리눅스용 5개의 오픈 소스 로그 모니터링 및 관리 도구

튜토리얼

운영 체제인 Linux이 실행 중일 때, 시스템 리소스를 효율적이고 안정적으로 사용하기 위해 많은 이벤트가 발생하고 백그라운드에서 실행되는 프로세스가 있습니다. 이러한 이벤트는 시스템 소프트웨어에서 발생할 수 있으며 예를 들어 init 또는 systemd 프로세스 또는 Apache, MySQL, FTP와 같은 사용자 응용 프로그램에서 발생할 수 있습니다.

시스템 및 다양한 응용 프로그램의 상태를 이해하고 작동 방식을 파악하기 위해 시스템 관리자는 제품 환경에서 매일 로그 파일을 검토해야 합니다.

여러 시스템 영역 및 응용 프로그램의 로그 파일을 검토해야 한다고 상상해보세요. 여기서 로깅 시스템이 유용합니다. 시스템 관리자가 구성한대로 다양한 로그 파일에서 모니터링, 검토, 분석 및 보고서 생성을 도와줍니다.

다음 내용도 좋을 수 있습니다:

이 기사에서는 오늘날 리눅스에서 가장 많이 사용되는 네 가지 오픈 소스 로깅 관리 시스템을 살펴보겠습니다. 대부분의 배포판에서 표준 로깅 프로토콜은 Syslog입니다.

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer는 정보 기술, 보건, 소매, 금융, 교육 등 다양한 산업의 모든 규모의 기업을 위한 온프레미스 로그 관리 솔루션입니다. 이 솔루션은 에이전트 기반 및 무에이전트 로그 수집, 로그 구문 분석 기능, 강력한 로그 검색 엔진 및 로그 아카이빙 옵션을 제공합니다.

네트워크 장치 감사 기능을 통해 사용자는 엔드 유저 장치, 방화벽, 라우터, 스위치 등을 실시간으로 모니터링할 수 있습니다. 이 솔루션은 그래프 및 직관적인 보고서 형태로 분석된 데이터를 표시합니다.

EventLog Analyzer의 사건 감지 메커니즘인 사건 로그 상관 관계, 위협 인텔리전스, MITRE ATT&CK 프레임워크 구현, 고급 위협 분석 등은 보안 위협이 발생하는 즉시 이를 감지하는 데 도움을 줍니다.

실시간 경보 시스템은 사용자에게 의심스러운 활동에 대한 경고를 제공하여 고위험 보안 위협을 우선 처리할 수 있도록 도와줍니다. 자동화된 사건 대응 시스템을 통해 SOC(Security Operations Center)는 잠재적인 위협을 완화할 수 있습니다.

해결책은 또한 사용자가 PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR 등 다양한 IT 규정 준수를 돕습니다. 모니터링을 위한 로그 소스 수에 따라 구독 기반 서비스가 제공됩니다. 지원은 전화, 제품 비디오 및 온라인 지식 베이스를 통해 사용자에게 제공됩니다.

ManageEngine EventLog Analyzer

2. Graylog 2

Graylog은 테스트 및 프로덕션 환경을 포함한 다양한 환경에서 로그를 수집하고 검토하는 데 널리 사용되는 선도적인 오픈 소스이자 견고한 중앙 집중식 로깅 관리 도구입니다. 소규모 비즈니스에 매우 적합하며 쉽게 설정할 수 있습니다.

Graylog – Linux Leading Log Management

Graylog은 네트워크 스위치, 라우터, 무선 액세스 포인트를 포함한 여러 장치에서 데이터를 쉽게 수집할 수 있습니다. Elasticsearch 분석 엔진과 통합되어 데이터를 저장하고 수집된 로그는 시스템 오류 및 결함 해결에 도움이 되는 깊은 통찰을 제공합니다.

Graylog를 사용하면 데이터를 원활하게 추적할 수 있는 멋진 웹 사용자 인터페이스를 얻게 됩니다. 또한 규정 준수 감사, 위협 검색 등에서 도움이 되는 다양한 도구와 기능을 제공받게 됩니다. 특정 조건이 충족되거나 문제가 발생할 때 경고가 트리거되도록 알림을 활성화할 수 있습니다.

Graylog는 대량의 데이터를 효과적으로 정리하고 검색 및 분석을 간소화하는 데 꽤 잘 작동합니다. 최신 버전은 Graylog 5.2.4이며 다크 모드, Slack 및 ElasticSearch 통합 등 새로운 기능을 제공합니다.

3. Logcheck

Logcheck는 크론 작업으로 실행되는 또 다른 오픈 소스 로그 모니터링 도구입니다. Logcheck는 수천 개의 로그 파일을 검사하여 위반 사항이나 트리거된 시스템 이벤트를 감지합니다. 그런 다음 Logcheck는 경고의 상세 요약을 구성된 이메일 주소로 보내어 권한이 없는 침입이나 시스템 오류와 같은 문제에 대해 운영 팀에 경고합니다.

Logcheck Scans System Logs

이 로깅 시스템에는 다음과 같은 세 가지 다른 수준의 로그 파일 필터링이 개발되었습니다:

  • 매우 높은 보안 시스템에서 가능한 서비스를 최소한으로 실행하는 데 사용됩니다.
  • 서버: 이것은 로그체크의 기본 필터링 레벨이며 여러 가지 다른 시스템 데몬을 위해 규칙이 정의되어 있습니다. 극도의 수준에 정의된 규칙은 또한이 수준 아래에 포함됩니다.
  • 작업 스테이션: 이는 안전한 시스템을 위한 것이며 대부분의 메시지를 필터링하는 데 도움이됩니다. 극도 및 서버 레벨에 정의된 규칙도 포함됩니다.

로그체크는 보안 이벤트, 시스템 이벤트 및 시스템 공격 경고로보고될 메시지를 세 가지 가능한 레이어로 정렬하는 기능도 제공합니다. 시스템 관리자는 시스템 이벤트가 보고되는 세부 수준을 필터링 레벨에 따라 선택할 수 있지만이는 보안 이벤트 및 시스템 공격 경고에 영향을주지 않습니다.

로그체크는 다음 기능을 제공합니다:

  • 사전 정의된 보고서 템플릿.
  • A mechanism for filtering logs using regular expressions.
  • 즉시 이메일 알림.
  • 즉시 보안 경고.

4. 로그워치

로그워치는 오픈 소스이며 매우 사용자 정의가 가능한 로그 수집 및 분석 응용 프로그램입니다. 시스템 및 응용 프로그램 로그를 모두 구문 분석하고 응용 프로그램이 어떻게 실행되는지에 대한 보고서를 생성합니다. 보고서는 명령 줄 또는 전용 이메일 주소를 통해 제공됩니다.

Logwatch Linux Log Analyzer

당신은 쉽게 Logwatch를 선호에 맞게 수정할 수 있습니다. 파라미터를 수정하여 /etc/logwatch/conf 경로에 있는 것들입니다. 또한 로그 구문 분석을 더 쉽게하기 위한 미리 작성된 PERL 스크립트도 제공합니다.

Logwatch는 계층적 접근 방식을 채택하고 있으며 구성 세부 정보가 정의된 3개의 주요 위치가 있습니다:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

모든 기본 설정은 /usr/share/logwatch/default.conf/logwatch.conf 파일에 정의되어 있습니다. 권장되는 방법은이 파일을 그대로 두고 원본 구성 파일을 복사한 다음 사용자 지정 설정을 정의하는 것입니다. /etc/logwatch/conf/ 경로에 나만의 구성 파일을 만드는 것입니다.

Logwatch의 최신 버전은 7.10 버전이며 systemd 저널을 journalctl을 사용하여 직접 쿼리하는 기능을 제공합니다. 소유권 있는 로그 관리 도구를 감당할 수 없는 경우, Logwatch는 모든 이벤트가 기록되고 문제가 발생할 경우 알림이 전달되므로 안심할 수 있습니다.

5. Logstash

Logstash은 로컬 파일이나 S3와 같은 분산 시스템을 포함한 다양한 소스에서 데이터를 수신하는 오픈 소스 서버 측 데이터 처리 파이프 라인입니다. 그런 다음 로그를 처리하고 Elasticsearch와 같은 플랫폼으로 흘려 보내 분석하고 나중에 보관합니다. 다양한 응용 프로그램에서 대량의 로그를 수신하고 나중에 동시에 다른 데이터베이스나 엔진에 출력할 수 있기 때문에 매우 강력한 도구입니다.

Logstash: Collect, Parse, and Transform Logs

Logstash는 비구조화된 데이터를 구조화하고 지리적 위치 조회를 수행하고 개인 데이터를 익명화하며 여러 노드로 확장됩니다. Logstash가 수신 파이프로 듣는 데이터 소스 목록에는 SNMP, 하트비트, Syslog, Kafka, puppet, windows 이벤트 로그 등이 포함됩니다.

Logstash는 데이터를 구문 분석하고 구조화하기 위해 데이터를 Logstash로 보내는 가벼운 데이터 선적기 ‘비츠’에 의존합니다. 그런 다음 데이터는 Google Cloud, MongoDB 및 Elasticsearch와 같은 다른 목적지로 전송되어 색인이 됩니다. Logstash는 사용자가 데이터를 모으고 파싱하고 대화형 대시 보드에서 시각화할 수 있는 Elastic Stack의 핵심 구성 요소입니다.

Logstash의 또 다른 장점은 널리 퍼져 있는 커뮤니티 지원과 정기적인 업데이트입니다.

요약

지금까지 그만이고 기억하세요. 이들은 Linux에서 사용할 수 있는 모든 로그 관리 시스템이 아닙니다. 우리는 미래의 기사에서 계속해서 목록을 검토하고 업데이트할 것입니다. 이 기사가 유용하다고 생각되시는지 여부를 알려주시면 다른 중요한 로깅 도구나 시스템을 댓글로 남겨주실 수 있습니다.

Source:
https://www.tecmint.com/best-linux-log-monitoring-and-management-tools/