[log]서버 보안을 위한 관리대상 로그

** Unix 서버의 관리 대상 로그
- wtmp : 사용자 로그인 정보
- syslog : OS 및 응용프로그램의 주요 동작 내역
- secure : OS 및 응용프로그램의 주요 동작 내역(Linux)
- sulog : su 명령에 의한 결과를 기록
- authlog : 시스템 내 인증관련 이벤트 기록(Solaris)
- messages : 각종 메시지들을 기록
- btmp : 5회 이상의 로그인 실패에 대한 기록(Linux, HP-UX)
- loginlog : n회 이상의 로그인 실패에 대한 기록(Solaris)
- lastlog : 사용자의 마지막 로그인 시간 기록

** Windows 관리 대상 로그
※ 이벤트 뷰어 실행: 명령 프롬프트를 실행시켜 eventvwr.msc를 입력
- 응용프로그램 로그 : 응용 프로그램에 의해 발생된 이벤트 기록, 파일에러 기록
- 보안 로그 : 보안 감사 레코드. 보안 로그는 감사정책을 설정하여야 기록됨. 보안로그는 관리자 만이 볼 수 있음.
- 시스템 오류 로그 : 시스템 구성요소가 발생시킨 이벤트를 기록함. 드라이버나 다른 시스템 구성 요소를 읽어 들이지 못했을 경우 기록함.

가) 오류 : Windows의 중대한 문제, Windows 시스템이 시작하는 동안 필요한 서비스가 제대로 시작되지 못한 경우와 같은 이벤트를 기록
나) 경고 : 지금보다는 앞으로 문제를 일으킬 소지가 있는 이벤트, 예를 들어 하드디스크 공간이 얼마 남지 않은 경우 기록
다) 정보 : 다양한 주요작업 완수를 기록
라) 성공감사 : 사용자의 성공적인 시스템 로그인과 같은 이벤트를 기록
마) 실패감사 : 실패한 감사 보안 기록

** 웹서버의 로그관리
- 웹서비스를 하고 있는 경우, 주기적으로 웹서비스 접속 로그를 보고 수상한 접속은 없었는지 분석해 보는 것이 좋다.

예) 아파치 웹서버 로그의 경우, 로그화일 위치
. 아파치를 컴파일 했을 경우는 대부분의 경우 /usr/local/apache/logs/access_log 임
. 레드햇의 경우는: /var/log/httpd/access_log

출처 : [서울대학교 정보통신보안컨설팅결과보고, 2005. 12.]