[Linux] Linux의 messages 로그 분석 가이드

 

 

안녕하세요. 주식회사 서버몬 입니다.

 

오늘은 Linux 의 messages 로그 분석에 대해서 알아보겠습니다.

 

• /var/log/messages 로그는 리눅스 / 유닉스 계열 시스템에서 전반의 주요 이벤트를 기록하는 핵심 로그 파일입니다.
• 시스템 이상 탐지, 장애 원인 분석, 보안 감시, 성능 문제 추적 등 다양한 목적으로 활용할 수 있다.
• 이번 내용에서는 /var/log/messages의 역할, 내부 구조, 분석, 주의점 등을 알아보겠습니다..

 

 

messages 로그 란?

 

Linux 시스템의 messages 로그는 일반적인 시스템 이벤트를 기록하지만,

간접적으로 보안 위협의 징후를 포착할 수 있는 정보가 포함됩니다.

 

이 로그는 시스템 관리자나 보안 담당자가 장애 원인을 추적하거나 보안 위협을 탐지할 때

가장 먼저 확인하는 로그 중 하나입니다.

 

RedHat 계열 (RHEL, CentOS, Rocky, AlmaLinux) 시스템에서 주로 사용됩니다.

 

위치 : /var/log/messages 

 

일반적으로 다음 종류의 이벤트가 기록된다

( 시스템에서 발생한 커널 메시지, 서비스 상태, 디바이스 정보, 보안 이벤트, 시스템 이벤트 등 )

 

로그 유형	예시 / 설명
커널 메시지	드라이버 로드/언로드, I/O 오류, 하드웨어 경고 등
데몬 / 서비스 상태	서비스 시작, 재시작, 실패, 충돌 등의 상태 변화
네트워크 이벤트	인터페이스 up/down, 링크 상태 변화, DHCP 메시지 등
보안 / 인증 관련 메시지	로그인 실패, PAM 메시지, sudo 관련 메시지 (다만 일부는 /var/log/secure로)
시스템 장애 / 오류	디스크 오류, 메모리 부족, 커널 패닉 등
기타 시스템 이벤트	cron 작업, 기타 로그 레벨이 일반 이벤트 수준인 메시지 등

 

 

 

messages 로그 분석

 

로그 예제와 분석

 

1. 커널 메시지 (네트워크 인터페이스 변화)

# 예제
Oct 14 10:12:34 server01 kernel: [12345.678901] device eth0 entered promiscuous mode

예제 내용 : 네트워크 인터페이스 eth0이 Promiscuous mode (모든 패킷 수신)로 전환됨.

( 스니핑 도구(예: tcpdump, wireshark)가 실행될 때 발생하는 정상 현상일 수 있지만, 악성 행위일 가능성 )

 

2. cron 작업 실행 로그

# 예제
Oct 14 00:00:01 server01 CROND[2356]: (root) CMD (/usr/lib64/sa/sa1 1 1)

예제 내용 : cron이 root 계정으로 /usr/lib64/sa/sa1 1 1 명령을 실행했다는 기록.

( sa1은 시스템 성능 측정 도구(sar의 백엔드)로서, 정상적인 시스템 모니터링 작업 )

 

3. 디스크 관련 오류

# 예제
Oct 14 03:10:12 server01 kernel: [189320.1123] EXT4-fs error (device sda1): ext4_find_entry:1453: inode #654321: comm apache2: reading directory lblock 0

예제 내용 : 디스크 sda1에서 EXT4 파일 시스템 오류 발생, apache2가 디렉터리를 읽는 중 inode 오류가 발생

( 디스크 또는 파일 시스템 손상 가능성 )

 

 

4. 서비스 시작 로그

# 예제
Oct 14 06:15:45 server01 systemd: Started OpenSSH server daemon.

예제 내용 : OpenSSH 서버(sshd)가 정상적으로 시작됨.

( 서비스가 자동 시작되었거나 수동으로 시작됐다는 의미 )

 

5. 보안 관련 (SSH 로그인 실패)

# 예제
Oct 14 07:11:44 server01 sshd[22345]: Failed password for invalid user admin from 192.168.0.10 port 45122 ssh2

예제 내용 : admin이라는 존재하지 않는 계정으로 SSH 로그인 시도 

( 비정상 접근 시도 , 반복 발생 시 보안 조치)

 

6. 시스템 재부팅 또는 커널 패닉

# 예제
Oct 14 11:01:22 server01 kernel: Kernel panic - not syncing: Fatal exception

예제 내용 : 커널 패닉 발생 → 시스템이 비정상 종료됨

 

 

 

로그 패턴 및 로그 필터링

 

1. 보안 관련 로그 패턴

 

로그 유형	설명	예시
서비스 재시작 / 충돌	악성코드 또는 공격자가 특정 서비스를 죽이고 자신만의 백도어를 실행하는 경우	systemd: sshd.service: main process exited
의심스러운 USB 장치 연결	물리적 침입 가능성 또는 악성 장치 연결	kernel: usb 1-1: new high-speed USB device number
커널 모듈 로드 / 언로드	루트킷이나 커널 수준 악성코드 가능성	kernel: module: loaded kernel module xhci_hcd
네트워크 인터페이스 변화	NIC 비활성화 후 프록시 공격 등	kernel: eth0: link is Down / link is Up
파일시스템 오류 / 마운트 변경	권한 우회 시도나 파일시스템 파괴	EXT4-fs error, mount: /dev/sdb1 mounted
서비스 포트 사용	정체불명의 서비스가 실행된 경우	Started OpenBSD Secure Shell server (불필요 시 비활성화 필요)

 

 

2. 보안 로그 필터링 명령어

 

- 에러 / 경고 수준 필터링

sudo grep -Ei "error|fail|warn" /var/log/messages

 

 

- USB / 장치 연결 로그

sudo grep -i "usb" /var/log/messages

 

 

- 네트워크 상태 변화

sudo grep -E "link is (Up|Down)|NetworkManager" /var/log/messages

 

 

- 서비스 비정상 종료 감지

sudo grep -i "main process exited" /var/log/messages

 

 

- 커널 모듈 로딩 / 언로드 탐지

sudo grep -Ei "kernel: .*module" /var/log/messages

 

 

- 특정 시간대 로그 확인

sudo awk '/Oct 14 12:/,/Oct 14 13:/' /var/log/messages

 

 

• /var/log/messages는 시스템 보안 분석의 첫 번째 힌트를 줄 수 있는 로그입니다.

 

 

보안 모니터링을 위한 도구 연계

 

보안 모니터링을 위한 도구 연계 (자동화 추천)

도구	설명
Fail2Ban	로그인 실패 등을 감지해 IP 차단 (보조로 messages 로그 활용 가능)
Logwatch / Logcheck	일일 로그 요약 리포트 자동 이메일 발송
auditd (Audit Daemon)	파일 접근, 명령 실행 기록 등 보안 감사 가능 (messages 로그보다 상세)
OSSEC / Wazuh	호스트 기반 IDS, 로그 감시, 정책 위반 탐지
Elasticsearch + Logstash + Kibana (ELK)	시각화 및 상관 분석으로 보안 이벤트 탐지
Syslog + SIEM 연계	중앙 집중화된 보안 분석 및 알림 구성 가능

 

• /var/log/messages는 시스템 보안 분석의 첫 번째 힌트를 줄 수 있는 로그입니다.
• 네트워크 연결 변화, 장치 변경, 커널 활동, 서비스 장애 등은 모두 공격자의 초기 흔적일 수 있습니다.
• 인증 로그(/var/log/secure)와 함께 분석하면 더 강력한 방어 체계를 구축할 수 있습니다.

 

 

 

 

 

 

1U서버 / 2U서버 / AI서버 / alyac / APC / APC UPS / backup / carepack / centos / chakramax / cuda / DAS / DB / DB서버 / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / dell서버서버몬 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell옵션 / dell워크스테이션 / dl20 / dl20gen10 / dl20gen11 / dl360 / dl360gen10 / dl360gen11 / dl380 / dl380g10 / dl380gen10 / dl380gen11 / ECC메모리 / EDFOG랙가격 / embedded / est security / ESTSOFT / FIRMWARE / GPU / gpu서버 / gpu타워형서버 / greenlake / HA솔루션 / HP GPU / hp hdd / hpdl20 / HPDL20Gen10 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPDL380Gen10 / HPE / HPE GPU / hpe hdd / hpe rok / HPE Service Pack for Proliant / HPE SPP / hpe ssa / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / hpe서버소음 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpe옵션 / hpe정품 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz4g4 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버cto / hp서버pc / HP서버메모리 / hp서버소음 / hp서버컴퓨터 / HP서버파워 / HP서버펌웨어 / HP서버하드디스크 / hp옵션 / hp워크스테이션 / hp정품 / hp프로라이언트 / HYPER BACKUP / ibm서버 / ilo / Intelligent Provisioning / internetdisk / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ml30gen11 / ML350GEN10 / ml350gen11 / ML360 / MS CSP / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / NAS / NVIDIA / Office 365 / oneview / orange / OS설치 / PA-410 / PA-440 / paloalto / poweredger740 / poweredger750 / precision5820 / QUADRO / r240 / r250 / r340 / r360 / r440 / r550 / r650 / r660 / r740 / r750xs / r760 / r760xs / RAID / redhat / RHEL설치 / RMS랙 / rocky / s100i / securedisk / server / serverpc / smart storage administrator / SPP / sql server / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / t150 / t360 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / veeam / vroc / windows server / Windows서버설치 / XEON서버 / z8g4 / 가상서버 / 가성비서버 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델옵션 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 레이드 / 레이드구성 / 록키리눅스 / 리눅스 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 문서보안 / 문서중앙화 / 미니서버 / 미니서버랙 / 미니서버렉 / 미디어서버 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 백업 기술지원비(비용) / 백업 서버 / 백업서비스 / 백업솔루션 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 보안툴 / 빔백업 / 샤크라맥스 / 서버 / 서버 기술지원비(비용) / 서 버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버가속기 / 서버견적 / 서버교체 / 서버구매 / 서버구입 / 서버구축 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉 / 서버렉마운트 / 서버메모리 / 서버 몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버부품 / 서버엔지니어 / 서버옵션 / 서버용GPU / 서버용PC / 서버용그래픽카드 / 서버용메모리 / 서버 / 컴퓨터 / 서버용하드디스크 / 서버재고 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버판매 / 서버하드 / 서버호스팅 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 앱서버 / 오피스 365 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버2022 / 윈도우서버설치 / 윈도우서버컴퓨터 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이스트 시큐리티 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 임베디드 / 저가서버 / 저렴한서버 / 정품서버 / 정품서버옵션 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 케어팩 / 타워서버 / 타워형서버 / 팔로알토 / 페도라설치 / 프로라이언트