Stopped The Apache HTTP Server.
notice레벨
없음
warning 레벨
없음
정상적인 절차로 이루어진 상황이라 info정보만 나타난 것으로 보이며, 비정상적인 상황이 발생하였다면 상위 레벨에서 에러 메시지가 발생되었을 것으로 예상됩니다.
(응용프로그램)tomcat 역시 info 레벨에서만 시작/중지에 대한 로그를 확인할 수 있었습니다.
tomcat 데몬 시작/중지
[root@test21 ~]# systemctl start tomcat [root@test21 ~]# systemctl status tomcat ● tomcat.service – Apache Tomcat Web Application Container Loaded: loaded (/usr/lib/systemd/system/tomcat.service; disabled; vendor preset: disabled) Active: active (running) since Thu 2022-06-30 03:12:39 EDT; 5s ago Main PID: 6083 (java) CGroup: /system.slice/tomcat.service └─6083 /usr/lib/jvm/jre/bin/java -Djavax.sql.DataSource.Factory=org.apache.commons.dbcp.BasicDataSourceFactory -cl… Jun 30 03:12:40 test21 server[6083]: Jun 30, 2022 3:12:40 AM org.apache.catalina.core.StandardService startInternal Jun 30 03:12:40 test21 server[6083]: INFO: Starting service Catalina Jun 30 03:12:40 test21 server[6083]: Jun 30, 2022 3:12:40 AM org.apache.catalina.core.StandardEngine startInternal Jun 30 03:12:40 test21 server[6083]: INFO: Starting Servlet Engine: Apache Tomcat/7.0.76 Jun 30 03:12:40 test21 server[6083]: Jun 30, 2022 3:12:40 AM org.apache.coyote.AbstractProtocol start Jun 30 03:12:40 test21 server[6083]: INFO: Starting ProtocolHandler [“http-bio-8080”] Jun 30 03:12:40 test21 server[6083]: Jun 30, 2022 3:12:40 AM org.apache.coyote.AbstractProtocol start Jun 30 03:12:40 test21 server[6083]: INFO: Starting ProtocolHandler [“ajp-bio-8009”] Jun 30 03:12:40 test21 server[6083]: Jun 30, 2022 3:12:40 AM org.apache.catalina.startup.Catalina start Jun 30 03:12:40 test21 server[6083]: INFO: Server startup in 47 ms [root@test21 ~]# systemctl stop tomcatinfo레벨
Jun 28 04:54:29 test21 systemd: Started Apache Tomcat Web Application Container. Jun 28 04:54:29 test21 server: Java virtual machine used: /usr/lib/jvm/jre/bin/java ⁞ Jun 28 04:54:30 test21 server: INFO: Starting Servlet Engine: Apache Tomcat/7.0.76 Jun 28 04:54:30 test21 server: Jun 28, 2022 4:54:30 AM org.apache.coyote.AbstractProtocol start Jun 28 04:54:30 test21 server: INFO: Starting ProtocolHandler [“http-bio-8080”] Jun 28 04:54:30 test21 server: Jun 28, 2022 4:54:30 AM org.apache.coyote.AbstractProtocol start Jun 28 04:54:30 test21 server: INFO: Starting ProtocolHandler [“ajp-bio-8009”] Jun 28 04:54:30 test21 server: Jun 28, 2022 4:54:30 AM org.apache.catalina.startup.Catalina start Jun 28 04:54:30 test21 server: INFO: Server startup in 53 ms Jun 28 04:54:40 test21 systemd: Stopping Apache Tomcat Web Application Container… Jun 28 04:54:40 test21 server: Jun 28, 2022 4:54:40 AM org.apache.coyote.AbstractProtocol pause ⁞ Jun 28 04:54:40 test21 server: Jun 28, 2022 4:54:40 AM org.apache.coyote.AbstractProtocol destroy Jun 28 04:54:40 test21 server: INFO: Destroying ProtocolHandler [“http-bio-8080”] Jun 28 04:54:40 test21 server: Jun 28, 2022 4:54:40 AM org.apache.coyote.AbstractProtocol destroy Jun 28 04:54:40 test21 server: INFO: Destroying ProtocolHandler [“ajp-bio-8009”] Jun 28 04:54:40 test21 systemd: Stopped Apache Tomcat Web Application Container
notice레벨
없음
warning 레벨
없음
rsyslog 테스트 – 두번째
설정값 변경 후 적용이 잘 되었는지 어떻게 알 수 있을까요?
원하는 메시지가 발생하거나 또는 발생하지 않는지 메시지 파일을 계속 열어봐야 할까요?
그럴 때 우리는 logger를 통해서 발생한 메시지를 통해 변경된 설정값이 잘 적용되었는지 확인해 볼 수 있습니다.
Priority 변경에 따른 로그 메시지 확인 (logger)
메시지 파일에 대한 로그레벨을 info 등급으로 설정합니다.
[root@test21 ~]# grep /var/log/messages /etc/rsyslog.conf *.info;mail.none;authpriv.none;cron.none /var/log/messages각 로그 단계별로 메시지를 발생 시킵니다.
[root@test21 ~]# logger -p daemon.info -t osci-tool.info “daemon이 정상적으로 동작하였습니다.” [root@test21 ~]# logger -p daemon.notice -t osci-tool.notice “클러스터간 이중화 체크가 정상적으로 확인되었습니다.” [root@test21 ~]# logger -p daemon.warn -t osci-tool.warn “클러스터간 통신상태가 원활하지 않습니다.”로그를 확인해 보니 info 이상 등급의 메시지가 잘 나타나는 것을 볼 수 있습니다.
[root@test21 ~]# tailf /var/log/messages Jun 28 21:09:48 test21 osci-tool.info: daemon이 정상적으로 동작하였습니다. Jun 28 21:10:29 test21 osci-tool.notice: 클러스터간 이중화 체크가 정상적으로 확인되었습니다. Jun 28 21:11:07 test21 osci-tool.warn: 클러스터간 통신상태가 원활하지 않습니다.메시지 파일에 대한 로그레벨을 warning 등급으로 설정합니다.
[root@test21 ~]# grep /var/log/messages /etc/rsyslog.conf *.warn;mail.none;authpriv.none;cron.none /var/log/messages각 로그 단계별로 메시지를 발생 시킵니다.
[root@test21 ~]# logger -p daemon.info -t osci-tool.info “daemon이 정상적으로 동작하였습니다.” [root@test21 ~]# logger -p daemon.notice -t osci-tool.notice “클러스터간 이중화 체크가 정상적으로 확인되었습니다. ” [root@test21 ~]# logger -p daemon.warn -t osci-tool.warn “클러스터간 통신상태가 원활하지 않습니다.”로그를 확인해 보니 info/notice 등급의 메시지가 발생하지 않았다는 것을 볼 수 있습니다.
[root@test21 ~]# tailf /var/log/messages Jun 28 21:12:38 test21 osci-tool.warn: 클러스터간 통신상태가 원활하지 않습니다.※ 참고로 테스트 중에 Facility를 kernel로 설정한 경우 log가 제대로 출력되지 않는 현상이 있었습니다.
kernel Facility는 로컬 커널에 의해 생성되는 메시지를 위해 예약되어 있어 logger를 통해 해당 Facility로 메시지를 생성할 경우 자동으로 user Facility 로 변경된다고 합니다.
이럴 때에는 Facility값을 단독으로 설정한 경우가 아닐 경우(*처럼 모두를 포함하는 경우) 다른 Facility값을 기준으로 삼아서 확인해야 하는 점 참고 하시면 좋을 것 같습니다.
마치며…
이렇게 시스템 로그를 관리해 주는 rsyslog의 기본 구성을 파악하고, 설정값을 이해하게 되었습니다.
그리고 로그 레벨에 따라 어떤 메시지가 발생하는지, 로그 레벨 변경 후 잘 적용되었는지 확인하는 방법까지 알게 되었습니다.
2편에서는 시스템 로그를 다양하게 관리할 수 있는 방안에 대해 이야기를 나누어 볼 건데요.
먼저 로그 서버를 구축하고 연동하여 시스템 로그를 통합 관리하는 방안과, 시스템 로그를 DB에 저장하여 관리하는 방법, 그리고 마지막으로 이벤트 발생 시 사용자에게 알릴 수 있는 다양한 방법에 대해 알아보는 시간을 갖도록 하겠습니다.
참고 사이트
/etc/syslog.conf, /etc/rsyslog.conf
syslog.conf 와 rsyslog.conf 파일의 기본 위치는 /etc 이다.
즉, 두 파일을 확인하려면
# cat /etc/syslog.conf 또는,
# cat /etc/rsyslog.conf 이다.
두 로그의 차이점은 다음에 살펴보도록 하고,,,
AIX에서는
기본적으로 syslog를 사용할 수 있고, rsyslog는 설치 후 사용할 수 있다.
syslog과 rsyslog 의 프로세스 상태 확인 명령어는 동일하다.
#startsrc -s syslog
#stopsrc -s syslog
#lssrc -s syslog
* 참고사항 : 기존의 syslog를 정지하고 rsyslogd를 실행하려면 syslog_ssw -r
기존의 rsyslog를 정지하고 syslog를 실행하려면 syslog_ssw -s
[Linux] rsyslog 원격 로깅 구성하기
개요
그 동안은 WINDOW에 대해서 많은 공유를 했었어서 이번에는 쉬어가는 항목으로 Linux 로그와 관련된 게시글을 기재하고자 한다. 필자가 사용하는 모든 Linux는 별도 라이센스를 사용하지 않아도 되는 CentOS만을 기반으로 하며 각 Server/Client 는 동일 대역의 네트워크를 사용하는 가상 사설망이다. 초기 설치 이후에 하면 좋은 로그 설정값과 다양하게 활용할 수 있는 방안도 기재하였으니 필요에 따라서 적용하면 효율적으로 관리할 수 있을 것이다. 사실 로그 관리라는게 평시에는 큰 필요성을 못 느낄 수 있으나 해킹사고/장애발생과 특이한 상황에서 용이하게 사용될 수 있다.
구성 환경
먼저 이번에 사용한 환경에 대하여 기술한다. 각 Server와 Client의 큰 영향을 받지는 않는 내용이지만 혹시라도 본인이 구성한 뒤에 정상적으로 동작하지 않는다면 환경적으로 차이는 없는지 살펴보기 바란다.
Server : CentOS
Client : RHEL
Package : rsyslog (Defualt)
rsyslog
모든 시스템은 기본적으로 설치한 뒤, 자동적으로 각 항목에 대하여 로깅을 한다. 로깅이란 시스템에서 발생하는 모든 이벤트에 대한 기록을 말하며, 어느 정도 수준으로 로깅할지는 관리자가 설정할 수 있다. 대부분의 Linux 배포판에서 사용하는 로깅 패키지는 rsyslog이며, CentOS/RHEL/Debian/Ubuntu과 같은 배포판들에 기본적으로 설치되어 있다. 2004년에 최초로 시작되었으며 “syslog → syslog-ng → rsyslog”와 같은 이름으로 변경되어 왔다.
rsyslog (서버 단독 사용)
그렇다면 서버는 어떤 식으로 구축해야 하는지 살펴보자. 간단하게 표현하면 “어떤 항목에 대하여 어떤 수준으로 어떤 경로에 로깅할 것인가” 라는 항목으로 설정하면 된다. 아래는 기본적으로 설정된 값이며 주요 문법은 아래와 같다.
예시 mail.* /var/log/maillog 설명 Logging 항목.Logging 레벨 Logging 경로 mail에 대한 모든 레벨을 Logging –
그림-1. /etc/rsyslog.conf 기본 Default 설정
기본 설정값으로 cron/mail/auth 등의 항목을 Logging 하며, 각각의 레벨은 상이하다. 이 외에도 명령어 입력 시 Logging 을 남기는 등 개인적인 수정이 가능하지만 본 문서에서는 다루지 않는다. 이와 같은 설정을 통하여 단독 서버에 대한 Logging 방법을 설정할 수 있으며 추가적인 설정을 통하여 각 Client → Server 방식으로 하나의 중앙 로그 서버를 구성할 수도 있다.
rsyslog 중앙 로그 서버 구성 (Server)
중앙 로그 서버를 구성하기 위하여 Server에서는 관련 모듈을 활성화해주고 어떤 경로에 사용할지만 선언해주면 된다. 혹여나 패키지 버전에 따라 설정파일에서 일부 차이가 있을 수 있으므로 여기서부터는 아래 항목처럼 적용되어 있는지만 확인해보도록 하자. 기본 설정값과 비교하여 어떤 점이 변경되었는지는 좌측에 명시해두었다.
※ 경로 : /etc/rsyslog.conf
rsyslog 데이터 수신을 위한 UDP 프로토콜 활성화
– (주석제거) $ModLoad imudp
– (주석제거) $UDPServerRun 514
Logging 위치 템플릿 생성
– (신규 추가) $template TmplAuth, “/var/log/%$hostname%.log”
rsyslog 서비스 재 시작
# systemctl restart rsyslog or # service rsyslog restart
rsyslog 중앙 로그 서버 구성 (Client)
Client에서는 중앙 로그 서버로 어떤 항목을 Logging 할지만 명시해주면 된다. 그 중에서도 주의해야할 설정은 송신하는 프로토콜에 따라 형식이 달라지는데, “@=UDP / @@=TCP” 이므로 주의해서 사용하도록 하자.
※ 경로 : /etc/rsyslog.conf
rsyslog 데이터 송신을 위한 설정
– (신규 추가) *.* @@remote-host:514
rsyslog 서비스 재 시작
# systemctl restart rsyslog or # service rsyslog restart
위와 같이 설정하고 방화벽 등의 네트워크적으로 차단되는 내역이 없다면 중앙으로 로그가 수집되는 것을 확인할 수 있다. 내용은 기존 Client에 쌓이는 것이 정상이며 만약 로그가 쌓이지 않는다면 우선 Server에서 tcpdump 등을 사용하여 패킷이 들어오는지부터 확인해보도록 하자.
그림-2. rsyslog Client → Server 구성 완료 예시
마무리
이번엔 rsyslog를 간단하게 활용할 수 있는 방안에 대하여 기술하였습니다. 로그는 평시에는 잘 사용되지 않지만 특정 상황에서 유용하게 활용될 수 있으므로 항상 시스템을 구비해놓은 것이 좋습니다. 다만 위와 같은 기본 설정을 사용할 경우엔 데이터가 평문으로 이동되어 주요 정보가 노출될 가능성이 있기에 TCP를 통하여 암호화하는 것을 테스트 해보고 있습니다. 정리되는 대로 게시할 예정이니 궁금하신 사항은 댓글 남겨주시기 바랍니다.
긴 글 읽어주셔서 감사합니다.
리눅스 auth와 authprive의 차이 (rsyslog)
로그 관련 설정인 rsyslog.conf에서 사용되는 facility중에서 auth, authpriv에는 차이가 있다.
auth는 원격 서비스 접속 기록을 남기며, authpriv는 su 명령어의 사용기록 및 로그인 성공 실패 여부의 기록을 남기게 된다.
auth는 security와 같으며 login과 같은 인증프로그램에 관련된 메시지를 기록한다.
반면, authpriv는 ssh와 같이 인증을 필요한 프로그램이 발생한 메시지를 기록한다.
The facility is one of the following keywords: auth, authpriv, cron, daemon, kern, lpr,
mail, mark, news, security (same as auth), syslog, user, uucp and local0 through local7.
The keyword security should not be used anymore and mark is only for internal use and
therefore should not be used in applications. Anyway, you may want to specify and redirect these messages here.
The facility specifies the subsystem that produced the message, i.e. all mail programs log with the mail facility (LOG_MAIL) if they log using syslog.
# 예시문제
다음은 시스템 로그 관련 설정을 하는 과정이다. 조건에 맞게 ( 괄호 ) 안에 알맞은 내용을 적으시오.
가. cron 및 mail 관련 모든 기록은 /var/log/cronmail 파일에 기록한다.
( ① )
나. ssh와 같은 인증 관련 모든 기록은 root 사용자의 터미널로 전송한다.
( ② )
다. 모든 facility에서 발생되는 crit 수준 이상의 메시지는 /var/log/critical 파일에 기록한다.
( ③ )
라. 메일 관련 모든 기록은 /var/log/mailog 파일에 기록하는데, info 수준의 로그는 제외한다.
( ④ )
■ 조건
– ① ∼ ④번은 관련 항목의 설정 값을 하나씩 기입한다.
1: cron.*;mail.* var/log/cronmail
2: auth.* :omusrmsg:root
3: *.crit /var/log/critical
4: mail.*;mail.!=info /var/log/mailog
① cron,mail.* /var/log/cronmail
(cron.*;mail.* 가능, cron 및 mail 순서 바뀌어도 가능) 1점
② authpriv.* root 1점
③ *.crit /var/log/critical 1점
④ mail.*;mail.!=info /var/log/mailog
(/var/log/mailog 및 /var/log/maillog 복수인정) 1점
키워드에 대한 정보 syslog rsyslog 차이
다음은 Bing에서 syslog rsyslog 차이 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 Syslog 설명 | 시스코 CCNA 200-301
- Syslog explained
- Syslog
- ccna 200-301
- Cisco logging
- Logging
- log information
- CCNA Syslog
- System Logging
- Cisco CCNA
- Syslog server
- server logs
- log server
- logging
- syslog
- syslog server
- servers
- ccna training
- cisco
- cisco ccna
- cisco networking
- computer networking
- computer networking course
- networking
- networking tutorial
Syslog #설명 #| #시스코 #CCNA #200-301
YouTube에서 syslog rsyslog 차이 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 Syslog 설명 | 시스코 CCNA 200-301 | syslog rsyslog 차이, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
