안녕하세요. 로그서버 구축 관련하여 문의사항이 있습니다.
현재 방화벽, NAS에서 발생하는 로그를 관리하여 문제 발생 시 확인 목적으로 로그서버 구축하려고 합니다.
윈도우 서버 1대 / kiwi syslog server 1개 / MSSQL 구매해서 구축하려고 하는데 이렇게 구축하고 syslog 받아서 DB에 쌓고 쿼리로 그때 그때 확인하면 되는걸까요?
대충 개념은 알고있는데 제 생각이 맞는지 궁금해서 글을 남겨봅니다.
추가로, kiwi를 제외한 로그 관리 tool이나 솔루션 추천해주실만한게 있을까요?
로그관리대상은 일단 방화벽 10대 이상, NAS 5대 이하입니다.
6개의 답변이 있습니다.
Kiwi syslog 간단하게 사용할 수 있는 레퍼런스가 많은 솔루션입니다.
하지만 요즘은 ELK 스택, Splunk, Sumo logic, Datadog 같은 제품들을 많이 사용합니다.
이들 솔루션은 로그 분석 툴도 좋고, 다양한 기능이 제공되며 성능도 괜찮습니다.
두가지 추천할수 있겠는데요
1) splunk : 규모 로그 데이터 수집, 분석, 검색 및 시각화 도구
2) Prometheus: 시스템 모니터링 및 경고 솔루션. 메트릭 수집, 저장, 검색 및 대시보드 제공
리눅스로도 구성이 가능합니다. 구글링 해보시면 많이들 나와 있으니 참고 하시면 될듯합니다,
syslog는 로그를 수집하는 표준 프로토콜의 하나가 되겠고요.
UNIX/LINUX에서 기본적으로 사용하고 있는 로그 수집 프로토콜이라 할 수 있겠고요.
표준 프로토콜이다 보니, 다양한 장비들도 syslog 서버에 로그 정보를 전송하는 기능이 추가되는 것이 기본이라 할 수 있겠고...
kiwi syslog server는 표준 syslog protocol에 좀 더 추가적인 기능을 넣어서 상용으로 판매되는 제품인 걸로 보이고...
Linux를 사용하고 있다면 syslog 서비스를 활성화 시켜서 로그 수집 용도로 사용해도 되겠고요.
상용 제품에 비해서는 text방식의 log로 저장되기 때문에 불편한 점이 있을 수 있으나 무료로 사용할 수 있고, 능력이 된다면 다양하게 가공해서 상용 제품 이상의 편의성을 직접 추가해서 사용할 수도 있을 거라 생각되고요.
Linux syslog 설정 방법도 리눅스를 조금 다룰 수 있다면 큰 어려움은 없어 보이고요.
https://hanbyoru.tistory.com/228
윈도우에서 사용할 수 있는 syslog 서버도 다양하게 있고... 무료로 사용할 수 있는 오픈 소스도 많이 찾을 수 있겠고...
상용으로는 SaaS 방식으로 제공해 주는 클라우드 로그 수집 솔루션들도 많이 있기 때문에 일정 비용을 지불하고 사용하는 것도 나쁘지 않은 선택이라 생각되네요.
구름보안님이 말씀 주셨는데, 요즘에는
엘라스틱 서치(Elasticsearch) + 로그스태시(Logstash) + 키바나(Kibana) = elk로 구축을 많이 하더라구요 !
참고해보시면 좋을 거 같습니다.
ELK로 구축 추천드립니다.