CentOS6のシステムログについてメモ書きしています。
※目次をクリックすると目次の下部にコンテンツが表示されます。
/var/log/secureとrsyslog、sshd、pam
/var/log/secure ファイルにログを記録するのはどのデーモンなのか調べるとrsyslog、sshd、pam_unixモジュールなどがありました。
●rsyslog
例)
●rsyslog
例)
# more /etc/rsyslog.conf # The authpriv file has restricted access. authpriv.* /var/log/secure
・”authpriv”というファシリティが/var/log/secureに記録されるように設定されている。
・”authpriv”というファシリティは、プライベート認証メッセージに関するもの。
●sshd
例)
# more /etc/ssh/sshd_config SyslogFacility AUTHPRIV
・sshdの設定ファイルで、”AUTHPRIV”のシスログファシリティを使うように設定されている。
●pam_unixモジュール
/etc/pam.d/ディレクトリ内にあるpamの設定ファイル内で下記設定がある場合は、/var/log/secureにログが記録されるようです。
session required pam_unix.so
※2.2. PAM Configuration Files
The final line instructs the session interface of the pam_unix.so module to manage the session. This module logs the user name and the service type to /var/log/secure at the beginning and end of each session. This module can be supplemented by stacking it with other session modules for additional functionality.
lastコマンドと/var/log/wtmp
・/var/log/wtmpファイルはファイルが作成されてからシステムにログインしたユーザーに関する情報を保存。
・テキスト形式ではなくバイナリ形式のファイル。
・lastコマンドを使ってファイルにアクセスし、情報を表示する。
(実行例)
・テキスト形式ではなくバイナリ形式のファイル。
・lastコマンドを使ってファイルにアクセスし、情報を表示する。
(実行例)
# last | head user pts/1 1xx.1xx.2xx.4x.a Wed Nov 26 21:47 still logged in user pts/1 1xx.1xx.2xx.4x.a Wed Nov 26 14:35 - 19:46 (05:11)
wコマンドと/var/run/utmp
・/var/run/utmpファイルはシステムに現在ログインしているログオンしているユーザー関する情報を保存。
・テキスト形式ではなくバイナリ形式のファイル。
・wコマンドを使ってファイルにアクセスし、情報を表示する。
(実行例)
・テキスト形式ではなくバイナリ形式のファイル。
・wコマンドを使ってファイルにアクセスし、情報を表示する。
(実行例)
# w 22:13:52 up 59 days, 15:55, 1 user, load average: 0.00, 0.04, 0.01 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT user1 pts/1 2xx.xx.1xx.5x.ap 21:20 0.00s 0.28s 0.02s sshd: user1 [pr