Microsoft Windows NT에서는 시스템이 시작될 때 이벤트 번호 4608이 생성되며 Microsoft-Windows-Security-Auditing보안 이벤트 로그에서 이 이벤트를 볼 수 있습니다. 그것에 대해 더 자세히 읽을 수 있습니다.이 TechNet 기사아직 이런 일을 겪지 않았다면.
TechNet 기사에서 언급한 대로 Windows 시스템 관리자는 이를 사용하여 시스템이 시작되는 시기를 추적할 수 있습니다. 이 이벤트는 사용자 공간 하위 시스템이 시작되는 데 상당히 초기이고 기본이기 때문입니다. 실제로 수많은 보안 감사 이벤트가 기록됩니다.
나는 Unix에서 이에 상응하는 것을 찾고 있습니다. Windows와 같이 특정(원하는 정확한 이름을 알 만큼 지식이 부족하기 때문에 Windows NT 용어를 사용하여) "장치 프로세스 이름" 또는 " 장치 이벤트 카테고리 ID"? 그렇다면 그것은 어디에 있고 내가 무엇을 찾고 있는가?
그렇지 않으면 서버 시작, 종료, 사용자 로그인 실패 등에 대한 동일한 정보를 어떻게 찾을 수 있습니까? Microsoft Windows NT 시스템 이벤트 로그에서 보안 감사 이벤트를 검색했을 때 발견한 모든 내용은 동일했습니다.
추가 읽기
답변1
저는 Windows에 익숙하지 않지만 귀하의 설명에 따르면 로그의 구조가 상당히 다른 것 같습니다.
Linux에서 로그 메시지는 공식적인 구조가 없으며 궁극적으로 일련의 행으로 저장됩니다. 각 줄은 시작 프로세스의 시간과 이름을 나타내지만 "이벤트 4608"과 같은 공식적인 인코딩은 없습니다. 시스템 시작은 많은 수의 로그 메시지를 생성하며, 로그 메시지 분석에는 알려진 패턴이 포함된 행을 찾는 작업이 포함됩니다. "장치 프로세스 이름"을 찾는 것이 아니라(무슨 뜻인지 모르겠습니다) 문자열을 찾고, grep보다 정교한 로그 구문 분석 도구를 사용하거나 사용할 것입니다.
로그는 디렉토리에 저장됩니다 /var/log. 일반적으로 로그 파일은 여러 개 있습니다. 로그 메시지가 다른 파일로 전달되는 방식은 시스템 구성에 따라 다르며 배포마다 기본값이 다릅니다. 일부 메시지는 여러 파일에 기록될 수 있습니다.
일반적인 부팅은 커널 로그에 수백 개의 항목을 생성합니다. 이들은 일반적으로 위치 /var/log/kern.log하지만 일부 배포판에서는 다른 파일에 위치할 수도 있습니다. 첫 번째 메시지는 다음과 같이 시작됩니다.
Aug 16 16:51:40 darkstar kernel: Linux version
(정확한 커널 버전은 다음과 같습니다). 이는 로깅 프로세스의 시간대를 기준으로 컴퓨터가 시작된 시간을 알려줍니다.
시스템 시작 이벤트의 경우 정보를 더 쉽게 추출할 수 있는 다른 곳이 있습니다. 현재 사용자의 로그인 세션을 기록하는 바이너리 파일이 있습니다(/var/log/utmp/var/log/wtmp) 지난 세션을 기록 하는 파일이 또 있습니다 . 기록에는 시스템 재시작도 기록됩니다. 달리기last그래야만 이 역사적 정보를 볼 수 있습니다. 다시 시작 이벤트만 보려면 사용자 이름 항목을 찾으세요 reboot.
last | awk '$1 == "reboot"'