이 절에서는 로그 파일 관리를 수행하는 상주 대몬, hclfmd를 설명합니다. 상주 대몬은 루트로 실행됩니다. 이 대몬은 부팅할 때 시작되어 다음 기능을 수행합니다.
시스템 장치와 연관된 파일인 /dev와 함께 시작하지 않는 파일 경로를 위해 /etc/syslog.conf의 로그 파일 목록을 구문 분석하고 매일 정리, 기록 및 사이클 전달을 수행합니다.
syslogd에서 기록하는 각 로그 파일에 다음과 같은 기능을 수행합니다.
기존 로그 파일의 이름을 바꾸고 매일 새로운 로그를 작성합니다.
재시작 신호 (-HUP)를 syslog 대몬에 보내 매일 새로운 로그를 작성합니다.
매일 작성한 로그 파일을 매주 압축하여 주간 아카이브를 생성하고 이를 name.YYYYMMDD-YYYYMMDD.tar.z로 저장합니다.
한 달을 초과한 주간 아카이브는 버립니다.
/etc/security/audit_control에서 감사 로그 위치를 알아 내어 매일 정리, 기록 및 사이클 전달을 수행합니다.
지역 마운트된 감사 디렉토리에 다음 기능을 수행합니다.
audit -n을 실행하여 매일 새로운 로그를 작성합니다. 이 명령은 감사 디렉토리에 신호를 보내 현재 감사 파일을 닫고 현재 감사 디렉토리에 새로운 감사 파일을 엽니다.
매일 작성한 로그 파일을 매주 압축하여 주간 아카이브를 생성하고 이를 audit.YYYYMMDD-YYYYMMDD.tar.z로 저장합니다.
한 달을 초과한 주간 아카이브는 버립니다.
10분마다 침입 감지 검사를 수행합니다.
syslog 파일에 인증 실패한 항목을 감지하여 보고합니다.
기본적으로 /etc/opt/SUNWisp/hc/hclfmd.conf는 syslog에 기록된 실패한 인증 시도 각각에 대해 루트로 우편을 보내도록 구성됩니다.
이 파일을 재구성할 수 있습니다. 기본적으로 다음과 같이 구성됩니다. /var/log/badauth:/usr/bin/mailx -s "%f" root < %c 설명:
/var/log/badauth는 항목이 만들어진 파일입니다.
/usr/bin/mailx -s는 루트로 우편을 보내는 명령입니다.
"%f"은(는) 항목이 감지된 파일의 이름이 들어 있는 우편의 주제 행입니다. 그리고
"%c"은(는) syslog 파일의 새로운 내용입니다.