[System] 웹 서버(IIS, Apache, WebtoB) 및 OS(Windows, Unix, Linux) 로그 경로

웹 서버 종류별 웹로그 저장 위치

① IIS

- %SystemDrive%\inetpub\logs\LogFiles

* %SystemDrive는 윈도우가 설치되어 있는 드라이브(ex. C)

* 위치 설정은 IIS 관리자> 로깅> 로그파일> 디렉터리

* W3SVCXX : 웹 사이트의 로그 파일.

* FTPSVCXX : FTP 사이트의 로그 파일.

 

② Apache

2-1 리눅스 연동 시

- /var/log/error_log

- /var/log/access_log

- /var/log/httpd/error_log

- /var/logs/httpd/access_log

- /var/log/apache2/error_log

- /var/log/apache2/access.log

* 위와 같이 OS 버전별로 다를 수 있으며, default 정보.

* Apache 설치경로/conf/httpd.conf에서 경로 설정.

- ErrorLog logs/error_log

- CustomLog log/access_log

 

2-2 윈도우 연동 시

- Apache 설치 디렉토리/logs/error.log

- Apache 설치 디렉토리/logs/access.log

- Apache

 

③ WebtoB

3.1. WebtoB Log 경로

- Default 위치는 $WEBTOBDIR/log 이지만 환경 설정을 이용하여 변경할 수 있음.

3.2. syslog

- WebtoB Engine 에서 남기는 로그로 WebtoB 의 이상 유무를 체크하여 로그로 남긴다.

- 특이한 이상이 없는 한 많은 로그를 남기지 않는다.

- 일별로 생성되며 기본 위치는 $WEBTOBDIR/log/syslog 이다.

3.3. errorlog

- 클라이언트가 웹으로 접속하여 호출 시 에러가 발생한 모든 uri 정보를 남긴다.

- 일별로 생성되며 기본 위치는 $WEBTOBIDIR/log/errorlog 이다.

3.4. accesslog

- 클라이언트가 웹으로 접속 시 호출하는 모든 요청정보를 남긴다.

- 일별로 생성되며 기본 위치는 $WEBTOBDIR/log/accesslog 이다.

 

OS별 시스템 로그 저장 위치

① Windows

Windows 시스템에서는 시스템의 로그가 이벤트 로그형식으로 관리되며, 이벤트 로그를 확인하기 위해서는 Windows 의 이벤트 뷰어를 이용해야 한다.

 

* 윈도우 이벤트 뷰어: [시작] -> [제어판] -> [관리도구] -> [이벤트 뷰어]

 

Windows 시스템은 응용 프로그램 로그, 보안 로그, 시스템 로그와 같은 세가지 로그를 이벤트에 기록하며, OS 구성에 따라 디렉토리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그 가 추가될 수 있다.

- 응용 프로그램 로그: 응용 프로그램이 기록한 이벤트.

- 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용 관련 이벤트. 감사로그 설정을 통해 다양한 보안 이벤트 저장 가능

- 시스템 로그 : Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드 되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록

 

※ 윈도우 OS 구성에 따른 추가 로그

- 디렉터리 서비스 로그 : 윈도우 Active Directory 서비스에서 발생하는 이벤트를 기록

- 파일 복제 서비스 로그 : 윈도우 파일 복제 서비스에서 발생하는 이벤트를 기록

- DNS 서버 로그 : 윈도우 DNS 서비스에서 발생하는 이벤트 기록

 

[ 이벤트 로그 5가지 유형 ]

이벤트 유형	설명
오류	데이터 손실이나 기능 상실 같은 중대한 문제로, 시스템을 시작하는 동안 서비스가 로드되지 못했을 경우와 같은 로그 기록
경고	시스템에 문제가 발생할 수 있는 문제를 미리 알려주는 이벤트로, 디스크 공간이 부족할 떄와 같은 로그 기록
정보	응용프로그램, 드라이버 또는 서비스가 성공적으로 수행되었음을 설명
성공 감사	감사된 보안 이벤트의 성공
실패 감사	감사된 보안 이벤트의 실패

 

[ 이벤트 로그 주요 정보 ]

 1) 개체 엑세스 감사 로그 정보

이벤트 ID	이벤트 로그 내용
560	개체에 대한 접근 허가
562	개체에 대한 핸들 닫힘(이벤트의 종료)
563	삭제할 목적으로 개체에 접근
564	보호된 개체의 삭제

 

 2) 계정관리 감사 로그 정보

이벤트 ID	이벤트 로그 내용
624	사용자 계정 생성
625	사용자 계정 유형 변경
626	사용할 수 있는 사용자 계정
627	암호 변경 시도
628	사용자 계정 암호 설정
629	사용하지 않는 사용자 계정
630	삭제된 사용자 계정
636	보안사용 로컬 그룹 구성원 추가
637	보안사용 로컬 그룹 구성원 제거
642	변경된 사용자 계정
643	변경된 도메인 정책
644	사용자 계정 잠김

 

 3) 계정 로그온 감사 로그 정보

이벤트 ID	이벤트 로그 내용
680	로그인 성공 정보
681	로그인 실패 정보

 

 4) 로그인 이벤트 감사 로그 정보

이벤트 ID	이벤트 로그 내용
528	로그인 성공
529	알 수 없는 계정이나 잘못된 암호를 이용한 로그인 시도
530	로그인 시 허용 시간 이내에 로그인 실패
531	사용이 금지된 계정을 이용한 로그인 시도
532	사용 기간이 만료된 계정을 이용한 로그인 시도
533	로그인이 허용되지 않은 계정을 이용한 로그인 시도
534	허용되지 않은 로그인 유형을 통한 로그인 시도
535	암호 사용 기간의 만료
537	위의 사항에 해당하지 않으나 로그인 실패인 경우
538	로그오프
539	로그인하려는 계정의 잠김
540	로그인 성공

 

 5) 프로세스 추적 감사 로그 정보

이벤트 ID	이벤트 로그 내용
592	새 프로세스 생성
593	프로세스 종료
595	개체에 대한 간접적인 접근

 

 6) 시스템 이벤트 감사 로그 정보

이벤트 ID	이벤트 로그 내용
512	윈도우 시동(부팅)
513	윈도우 종료
516	저장 공간의 부족으로 보안 이벤트 손실
517	보안 로그 삭제

 

② Unix

- /usr/admn : (초기 유닉스) HP-UX9.X, SunOS 4.X

- /var/adm : (최근 유닉스)솔라리스,HP-UX 10.X이후, IBM AIX

- /var/log : FreeBSD, 솔라리스(/avr/adm과 나누어 저장)

- /etc/syslog.conf(syslog 데몬설정 파일)

 

③ Linux

- /etc/syslog.conf에서 로그파일 설정 관리

- /var/log/messages [모든 데몬의 시스템 로그]

- /var/log/secure [보안인증 관련 메시지 로그]

- /var/log/dmesg [부팅 관련 메시지 로그, 주로 하드웨어 설정 문제 로그]

- /var/log/lastlog [계정별 마지막 로그인 정보 기록]

- /var/log/maillog [메일 송수신 관련]

- /var/log/cron [crontab 에 등록된 예약 작업의 실행 여부]

- /var/log/boot.log [부팅 과정 출력 로그]

- /var/log/anaconda.syslog [리눅스 설치 시 커널부터 하드웨어의 자세한 정보]

- /var/log/audit [리눅스 감사 시스템 데몬 로그]

- /var/log/utmp [현재 시스템에 로그인한 각 사용자의 상태, 바이너리 파일]

- /var/log/wtmp [성공한 로그인/로그아웃]

- /var/log/btmp [실패한 로그인 정보]

- /var/log/xferlog [FTP 데이터 전송 관련]

- /var/log/httpd [웹서버 httpd 데몬 관련 로그]

- /var/log/rpmpkgs [설치된 패키지 목록]

- /dev/console [콘솔에 나타나는 로그]

- /var/dmesg [커널 부트 메시지 로그]