Auth.log
Auth.log 카테고리의 모든 포스트 - 한국어
1개의 포스트
/var/log/auth.log 에 관해서
/var/log/auth.log 완벽 가이드 (Ubuntu/Debian 기준)
1. 개요
- 정의:
/var/log/auth.log는 인증·권한 관련 보안 로그를 저장하는 파일입니다. - 대상:
sshd,sudo,su,polkit,login,cron(PAM),systemd(PAM)등에서 발생한 이벤트. - 목적: 비인가 접속, 권한 상승, 계정 잠금/해제 등 침해사고 탐지의 핵심 소스.
RHEL/CentOS 계열에서는
/var/log/secure파일이 동일한 역할을 합니다.
2. 주요 기록 항목
| 구분 | 예시 이벤트 |
|---|---|
| SSH 접속 | 로그인 성공/실패, 키 인증 실패, 접속원 IP, 포트 |
| sudo 사용 | 명령 실행, 권한 상승 시도 |
| su 전환 | 다른 계정/루트 전환 |
| PAM 인증 | 계정 만료, 잠금, 2FA |
| polkit | GUI/서비스 권한 승인/거부 |
| 계정 관리 | 잠금/해제, 비밀번호 변경 |
3. 로그 포맷 구조
기본 구조: