[리눅스] 로그 파일, last, lastlog, lastb

전체로그

로그 파일	설명
/var/log/messages	시스템에서 발생한 표준 메시지 root만 읽을 수 있음 날짜 및 시간, 메시지가 발생한 호스트명, 메시지를 발생시킨 내부 시스템이나 응용프로그램의 이름, 발생된 메시지 등이 콜론(:)으로 구분되어 순서대로 기록
/var/log/secure	인증, 접속과 관련된 로그 로그인 (telnet, ssh), tcp_wrappers. xinetd
/var/log/dmesg	시스템이 부팅할 때 출력되었던 로그 보통 커널 부트 메시지 로그라고 한다
/var/log/maillog	sendmail, dovecot 등 메일 관련 작업
/var/log/xferlog	FTP 접속과 관련 작업
/var/log/cron	cron 관련
/var/log/boot.log	부팅 시 발생되는 메시지 부팅 시 동작하는 데몬 관련 정보
/var/log/lastlog	telnet, ssh 를 이용해서 접속한 각 사용자의 마지막 정보가 기록 바이너리 파일 lastlog 명령
/var/log/wtmp	콘솔, telnet, ftp 등을 이용해서 접속한 사용자의 기록 바이너리 파일 last 명령
/var/log/btmp	wtmp와 반대 접속 실패 바이너리 파일 lastb 명령

 

/var/log/utmp 현재 로그인한 사용자 상태정보

w, who, finger

 

/var/log/wtmp 사용자의 성공한 로그인/로그아웃

last [option]

 

옵션	설명
-f 파일명	로그 로테이션이 설정되어 있는 경우, 기본 로그 파일 이외의 다른 파일의 기록을 볼 때 사용
-n 숫자	가장 최근부터 해당 숫자값 만큼만 출력 -숫자 옵션과 동일
-t YYYYMMDDHHMMSSS	지정한 시간 이전에 로그인한 기록
-R	ip주소나 호스트명을 출력하지 않는다
-a	호스트명이나 ip주소 필드를 맨 마지막에 출력 일반적으로 -d 옵션과 사용
-d	리눅스는 외부에서 접속한 기록을 ip주소 뿐만 아니라 호스트 이름도 지정하는데, 이 옵션을 사용하면 호스트 이름이 존재하는 경우엔 ip주소를 호스트 이름으로 변환하여 출력한다.
-F	로그인 및 로그아웃 시간을 출력
-i	접속한 호스트의 ip주소로만 출력
-w	사용자의 전체 이름이나 전체 도메인 이름을 전부 출력

 

user의 로그인 정보

last user

 

시스템 재부팅 정보

last reboot

 

최근 재부팅 정보 하나

last -1 reboot

 

/var/log/lastlog 가장 최근에 성공한 로그인 기록 (모든 계정)

lastlog

[-u 계정명] 으로 사용자를 지정하여 확인 가능 (--user)

[-t 일수] 해당 일수 이내에 접속한 기록 확인 가능 (--time)

[-b 날짜 수 ] 날짜 전 정보 (--before)

 

user의 최종 로그 기록

lastlog -u user

 

최근 3일 내 로그인한 사용자의 기록

lastlog -t 3

 

최근 3일 이전 로그인

lastlog -b 3

 

/var/log/btmp 실패한 로그인 시도

lastb

 

옵션	설명
-f	로그인 내역을 지정 파일에서 로드
-a	호스트 이름을 마지말 열에 표시
-d	호스트를 호스트 이름으로 표시
-i	호스트를 IP 주소로 표시
-n [숫자]	숫자 건수 보기
-s	역순으로 하기 위해 구분 기호를 지정
-x	종료 런레벨 변경 내역보기
-R	호스트 이름을 표시
- [숫자]	숫자 건수로 보기

 

user의 로그인 실패 기록

lastb user

 

가장 최근에 로그인 실패한 3개 기록

lastb -3

 

/var/log/dmesg

리눅스가 부팅될 때 출력되는 모든 메세지 기록

부팅 시의 에러나 조치사항을 보려면 이 파일을 참조

 

/var/log/messages

logger 명령어

/var/log/message 파일에 원하는 메시지(로그)를 기록할 수 있는 명령어

-i : 각각의 라인마다 logger의 프로세스 ID를 기록
-s : 시스템 로그뿐만 아니라 표준 출력으로도 메시지를 기록
-f 파일명 : 지정한 파일에 로그를 기록

---

 

1. lastlog -t 3

2. last ihduser

3. lastb kaituser

4. lastlog -u kaituser

 

 

2101

1. /var/log/messages

2. /var/log/secure

3. last

4. lastb

 

 

2002

1. last

2. lastlog -u

3. lastb

4. lastb -3 또는 last -n 3

 

 

2001

8. 시스템 로그인에 실패한 정보를 현재 로그 파일의 기록부터 지난 로그 파일 순으로 확인하는 과정이다. 조건에 맞게 ( 괄호 ) 안에 알맞은 내용을 적으시오.

가. 로그인에 실패한 정보를 출력한다.
# ( 1 )

나. 지난 로그 파일의 기록을 확인한다.
# ( 1 ) ( 2 ) /var/log/btmp-20200331

조건
1번은 관련 명령어만 기입한다.
2번은 1번에 사용되는 명령어의 옵션만 기입한다. 명령어가 틀리면 채점하지 않는다.

1. lastb

2. -f

 

 

1902

1. /var/log/secure

2. /var/log/maillog

 

 

1902

1. /var/log/boot.log

2. /var/log/maillog

dovecot : 전자메일서버

 

 

1901

1. last -2 reboot (-n -2)

2. last tty3 (3)

3. lastb kaituser

4. lastlog -u ihduser

 

 

1802

1. lastb -f

2. /var/log/btmp

3. last -f

4. /var/log/wtmp

 

 

1702

1. logger

2. -i

---

 

참고 :

https://pikabu.tistory.com/96

https://starrykss.tistory.com/1809

https://flightsim.tistory.com/235