리눅스 시스템 로그 분석
- 시스템 로그 파일에서 날짜 포멧을 바꾸는 방법
/var/log/message 에 보면 시스템 로그를 볼 수 있는데 여기서 맨 앞에 찍히는 날짜 포멧을 변경해야 합니다. 히스토리 로그 같은 경우에는 /etc/profile 에서 HISTTIMEFORMAT 이 변수를 바꾸면 됩니다. /var/log/message 및 유사한 로그 파일의 날짜 및 시간 포멧을 변경하려면 로그 관리 도구 또는 로깅 데몬의 설정을 수정해야 합니다. 대개 이러한 로그 파일은 시스템 로깅 데몬(예를 들어 syslog, rsyslog, systemd 등)이 관리하며, 이 데몬의 설정을 변경하려면 로그 메시지의 날짜 및 시간 포멧을 커스터마이징 할 수 있다. 다음은 날짜 및 시간 포멧을 변경하는 일반적인 단계로 주로 rsyslog를 사용하는 경우 /etc/rsyslog.conf 또는 /etc/rsyslog.d/ 디렉토리에 있는 구성 파일을 수정해야 한다.
1
2
$template CustomFormat,"%TIMESTAMP:1:10:date-rfc3339% %TIMESTAMP:19:12:date-rfc3339% %syslogtag%%msg%\n"
$ActionFileDefaultTemplate CustomFormat
이 예에서는 customformat 이라는 사용자 지정 로그 포멧 템플릿을 정의하고, $ActcionFileDefualtTamplate를 이 템플릿으로 설정했습니다. 이러한 구성은 시간 포멧과 메시지 포멧을 사용자가 원하는 대로 변경할 수 있게 합니다. 구성을 변경할 경우 rsyslog를 재시작하여 변경 사항을 적용한다. 재시작 명령은 시스템에 따라 다를 수 있으므로, 보통 다음 명령 중 하나를 사용한다. sudo service rsyslog restart, sudo systemctl restart rsyslog 이렇게 하면 로그 파일에 새롱누 날짜 및 시간 포맷이 적용된다. 날짜 및 시간 포멧을 정확히 어떻게 변경할 것인지에 따라 템플릿 및 설정을 조정해야 한다. 모든 변경사항을 신중히 테스트하고 시스템 로깅을 손상시키지 않도록 주의해야 한다.
Refference