오늘날의 시스템은 수많은 로깅을 생성합니다.관리자가 항상 로그 관리 솔루션을 찾고 있다는 것은 놀라운 일이 아닙니다. 기본적으로 로그는 종종 로컬에 저장됩니다. 소스에 쉽게 연결할 수 있으므로 이치에 맞습니다. 그러나 문제를 해결하고 근본 원인을 찾을 때 종종 여러 장치에서 여러 로그 파일을 살펴 봐야합니다. 모든 장치의 모든 로그가 하나의 중앙 집중식 장소에 저장되어 있다면 좋지 않습니까? 이것이 로그 관리의 목적입니다. 선택한 플랫폼이 Linux 인 경우 사용할 수있는 옵션이 많이 있습니다. Linux를위한 최고의 로그 관리 기능을 발견하면서 계속 읽으십시오
로그 관리를 정의하여 시작하겠습니다. 로그 스토리지를 중앙 집중화하는 것보다 훨씬 더 많은 것을 알 수 있습니다. 다음은 다양한 로깅 기술에 대해 설명합니다. 그것들은 로그 관리의 초석이며 그것들이 없으면 존재하지 않을 것입니다. 계속해서 syslog 서버를 로그 관리 시스템과 차별화하고 이들 사이에 명확한 경계가 없음을 알게됩니다. 다음으로 잠깐 멈추고 보안 정보 및 이벤트 관리 시스템에 대해 설명하겠습니다. 그것들은 다소 명확하지 않은 정의 덕분에 종종 로그 관리와 혼동되는 또 다른 유형의 시스템입니다. 마지막으로 Linux에 가장 적합한 로그 관리를 검토합니다.
로그 관리 란 무엇입니까?
로그 관리에 대해 이야기하기 전에로그가 무엇인지 정의하십시오. 간단히 정의하면 로그는 특정 시스템과 관련된 이벤트를 자동으로 생성하고 타임 스탬프가 기록 된 문서입니다. 즉, 시스템에서 이벤트가 발생할 때마다 로그가 생성됩니다. 시스템과 장치는 다양한 유형의 이벤트에 대한 로그를 생성하며 많은 시스템은 관리자에게 어떤 이벤트가 로그를 생성하고 그렇지 않은지를 제어 할 수있는 정도를 제어합니다.
로그 관리는 간단히 말해서대량의 로그 데이터의 생성, 전송, 분석, 저장, 보관 및 최종 폐기를 관리하고 촉진하는 데 사용되는 프로세스 및 정책 명확하게 명시되지는 않았지만 로그 관리는 여러 소스의 로그가 수집되는 중앙 집중식 시스템을 의미합니다. 그러나 로그 관리는 단순한 로그 수집이 아닙니다. 가장 중요한 관리 부분입니다. 그리고 로그 관리 시스템에는 종종 여러 기능이 있으며 그 중 하나 인 로그를 수집합니다.
로그 관리에서 로그를 받으면시스템마다 로그 형식이 다르고 다른 데이터가 포함되므로 공통 형식으로 표준화해야합니다. 일부는 날짜 및 시간으로 로그를 시작하고 일부는 이벤트 번호로 로그를 시작합니다. 일부는 이벤트 ID 만 포함하고 다른 일부는 이벤트에 대한 전체 텍스트 설명을 포함합니다. 로그 관리 시스템의 목적 중 하나는 수집 된 모든 로그 항목이 균일 한 형식으로 저장되도록하는 것입니다. 이렇게하면 이벤트 상관 관계 분석과 결과 검색이 훨씬 쉬워집니다.
상관 관계 및 검색도 추가됩니다여러 로그 관리 시스템의 주요 기능. 이 중 최고의 기능은 강력한 검색 엔진을 갖추고있어 관리자는 필요한 것을 정확하게 파악할 수 있습니다. 상관 관계 함수는 서로 다른 소스에서 온 경우에도 관련 이벤트를 자동으로 그룹화합니다. 다른 로그 관리 시스템이이를 달성하는 방법과 성공은 중요한 차별화 요소입니다.
또한 읽으십시오 : 15 최고의 네트워크 모니터링 도구 (자신의 검토)
로깅 기술
로그 관리는 훨씬 더 어려울 것입니다.프로토콜 로깅이 아니라면 가능하지 않을 수도 있습니다. 그들 중 몇 가지는 존재합니다. 로그에 포함 할 데이터, 형식화 방법 및 시스템 간 전송 방법을 정의합니다.
Syslog는 아마도 가장 많이 사용되는 로깅입니다특히 리눅스 세계에서 프로토콜. 이 기술은 80 년대 초에 발명되었으며 모든 유닉스 계열 시스템의 사실상 표준이되었습니다. syslog 기술의 가장 큰 자산 중 하나는 로그를 생성하는 시스템 또는 소프트웨어, 로그를 저장하는 시스템 및이를보고하고 분석하는 소프트웨어 간의 분리를 용이하게하는 방법입니다. Syslog 기술을 사용하면 로그 관리가 훨씬 쉬워집니다. 그리고 Syslog는 유닉스 독점이 아닙니다. 스위치, 라우터 및 많은 공급 업체의 모든 종류의 장비와 같은 많은 비 유닉스 장치는 syslog 프로토콜의 변형을 사용합니다.
다른 로깅 기술이 있습니다. 예를 들어 Microsoft Windows는 다른 로깅 시스템을 사용합니다. Windows 운영 체제 및 응용 프로그램에는 일반적으로 Syslog 기술이 허용하는 것보다 더 자세한 정보가 포함 된 로그가 있다는 사실과 관련이있을 수 있습니다. 다행히 Windows Event Collector 기능은 다양한 시스템이 Windows 호스트로부터 이벤트를 수신하는 데 사용할 수있는 로그 관리 수단을 제공합니다. 이 게시물은 Linux 로그 관리에 관한 것이므로 Windows에서 너무 많은 시간을 낭비하지 마십시오.
어떤 로깅 기술을 사용하든로그 관리의 중요한 부분은 로그를 관리 시스템으로 보내도록 장치를 구성하는 것입니다. 네트워크 모니터링 시스템과 같은 다른 유형의 도구는 모니터링하는 시스템에서 데이터를 가져올 수 있지만 로그 관리를 통해 각 장치는 로그를 보낼 위치에 "말아야"합니다. 그러나 이는 간단한 명령을 실행하여 수행되는 비교적 간단한 작업입니다.
추가 읽기 : 최고의 네트워크 다이어그램 매핑 및 토폴로지 소프트웨어
로그 서버 또는 로그 관리?
모든 유닉스 계열에서 사용할 수 있기 때문에Syslog는 Linux를 포함한 시스템을 사용하여 한 대의 컴퓨터에서 여러 대의 Syslog 데이터를받는 로그 서버로 사용되는 경우가 많습니다. 이 중앙 집중식 로그 저장소에는 확실한 이점이 있지만 로그 관리라고하기에는 충분하지 않습니다.
로그 관리 시스템 이름을 얻으려면제품에는 적어도 일부 고급 기능이 포함되어 있어야합니다. Wikipedia에 따르면 "로그 관리는 로그 수집, 중앙 로그 집계, 장기 로그 저장 및 보유, 로그 회전, 로그 분석, 로그 검색 및보고 기능으로 구성됩니다." 와우! 많은 기능입니다. 반면에 로그 서버는 종종 로그 수집 및 스토리지 만 제공하며 그 이상은 거의 없습니다.
SIEM에 관한 한마디
관련된 또 다른 인기있는 기술로그와 함께 종종 로그 관리 시스템과 혼동되는 것은 SIEM (Security Information and Event Management)입니다. 이것은 로그 관리와 다르지만 밀접한 관련이 있습니다. 로그 관리 시스템은 실제로 SIEM 시스템 인 반면 일부 기본 SIEM 시스템은 고급 로그 관리 시스템에 지나지 않습니다.
혼란은관리 또는 최소한 로그 분석은 SIEM 시스템의 중요한 구성 요소입니다. SIEM 시스템을 차별화하는 것은 보안 문제를 식별하는 궁극적 인 목표로 로그 분석을 수행한다는 것입니다. 예를 들어, 인증되지 않은 침입 시도의 징후 일 수있는 로그인 실패 징후를 찾습니다. 이러한 시스템은 로그 항목을 지속적으로 검색하여 평범하지 않은 것을 찾습니다. 일부 SIEM 시스템에는 광범위한 로그 관리 기능이 포함되어 있지만 일부는 외부 로그 관리 시스템을 사용하기 때문에 두 시스템이 나란히 실행되는 것은 드문 일이 아닙니다.
관련 독서 : Mac 용 최고의 IP 스캐너
리눅스를위한 최고의 로그 관리
바라건대, 이제 우리는로그 관리가 무엇인지 아닌지 Linux에서 사용할 수있는 기능을 살펴 보겠습니다. 먼저, 무엇을 명확히 해 봅시다. Linux 로그 관리와 관련하여 의미하는 것은 Linux 로그를 수용 할 수 있고 Linux 플랫폼 또는 클라우드에서 실행되는 로그 관리 시스템입니다. 우리가 선택한 일부 (특히 클라우드 기반 시스템)도 다른 플랫폼의 로그와 함께 작동합니다.
1. 솔라 윈드 페이퍼 트레일 (무료 플랜 제공)
태양풍 네트워크 사이에서 세대 이름이되었습니다관리자. 거의 20 년 동안 최고의 툴을 만들고 있으며, 뛰어난 대역폭 모니터링 툴과 최고의 NetFlow 분석기 및 수집기 중 하나를 제공합니다. 이 회사는 서브넷 계산기 또는 syslog 서버와 같은 네트워크 관리자의 특정 요구를 해결하는 몇 가지 무료 도구를 게시하는 것으로도 유명합니다.
- 무료 플랜 : 솔라 윈드 페이퍼 트레일
- 공식 다운로드 링크 : https://papertrailapp.com/plans
그다지 멀지 않은 과거에, 태양풍 획득 페이퍼 트레일널리 사용되는 로그 관리 시스템입니다. Ruby 또는 Rails 앱, 다양한 클라우드 호스팅 서비스 및 기타 표준 syslog 및 텍스트 기반 로그 파일뿐만 아니라 Apache 또는 MySQL과 같은 널리 사용되는 다양한 제품의 로그 파일을 집계합니다. 페이퍼 트레일 사용자는 웹 기반 검색 인터페이스를 사용할 수 있습니다또는 이러한 파일을 검색하여 다양한 문제를 진단하는 데 도움이되는 명령 줄 도구. Papertrail은 또한 그래프 결과를 위해 Librato 및 Geckoboard와 같은 다른 SolarWinds 제품과 통합됩니다.
페이퍼 트레일 클라우드 기반의 SaaS (Software as a Service)SolarWinds에서 제공합니다. 클라우드 기반이라는 것은 모든 Linux 환경에서 잘 작동한다는 것을 의미합니다. 이 플랫폼은 구현, 사용 및 이해가 쉬우 며 몇 분 안에 모든 시스템에 대한 즉각적인 가시성을 제공합니다. 또한이 제품에는 저장된 로그와 스트리밍 로그를 모두 검색 할 수있는 매우 효과적인 검색 엔진이 있습니다. 그리고 번개가 빠르다.
페이퍼 트레일 무료를 포함한 몇 가지 계획에 따라 사용할 수 있습니다계획. 그러나 다소 제한적이며 매월 100MB의 로그 만 허용합니다. 그러나 첫 달에 16GB의 로그를 허용하며 이는 30 일 무료 평가판을 제공하는 것과 같습니다. 유료 요금제는 1GB / 월의 로그, 1 년의 아카이브 및 1 주일의 인덱스에 대해 월 $ 7에서 시작합니다. 노이즈 필터링을 통해 도구는 쓸모없는 로그를 저장하지 않음으로써 데이터를 보존 할 수 있습니다.
2. Loggly
로 글리 또 다른 클라우드 기반 온라인 서비스입니다. 기본적으로 로그 통합자는 로그 분석 기능도 제공합니다. 클라우드 기반이기 때문에이 시스템은 설치가 필요하지 않으며 가입 한 순간을 사용할 수 있습니다. 물론 표준 로그 파일을 온라인 서버에 주기적으로 업로드하도록 시스템 및 장치를 구성해야합니다.
- 무료 시험판: Loggly 계획
- 공식 링크 : https://www.loggly.com
로 글리 그런 다음 수신 된 로그 데이터를표준 형식을 통해 분석기는 다양한 소스의 레코드를 처리하고 운영 체제 또는 로깅 기술에 관계없이 모든 시스템에서 이벤트 추적 및 상관 관계를 활성화 할 수 있습니다. 로그 데이터 소스는 사내 구축 형 서버로 제한되지 않습니다. 물론이 시스템은 Amazon의 AWS와 같은 온라인 서버에서 생성 된 로그를 처리 할 수 있으며 Docker 및 Logstash와 같은 특정 애플리케이션에서 생성 한 메시지를 포함 할 수 있습니다.
그만큼 로 글리 서비스는 세 가지 다른 계획에 따라 이용 가능합니다.데이터 처리 제한 및 보존 시간이 증가합니다. 로그 데이터를위한 충분한 공간을 제공하려면 올바른 것을 선택해야합니다. 엔트리 레벨 계획은 로 글리 라이트. 무료로 사용할 수 있습니다. 이 계획에 따라 하루에 200MB의 로그 데이터를 업로드 할 수 있으며 시스템은 7 일 동안 각 레코드를 유지합니다. 다음은 하루에 1GB의 업로드 허용량을 제공하고 30 일 동안 레코드를 유지하는 표준 계획입니다. 유료 요금제를 사용하면 여러 사용자 계정을 사용할 수도 있습니다. 표준 패키지를 사용하면 세 개의 사용자 계정을 가질 수 있습니다. 최상위 계층이라고합니다 로 글리 기업. 설정할 수있는 사용자 계정 수에는 제한이 없으며 가격은 업로드 용량 및 필요한 보존 기간에 따라 다릅니다. 모든 유료 플랜에 대한 지불은 매월 또는 매년이 될 수 있으며 표준 플랜에서 14 일 무료 평가판을 사용할 수 있습니다.
3. 스 플렁크
스 플렁크 시스템 관리 내에서 잘 알려져 있음커뮤니티 —Linux, Mac OS 및 Windows를위한 포괄적 인 로그 관리 시스템. 기본적인 로그 관리 시스템 이상의 본격적인 침입 방지 시스템이라고 생각하는 사람들도 있습니다. 이 제품은 세 가지 버전으로 제공됩니다. 상단에 Splunk Enterprise 로그 관리 도구가 아닌 네트워크 관리 시스템에 가깝습니다. 가격은 매월 $ 173에서 시작하며 많은 기능을 제공합니다.
무료 버전도 있습니다 스 플렁크 기본적으로 동일한 도구이며가장 진보 된 기능. 본질적으로 로그 파일 분석으로 제한됩니다. 표준 로그 파일을 공급하거나 파일을 통해 라이브 데이터를 분석기로 보낼 수 있습니다. 무료 버전에는 몇 가지 제한 사항이 있습니다. 예를 들어 하나의 사용자 계정 만 가질 수 있으며 데이터 처리량은 하루에 500MB의 로그로 제한됩니다. Splunk에는 데이터 정렬 및 필터링 기능이 내장되어있어 문제 해결을 용이하게합니다. 이 기능을 사용하여 로그 레코드를 날짜별로 나누고 각 그룹을 새 파일에 쓸 수 있습니다. 실제로이 기능은 매우 유연합니다.
4. 나지 오스 로그 서버
나지 오스 뛰어난 네트워크 모니터링 소프트웨어로 가장 잘 알려져 있지만 로그 서버도 흥미 롭습니다. 이 제품은 단순히 나지 오스 로그 서버 중앙 집중식 로그 관리 기능을 제공합니다.모니터링 및 분석. 이 도구는 로그 데이터 검색 프로세스를 크게 단순화 할 수 있습니다. 또한 잠재적 위협에 대한 알림을 받도록 경고를 설정할 수 있습니다. 또한 소프트웨어에는 고가용 성과 페일 오버 기능이 내장되어 있습니다. 또한 간편한 소스 설정 마법사를 통해 모든 로그 데이터를 전송하고 몇 분 안에 로그 모니터링을 시작하도록 서버를 빠르게 구성 할 수 있습니다.
그만큼 나지 오스 로그 서버 로그 이벤트를 쉽게 연관시킬 수 있습니다.몇 번의 클릭만으로 모든 서버에서 이 시스템을 통해 로그 데이터를 실시간으로 볼 수 있으므로 문제가 발생할 때이를 분석하고 해결할 수 있습니다. 이 제품은 뛰어난 확장 성을 특징으로하며 조직의 규모가 커짐에 따라 요구 사항을 계속 충족시킵니다. 추가 나지 오스 로그 서버 인스턴스를 모니터링 클러스터에 추가하여 더 많은 전력, 속도, 스토리지 및 안정성을 빠르게 추가 할 수 있습니다.
단일 인스턴스 가격 나지 오스 로그 서버 3995 달러이며 무료 평가판을 사용할 수없는 것처럼 보이지만 무료 온라인 데모는 제품을 직접 살펴 보는 것입니다.
5. 그레이 로그
다음 목록은 그레이 로그. 이 제품은 많은 흥미로운 기능을 제공합니다. 이 도구는 모든 데이터 소스의 로그 및 이벤트 데이터를 구문 분석하고 보강합니다. 처리 파이프 라인은 실시간으로 메시지 라우팅, 블랙리스트 작성, 수정 및 보강에있어 유연성을 제공합니다. 그레이 로그 테라 바이트의 로그 데이터를 검색하여 중요한 정보를 발견하고 분석합니다. 강력한 검색 구문을 사용하면 원하는 것을 정확하게 찾을 수 있습니다.
와 그레이 로그대시 보드를 만들어 메트릭을 시각화 할 수 있습니다.하나의 중앙 위치에서 추세를 관찰합니다. 검색 결과 페이지에서 필드 통계, 빠른 값 및 차트를 사용하여 데이터를 심층 분석 할 수 있습니다. 시스템에는 로그인 시도 실패, 예외 또는 성능 저하와 같은 이벤트에 대한 조치를 트리거하거나 알림을 발행하는 옵션도 있습니다.
그레이 로그 무료 오픈 소스 로그 파일 기반 시스템으로로그 보관 유틸리티보다 더 많은 기능을 제공 할 수 있습니다. 이 로그 분석기는 그래픽 사용자 인터페이스를 가지고 있으며 Ubuntu, Debian, CentOS 및 SUSE Linux에서 실행할 수 있습니다. Microsoft Windows의 가상 머신에서 실행할 수도 있고 Amazon AWS에 Graylog 시스템을 설치할 수도 있습니다.
6. ManageEngine EventLog 분석기
ManageEngine네트워크 관리자들 사이에서 또 다른 일반적인 이름은 ManageEngine EventLog 분석기. 이 제품은 에이전트 가져 오기 및 에이전트 기반 로그 수집과 로그 가져 오기를 사용하여 700 개가 넘는 소스의 로그 데이터를 수집, 관리, 분석, 상관 및 검색합니다.
속도는 ManageEngine EventLog 분석기의 힘. 초당 25,000 로그의 로그 데이터를 처리하고 공격을 실시간으로 탐지 할 수 있습니다. 또한 위반의 영향을 줄이기 위해 빠른 포렌식 분석을 수행 할 수 있습니다. 시스템의 감사 기능은 네트워크 주변 장치의 로그, 사용자 활동, 서버 계정 변경, 사용자 액세스 등으로 확장되어 보안 감사 요구를 충족시킵니다.
그만큼 ManageEngine EventLog 분석기 기능 축소 무료 버전으로 제공595 개의 로그 소스 또는 595 달러부터 시작하는 프리미엄 에디션 만 지원하며 장치 및 애플리케이션 수에 따라 다릅니다. 완전한 기능을 갖춘 30 일 무료 평가판도 제공됩니다.
코멘트