[Linux] /etc/syslog.conf 의 이해

- /etc/syslog.conf 파일은 시스템 로그데몬 'syslogd' 이 실행이 될때 참조되는 로그설정파일로써 관련된 로그파일들이 어떤 경우에 어떤 파일에 남겨지는가에 대하여 정의하고 있음

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog

# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

/etc/syslog.conf 설정형식

facility.priority;facility.priority                  logfile-location
    A        B        A        B                              C

" A 서비스(데몬)에 대하여 B의 경우에 해당하는 상황이 발생하였을 때에 C 로그파일에 그 기록을 남겨라 "

- facility : 서비스이름 ( 메시지의 종류 )

facility	설 명
*	모든 서비스를 의미함.
auth	로그인과 같이 사용자 인증에 관한 메시지
authpriv	보안 및 승인에 관한 메시지
cron	crond 데몬과 atd 데몬에 의해 발생하는 메시지
daemon	telnet, ftp 등과 같은 데몬에 의한 메시지
kern	kernel에 의한 메시지로서 커널메시지라고 함.
lpr	프린터 데몬인 lpd에 의해 발생되는 메시지
mail	sendmail 또는 qmail 등의 메일에 의해 발생되는 메시지
news	innd 등과 같은 뉴스시스템에 의해 발생되는 메시지
uucp	uucp에 의한 시스템에 의한 메시지
user	사용자에 의해 생성된 프로세스
syslog	syslogd에 의해 발생되는 메시지
local0~local7	시스템부팅 메시지 기록, 기타 여분서비스에 사용하기 위함.

- priority : 메시지의 우선순위를 의미함. (또는 level)

priority	설 명 (저장되는 해당 메시지)
*	발생하는 모든 상황에 대한 메시지
debug	최하위, 디버깅(debugging)관련 메시지(가장낮은 단계)
info	단순한 프로그램에 대한 정보 및 통계관련 메시지
notice	에러가 아닌 알림에 관한 메시지
warning	주의를 요하는 메시지
err	에러가 발생한 상황의 메시지
crit	급한상황은 아니지만 치면적인 시스템 문제발생 상황의 메시지
alert	즉각적인 조치를 취해야하는 상황의 메시지
emerg	최상위, 매우 위험한 상황의 메시지, 전체공지가 요구되는 메시지
none	어떠한 경우라도 메시지를 저장하지 않음.

---

/etc/syslog.conf 파일의 각행에 대한 설명

#kern.*        /dev/console

위의 설정은 kernel에 관련된 로그(klogd) 기록을 /dev/console (모니터)에 뿌려주라는 의미이다.

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

시스템 로그파일로써, *.info는 모든 서비스에 대한 info 레벨의 메시지를 의미하고, mail.none 은 메일에 관한 none 레벨의 메시지를 각각 의미한다. 그리고 세미콜론(;)으로 구분되어 있는 것은 각각의 A.B에 해당하는 설정을 동시에 여러개 지정하기 위함이다.

authpriv.*                   /var/log/secure

authpriv에 해당하는 데몬들에 대한 모든 상황에 대한 기록을 /var/log/secure 파일에 하라는 의미.
즉, authpriv 에 속하는 서비스들은 xinetd(tcp_wrapper), telnet, ftp, finger 등이므로 이 데몬들에 대한 모든 상황발생에 대하여
/var/log/secure 로그파일에 기록한다. 즉 이경우 xinetd에 관련된 데몬들은 /etc/xinetd.d/* 파일에 설정되어 있으며, 해당되는 데몬들은 telnet, ftp, finger 등이다.

mail.*               /var/log/maillog

메일에 관련된 모든로그(*)를 /var/log/maillog 에 남기라는 의미이다. 즉 mail 이라는 서비스에 해당하는 것은 sendmail 과 qmail, 그리고
ipop, imap 등이다. 이들에 관한 모든기록(*)을 /var/log/maillog파일에 한다는 의미이다.

cron.*           /var/log/cron

시스템 크론데몬(crond)에 관련된 모든로그(*)를 /var/log/cron 에 남기도록 한 설정이다.cron 이라는 서비스에 해당하는 것은 crond 라는 데몬뿐 아니라, atd 라는 예약작업 데몬도 이에 해당한다. 따라서 crond 데몬과 atd 데몬등에 의해 발생되는 모든 메시지를 /var/log/cron 파일에 기록한다.

local7.*       /var/log/boot/log

시스템이 부팅될 때의 로그메시지로서 /var/log/boot.log 파일에 그 기록을 남기게 된다.
시스템 부팅 메시지는 dmesg 란 명령어로 볼수도 있으며, /var/log/dmesg 란 파일을 직접 열어봐도 알수있다.

---

[ 커널 로그데몬과 시스템 로그데몬 컨트롤 하기 ]

:: ..]# /etc/rc.d/init.d/syslog [start | stop | restart ]

[ 마지막  로그인(접속) 정보 확인하기 ]

명령어 : lastlog ( log: /var/log/lastlog )
옵션 :
-b, --before <날짜>  :  <날짜>일 이전의 최근 기록을 표시함.
-t,  --time    <날짜>  :  <날짜>일 내의 최근 기록만 표시함.
-u, --user  <로그인> : <로그인> 사용자의 최근 기록만 표시함.