Rsyslog

2022-11-17 최대 1 분 소요

rsyslog

시스템에 로그 메시지를 남기고 처리하는 프로그램과 설정파일을 모두 합쳐서 부르는 말로 logging Message Program 의 표준
Kernel 이나 System Util 에서 발생한 메시지를 rsyslogd Daemon이 전송
- /etc/rsyslog.conf 파일에 정의된 정보에 의해 Message를 기록
- /etc/rsyslog.conf 을 수정하여 로그의 저장 위치 및 파일 이름을 수정할 수 있음 - UDP 514 Port 사용

2022-11-17-06rsyslog

설치 확인

[root@localhost ~]# systemctl status rsyslog

2022-11-17-01실행

기존 secure 로그파일의 이름을 다른파일이름으로 생성되도록 추가

vim /etc/rsyslog.conf

2022-11-17-02추가

로그 파일 확인

[root@localhost ~]# ls -al /var/log/redy

2022-11-17-03확인

rsyslog 데몬을 재시작후 로그파일 생성 된것을 확인

[root@localhost ~]# systemctl restart rsyslog
[root@localhost ~]# ls -al /var/log/redy

2022-11-17-04확인

SSH 로그인 실패 를 몇번후 > 파일 확인

[root@localhost ~]# tail -20 /var/log/redy

2022-11-17-05확인

rsyslog 구조

2022-11-17-07구조

2022-11-17-08종류

2022-11-17-09순위

rsyslog action

Device에 출력 : [device 명]

action : 어디에 로그를 기록한것인가

sulog 출력 관련 부분 을 다시 설정

2022-11-17-10설정

2022-11-17-11확인

터미널 실행

2022-11-17-12터미널 2개

파일 편집

[root@localhost ~]# vim /etc/rsyslog.conf

2022-11-17-13편집

데몬 재시작 후 다른 터미널에서 su 테스트

[root@localhost ~]# systemctl restart rsyslog

2022-11-17-14실행

2번 터미널에 log 출력된거 확인

계정에 전송 : [계정 명]

계정 관련 파일 편집

[root@localhost ~]# vim /etc/rsyslog.conf

2022-11-17-15변경

데몬 재시작 후 다른 터미널에서 su 테스트

[root@localhost ~]# systemctl restart rsyslog

2022-11-17-16확인

특정 계정에만 알림

[root@localhost ~]# vim /etc/rsyslog.conf

2022-11-17-17계정

데몬 재시작 후 다른 터미널에서 su 테스트

[root@localhost ~]# systemctl restart rsyslog

2022-11-17-18확인

Twitter Facebook LinkedIn

YongJoo Choi

Rsyslog

rsyslog

기존 secure 로그파일의 이름을 다른파일이름으로 생성되도록 추가

rsyslog action

Device에 출력 : [device 명]

계정에 전송 : [계정 명]

공유하기

댓글남기기

참고

Snmp

Docker

네트워크 공격 패킷 로그 분석

웹 로그 분석