리눅스 로그 모니터링 및 관리 도구 종류 및 추천

Linux와 같은 운영 체제가 실행 중일 때, 시스템 자원을 효율적이고 안정적으로 사용할 수 있도록 백그라운드에서 실행되는 많은 이벤트와 프로세스가 있다. 이러한 이벤트는 시스템 소프트웨어(예: Apache, MySQL, FTP 등)에서 발생한다.

시스템과 다른 애플리케이션의 상태와 작동 방식을 이해하기 위해서, 시스템 관리자는 프로덕션 환경에서 매일 로그 파일을 검토해야 한다.

우리는 유용한 로그 시스템을 활용해 시스템 영역과 애플리케이션의 로그파일을 검토해야 할 때가 있다. 시스템 관리자가 구성한 대로 서로 다른 로그 파일로부터 보고서를 모니터링, 검토, 분석 및 생성하는 데 도움이 된다.

이번 포스팅에서는 오늘날 Linux에서 가장 많이 사용되는  오픈 소스 로깅 관리 시스템을 살펴보기로 하는데, 이는 현재의 모든 배포 대부분 표준 로깅 프로토콜이다.

Graylog 2 

이는 시스템 관리자가 사용 가능한 모든 소스 시스템에서 프레임되고 체계적이며 체계적이지 않은 데이터를 모두 수집, 색인화 및 분석할 수 있도록 완벽하게 통합된 오픈 소스 로그 관리 시스템이다.

이 로깅 시스템은 플러그가 매우 우수하며 많은 시스템에서 중앙 집중화된 로그 관리를 가능하게 한다. 로그파일을 유지하고 텍스트 검색을 가능하게 하는 데 사용되는 메타데이터 및 탄성 검색을 위해 MongoDB와 같은 외부 구성요소와 통합된다.

Graylog 2에는 다음과 같은 기능이 있다.

엔터프라이즈급 프로덕션 준비

대시보드 및 경보 시스템 포함

모든 로그 소스의 데이터에 대해 작업 가능

실시간 로그 처리 활성화

비정형 데이터의 구문 분석 지원

확장성이 뛰어나고 사용자 정의가 용이함

운영 데이터 허브 제공

Logcheck

Logcheck는 시스템 관리자가 로그 파일에서 알 수 없는 문제와 보안 위반을 자동으로 식별할 수 있도록 지원하는 오픈 소스 로그 관리 시스템이다. 분석 결과에 대한 메시지를 구성된 이메일 주소로 주기적으로 보낸다.

Logcheck는 매시간마다 모든 시스템을 재부팅할 때 cronjob으로 설계된다. 로그 파일 필터링의 세 가지 수준은 다음과 같이 개발되었다.

Paranoid : 가능한 한 서비스를 거의 실행하지 않는 고도의 보안 시스템을 위한 것이다.

Server : logcheck의 기본 필터링 수준이며, 규칙은 많은 다른 시스템 데몬에 대해 정의된다. Paranoid수준에서 정의된 규칙도 이 수준 아래에 포함된다.

Workstation : 보호 시스템을 위한 것이며 대부분의 메시지를 필터링하는 데 도움이 된다. 또한 Paranoid과 Server 수준에 정의된 규칙들을 포함한다.

Logcheck는 또한 보고될 메시지를 보안 이벤트, 시스템 이벤트 및 시스템 공격 경보를 포함한 세 개의 가능한 계층으로 분류할 수 있다. 시스템 관리자는 보안 이벤트 및 시스템 공격 경고에 영향을 미치지 않지만 필터링 수준에 따라 시스템 이벤트가 보고되는 상세 내역의 수준을 선택할 수 있다.

Logwatch

Logwatch는 Linux/Unix 시스템 로그 파일 분석기 및 리포터로, 시스템 관리자가 플러그인을 추가하고 특정 로깅 요구에 맞는 사용자 정의 스크립트를 생성할 수 있다.

주어진 기간 동안 시스템 로그 파일을 검토한 다음 정보를 수집하고자 하는 시스템 영역에 기반한 보고서를 생성하는 것이다. 이 로깅 시스템의 특징은 새로운 시스템 관리자를 위해 사용하기 쉽고 이용 가능한 대부분의 Linux 배포와 많은 유닉스 시스템에서도 작동한다는 것이다.

Logstash

Logstash는 또한 리눅스에서 사용할 수 있는 오픈 소스 데이터 수집 및 로깅 시스템으로, 이 시스템은 원래 데이터 수집을 위해 설계되었지만, 현재는 새로운 버전으로 다양한 입력 데이터 형식, 필터링 및 출력 플러그인과 형식을 사용하는 등 여러 가지 다른 기능을 통합했다.

다양한 로그 소스 시스템의 데이터를 효과적으로 통합하고 데이터를 시스템 관리자의 선택에 따라 정규화할 수 있다. 또한 Logstash는 시스템 관리자가 모든 항목을 정리, 비교 및 표준화할 수 있도록 지원한다.

다양한 로그 소스 시스템의 데이터를 효과적으로 통합하고 데이터를 시스템 관리자의 선택에 따라 정규화할 수 있다. 또한 Logstash를 사용하면 시스템 관리자는 고유한 고급 분석을 위해 모든 로깅 데이터를 정리, 비교 및 표준화할 수 있으며 시각화 사용 사례도 만들 수 있다.

포스팅을 마치며

포스팅한 내용이 리눅스에서 사용할 수 있는 모든 로그 관리 시스템들은 아닙니다. 향후 목록을 계속 검토하고 업데이트 할 수 있도록 의견을 남겨 공유해주세요. 이번 포스팅이 도움이 됬으면 좋겠고 읽어주셔서 감사합니다.