리눅스 서버 접속 로그 확인

 

 

리눅스 서버를 사용하는 중 서버가 다운되는 현상

첫 번째로는 서버 사양이 낮은 경우 과부하가 걸리면 먹통이 된다.

두 번째는 웹서비스를 만들고 사이트가 노출이 되는 사이트 면 많이들 공격한다.

서버 사양이 낮은데 트래픽이 몰리다 보면 디도스처럼 서버가 다운되는 현상이 있다.

확인 방법은 로그를 조회해 본다 기본적으로 로그파일들 위치는 /var/log에 저장되어 있다

사용자 ssh 접속기록 날짜 아이피 등등 기록되어 있다.

 

 

 

rsyslog 설치 설치가 안 되어있다면 설치

sudo yum install rsyslog

 

 

 

rsyslog 시작 및 enable 상태 유지

sudo systemctl start rsyslog
sudo systemctl enable rsyslog

 

 

 

리눅스에서 로그 조회하는 방법

전체로 보고 싶다면 cat 명령어 사용

sudo cat /var/log/messages

 

특정 날짜 조회 방법

sudo grep "특정 문자열" /var/log/messages

특정 문자열에는 찾고 싶은 특정 날짜나 특정 이벤트에 관한 내용을 넣어주면 된다.

 

그럼 이런 형식으로 나온다.

Apr 29 15:41:16 ip-XXX-XX-X-XXX audit[XXXX]: CRYPTO_SESSION pid=XXXX uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-server cipher=aes128-ctr ksize=128 mac=hmac-sha2-256 pfs=curve25519-sha256@libssh.org spid=XXXX suid=74 rport=54346 laddr=XXX.XX.X.XXX lport=22 exe="/usr/sbin/sshd" hostname=? addr=XXX.XXX.XXX.XX terminal=? res=success'

내 아이피로 접속하지 않았는데 success 로 나온다.

 

이중으로 확인해본다.

이건 전체 로그 조회

sudo cat /var/log/secure

 

특정 아이피 조회

sudo cat /var/log/secure | grep "sshd" | grep "XXX.XXX.XXX.XX"

 

결과 연결이 닫혔다고 나온다.

Apr 29 15:41:30 ip-XXX-XX-X-XXX sshd[XXXX]: Connection closed by XXX.XXX.XXX.XX port 54346 [preauth]

다행이다 보안을 철저히 해야겠다.

 

 

로그인 성공한 항목만 모아보기

sudo grep 'Accepted' /var/log/secure

 

 

사이트 먹통이 됐다면 빠르게 확인

리눅스에서는 로그파일이 로테이션될 수도 있다.

 

 

 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다