리눅스 사용자 정보 모니터링이란?

리눅스에서 사용자 정보 모니터링은 시스템에 로그인한 사용자들의 활동과 관련된 정보를 기록하고 분석하여 보안 및 관리 목적으로 사용하는 과정을 말합니다. 사용자 정보 모니터링은 시스템 보안을 강화하고, 부정한 접근 시도나 사용자 활동을 감지하며, 시스템의 성능 및 상태를 파악하는 데 도움이 됩니다.

 

리눅스 사용자 정보 모니터링 파일 및 경로

파일 또는 디렉토리 설명
/var/run/utmp 현재 로그인한 사용자의 정보가 저장되는 파일로, 시스템 부팅 시 생성되며 로그아웃 시 갱신됩니다.
/var/log/wtmp 사용자 로그인 및 로그아웃 정보가 기록되는 파일로, /var/run/utmp 내용이 여기에 복사되고 로그아웃 시 갱신됩니다.
/var/log/btmp 실패한 로그인 시도에 대한 정보가 기록되는 파일로, 로그인 실패 시 갱신됩니다.
/var/log/lastlog 마지막으로 로그인한 사용자의 정보가 저장되는 파일로, 각 사용자에 대한 마지막 로그인 정보가 기록됩니다.
/var/log/secure 시스템 보안과 관련된 로그 메시지가 기록되는 파일로, 사용자 및 시스템의 보안 이벤트 정보가 포함됩니다.

 

리눅스 사용자 정보 모니터링 관련 명령어

명령어 설명
who 현재 로그인한 사용자들의 목록과 로그인 시간을 표시합니다.
w 현재 로그인한 사용자들의 상세한 정보와 시스템 부하를 표시합니다.
last 사용자의 로그인 기록을 확인합니다.
lastlog 사용자들의 마지막 로그인 정보를 확인합니다.
utmpdump /var/run/utmp 파일의 내용을 읽어 사용자 정보를 표시합니다.
whoami 현재 로그인한 사용자의 이름을 표시합니다.
id 사용자의 UID, GID 및 그룹 정보를 표시합니다.
finger 특정 사용자의 상세한 정보와 로그인 상태를 표시합니다.
auditd 시스템 감사 로그 기능을 제공하는 auditd를 통해 사용자 활동을 추적하고 로그를 생성합니다.
ps 현재 실행 중인 프로세스 목록을 표시하고, 해당 사용자에 대한 프로세스를 확인할 수 있습니다.