system access log 및 작업한 사항을 알수있는 로그 좀 알려주세요.

조상규 · ‎03-03-2005

시스템의 네트웍 default routing 정보가 삭제되는 황당한 경우를 당했습니다..

HP 시스템에서 자동으루 그걸 삭제할 수 있는지 의문이고요..

누가 실수로 삭제를 한거 같은데.. 누가 그걸 한건지에 대한 로그를 알고 싶은데 그런 로그는 어디에 남는지 좀 알려주시면 감사하겠습니다.

그럼 좋은 하루들 되십시용..

김병수 · ‎03-03-2005

고의로 누군가가 file을 modify했거나 지웠다면 날짜를 확인해 보시구요.

/etc/rc.config.d/netconf file의 변경된 날짜를 확인해 보세요

혹시 accounting 을 설정하였다면 /var/adm/pacct file을 확인해 보세요

accouting 기능을 이용하여 어떤 사용자가 어떤 작업을 하였는지

알아보는 방법은 다음과 같습니다:

# vi /etc/rc.config.d/acct

START_ACCT=1

# /sbin/init.d/acct start

Accounting started

이후로 login정보는 /var/adm/pacct에 저장이 됩니다.

모든 user의 command를 보려면

# /usr/sbin/acct/acctcom /var/adm/pacct

command별로 통계가 필요하다면

$ /usr/sbin/acct/acctcms -a /var/adm/pacct | more

확인이 될지 모르겠네요..

그럼~~~

고광태 · ‎03-03-2005

자동으로 삭제되진 않겠죠..

netconf 파일의 내용을 지운다고 메모리의 내용을 지우진 않습니다.

현재 netstat -rn 치면 라우팅정보가 안나오는것인가요?

메모리에 있는 정보라 지울려면

route -f 라는 명령어나 명령어로 밖에 지워지지않습니다.

.sh_history 파일에 혹시 명령어가 있는지 확인하시는게 좋을것 같습니다.

그리고 위의 명령어는 반드시 super user 이어야만합니다.

sulog 파일을 참조하시기 바랍니다.

root 권한을 가진 사람들중에 한명이 했다고도 볼 수가 있을 것입니다.

특별히 로그에 대한 정보를 남기는 작업을 해놓지 않았다면

시스템 로그만으로는 어렵지 않을가 싶네요~

참조하시길..

system access log 및 작업한 사항을 알수있는 로그 좀 알려주세요.