syslog 레벨 0–7 (심각 → 덜 심각)
| 숫자 | 이름 | 의미(쉽게) | 예시 |
|---|---|---|---|
| 0 | Emergency | 시스템 사용 불가 | 커널 패닉, 전체 다운 |
| 1 | Alert | 바로 조치 필요 | 루트 파티션 가득 참 |
| 2 | Critical | 심각한 오류 | 하드웨어 I/O 치명 오류 |
| 3 | Error | 일반 오류 | 서비스 실패, 인증 오류 반복 |
| 4 | Warning | 경고(잠재 문제) | 디스크 80%↑, 비정상 시도 감지 |
| 5 | Notice | 중요 알림(정상 범주) | 설정 변경, 재시작 알림 |
| 6 | Informational | 정보성 | 정상 접속 로그, 상태 보고 |
| 7 | Debug | 디버깅 | 개발·트러블슈팅 상세 로그 |
기억법
“Em뭐지? Al바로! Cri시해! Err났네, Warn하자, Notice해, Info확인, Debug깎자”
→ Em–Al–Cri–Err–Warn–Notice–Info–Debug (0→7)
보안 운영에서 이렇게 생각하면 편해
-
모니터링 알림: 보통
Warning(4)이상을 알림으로,Error(3)이상은 즉시 대응. -
포렌식/감사:
Informational(6)까지 수집하면 사건 전후 맥락 파악에 유리. -
성능·비용:
Debug(7)는 용량 크게 먹음—이슈 재현 시에만 한시적으로.
필터링 규칙(중요 개념)
-
설정에서
*.**warn**처럼 쓰면 warn(4) 이상 더 심각한 0–4 전부가 대상이야.
예)*.warn→ 0~4,authpriv.info→ 0~6 -
반대로 “info만” 같은 개념은 없고, **항상 해당 레벨 ‘이상’**이 매칭된다고 이해해.
facility(시설) vs severity(레벨)
-
severity: 위 표의 0–7 심각도.
-
facility: 로그 주체(예:
auth,authpriv,kern,daemon,mail,local0~local7등).
보안에선 주로auth/authpriv(인증 관련) 많이 봄.
실무 예시 (rsyslog)
# 경고 이상(0~4)은 별도 파일로
*.warn /var/log/important.log
# 인증 관련 info 이상(0~6)은 접근 제한된 파일로
authpriv.info /var/log/secure
테스트/전송 예시 (logger)
# authpriv 시설, warning 레벨로 한 줄 보내기
logger -p authpriv.warning "Too many failed logins from 10.0.0.5"
빠른 체크포인트 (시험 대비)
-
숫자 낮을수록 심각? 맞다
-
*.info는 어떤 레벨 포함? 0~6 -
가장 덜 심각한 건? Debug(7)
-
가장 심각한 건? Emergency(0)
좋아! 바로 OX 퀴즈로 감 잡아보자. (뒤에 정답 있어요)
OX 퀴즈 (정보보안기사 대비)
-
syslog는 숫자가 낮을수록 더 심각하다.
-
*.info는 info(6)만 기록한다. -
authpriv.warn은 0~4 레벨을 수집한다. -
가장 덜 심각한 레벨은 Debug(7) 이다.
-
*.emerg는 시스템 전역(0)만 포함한다. -
kern.crit은 커널 관련 Critical(2) 이상을 의미한다. -
*.warning과*.warn은 동일하게 취급된다. -
Notice(5)는 정상 범주의 중요한 알림이다. -
*.error는 0~3을 포함한다. -
mail.info는 메일 관련 0~6을 포함한다. -
facility는 auth, kern, daemon 같은 “주체/영역”을 뜻한다.
-
Debug(7)는 용량 부담이 커서 상시 수집에 유리하다.
미니 시나리오 OX
-
장애 대응 알림을 “경고부터” 받고 싶다 → 수식은
*.warn이 적절하다. -
포렌식 때문에 인증 로그를 넓게 모으고 싶다 →
authpriv.info가 유리하다. -
하드웨어 치명 오류는 보통 Critical(2) 수준으로 본다.
정답
1 O, 2 X, 3 O, 4 O, 5 O, 6 O, 7 O, 8 O, 9 O, 10 O, 11 O, 12 X, 13 O, 14 O, 15 O
