리눅스 서버를 사용하는 중 서버가 다운되는 현상
첫 번째로는 서버 사양이 낮은 경우 과부하가 걸리면 먹통이 된다.
두 번째는 웹서비스를 만들고 사이트가 노출이 되는 사이트 면 많이들 공격한다.
서버 사양이 낮은데 트래픽이 몰리다 보면 디도스처럼 서버가 다운되는 현상이 있다.
확인 방법은 로그를 조회해 본다 기본적으로 로그파일들 위치는 /var/log에 저장되어 있다
사용자 ssh 접속기록 날짜 아이피 등등 기록되어 있다.
rsyslog 설치 설치가 안 되어있다면 설치
sudo yum install rsyslog
rsyslog 시작 및 enable 상태 유지
sudo systemctl start rsyslog
sudo systemctl enable rsyslog
리눅스에서 로그 조회하는 방법
전체로 보고 싶다면 cat 명령어 사용
sudo cat /var/log/messages
특정 날짜 조회 방법
sudo grep "특정 문자열" /var/log/messages
특정 문자열에는 찾고 싶은 특정 날짜나 특정 이벤트에 관한 내용을 넣어주면 된다.
그럼 이런 형식으로 나온다.
Apr 29 15:41:16 ip-XXX-XX-X-XXX audit[XXXX]: CRYPTO_SESSION pid=XXXX uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-server cipher=aes128-ctr ksize=128 mac=hmac-sha2-256 pfs=curve25519-sha256@libssh.org spid=XXXX suid=74 rport=54346 laddr=XXX.XX.X.XXX lport=22 exe="/usr/sbin/sshd" hostname=? addr=XXX.XXX.XXX.XX terminal=? res=success'
내 아이피로 접속하지 않았는데 success 로 나온다.
이중으로 확인해본다.
이건 전체 로그 조회
sudo cat /var/log/secure
특정 아이피 조회
sudo cat /var/log/secure | grep "sshd" | grep "XXX.XXX.XXX.XX"
결과 연결이 닫혔다고 나온다.
Apr 29 15:41:30 ip-XXX-XX-X-XXX sshd[XXXX]: Connection closed by XXX.XXX.XXX.XX port 54346 [preauth]
다행이다 보안을 철저히 해야겠다.
로그인 성공한 항목만 모아보기
sudo grep 'Accepted' /var/log/secure
사이트 먹통이 됐다면 빠르게 확인
리눅스에서는 로그파일이 로테이션될 수도 있다.