오늘날의 시스템은 많은 로깅 데이터를 생성하고 있습니다. 많은 플랫폼에서 중요하든 중요하지 않든 모든 단일 이벤트는 어딘가에 기록됩니다. 일반적으로 로그는 로컬에 저장됩니다. 이는 로그가 소스에 연결되어 있으므로 의미가 있습니다. 그러나 문제를 해결하고 근본 원인을 찾으려고 할 때 종종 수많은 장치에서 여러 로그 파일을 확인해야 합니다. 모든 기기의 모든 로그가 한 곳에 저장된다면 좋지 않을까요? 로그 관리는 당신이 곧 알게 될 것입니다. 그리고 오늘 우리는 최고의 로그 관리 시스템을 검토하고 있습니다.
로그 관리가 무엇인지 설명하는 것으로 시작하겠습니다. 보시다시피, 이는 단순히 로그 저장소를 중앙 집중화하는 것 이상이 될 수 있습니다. 다음으로 로깅 프로토콜에 대해 이야기하겠습니다. 로그 관리가 없으면 로그 관리가 존재할 수 없기 때문에 오히려 중요합니다. 그런 다음 syslog 서버를 로그 관리 시스템과 구별하려고 합니다. 불행히도 그들 사이에는 명확한 경계가 없습니다. 보안 정보 및 이벤트 관리 시스템은 각각의 정의가 다소 불분명하여 종종 로그 관리와 혼동되는 또 다른 유형의 시스템이기 때문에 보안 정보 및 이벤트 관리 시스템에 대한 논의를 계속할 것입니다. 마지막으로 우리가 찾을 수 있는 상위 8개 로그 관리 시스템을 검토할 것입니다.
목차
로그 관리 – 정의
로그 관리에 대해 이야기하기 전에 로그가 무엇인지 살펴보겠습니다. 간단히 정의하면 로그는 특정 시스템과 관련된 이벤트에 대해 자동으로 생성되고 타임 스탬프가 찍힌 문서입니다. 시스템에서 이벤트가 발생할 때마다 로그가 생성됩니다. 다른 시스템은 다른 이벤트에 대한 로그를 생성하고 많은 시스템은 관리자에게 로그를 생성하는 항목과 생성하지 않는 항목에 대한 어느 정도의 제어 권한을 부여합니다.
로그 관리에 대해 이야기할 때 대용량 로그 데이터의 생성, 전송, 분석, 저장, 보관 및 최종 폐기를 관리하고 촉진하는 데 사용되는 프로세스 및 정책을 의미합니다. 로그 관리는 여러 소스의 로그를 수집하는 중앙 집중식 시스템을 의미합니다.
그러나 로그 관리는 단순한 로그 수집이 아닙니다. 관리 부분이 가장 중요합니다. 로그 관리 시스템에는 일반적으로 여러 기능이 있으며 로그 수집은 그 중 하나일 뿐입니다.
로그 관리 시스템에서 로그를 수신하면 공통 형식으로 “변환”해야 합니다. 시스템마다 로그 형식이 다르고 로그에 다른 데이터가 포함됩니다. 일부는 날짜와 시간으로 로그를 시작하고 일부는 이벤트 번호로 시작합니다. 일부는 로그 ID만 포함하고 다른 일부는 이벤트에 대한 전체 텍스트 설명을 포함합니다. 로그 관리 시스템의 목적 중 하나는 수집된 모든 로그 항목이 균일한 형식으로 저장되도록 하는 것입니다. 이렇게 하면 검색 및 이벤트 상관 관계가 훨씬 쉬워집니다.
검색 및 상관 관계에 대해 이야기하면 이것은 많은 로그 관리 시스템의 또 다른 중요한 기능입니다. 그들 중 일부는 관리자가 필요한 것을 정확히 파악할 수 있는 강력한 검색 엔진을 갖추고 있습니다. 상관 함수는 소스가 다른 경우에도 관련 이벤트를 자동으로 그룹화합니다. 다른 로그 관리 시스템이 이를 어떻게 그리고 얼마나 성공적으로 달성하느냐는 주요 차별화 요소입니다.
로깅 프로토콜
로깅 프로토콜이 아니라면 로그 관리는 가능하다면 훨씬 더 어려울 것입니다. 로그에 포함할 데이터, 형식 지정 방법 및 시스템 간에 전송되는 방법을 정의하는 몇 가지가 있습니다.
Syslog는 틀림없이 가장 많이 사용되는 로깅 프로토콜입니다. 80년대 초에 발명되어 유닉스 계열 시스템의 사실상 표준이 되었습니다. syslog 프로토콜의 가장 큰 자산 중 하나는 로그를 생성하는 소프트웨어, 로그를 저장하는 시스템, 로그를 보고하고 분석하는 소프트웨어를 분리하는 방법입니다. Syslog 프로토콜을 사용하면 로그 관리가 훨씬 쉬워집니다. 많은 공급업체의 스위치 라우터 및 기타 네트워킹 장비와 같은 많은 비 Unix 장치는 syslog 프로토콜의 변형을 사용합니다.
예상대로 Microsoft Windows는 다른 로깅 시스템을 사용합니다. Windows 운영 체제 및 응용 프로그램에 일반적으로 syslog가 허용하는 것보다 훨씬 더 많은 정보가 포함된 로그가 있다는 사실과 관련이 있을 수 있습니다. 다행히 Windows 이벤트 수집기 기능은 로그 관리 시스템이 Windows 호스트로부터 이벤트를 수신하는 데 사용할 수 있는 수단을 제공합니다.
어떤 로깅 프로토콜이 사용되든, 로그 관리의 중요한 부분은 관리 시스템에 로그를 보내도록 장치를 구성하는 것입니다. 이것은 도구가 호스트에서 데이터를 가져오는 네트워크 모니터링 시스템과 같은 다른 도구와 다릅니다.
로그 서버 대 로그 관리
꽤 오랫동안 모든 유닉스 계열 시스템에서 사용할 수 있었기 때문에 Syslog는 한 컴퓨터가 여러 대의 다른 컴퓨터로부터 syslog 데이터를 받는 로그 서버로 자주 사용됩니다. 이 중앙 집중식 로그 저장소에는 확실한 이점이 있지만 로그 관리는 아닙니다.
Log Management System이라는 이름을 얻으려면 제품에 최소한 일부 고급 기능이 포함되어야 합니다. Wikipedia에 따르면 로그 관리는 로그 수집, 중앙 집중식 로그 집계, 장기 로그 저장 및 보존, 로그 회전, 로그 분석, 로그 검색 및 보고 기능으로 구성됩니다. 로그 서버는 종종 로그 수집 및 저장만 제공하며 그 이상을 제공하는 경우는 드뭅니다. 상위 목록에 있는 각 로그 관리 시스템은 최소한 일부 고급 기능을 제공합니다.
SIEM 시스템은 어떻습니까?
종종 로그와 연관되고 로그 관리 시스템과 혼동되는 또 다른 인기 있는 기술은 보안 정보 및 이벤트 관리(SIEM)입니다. 이것은 밀접한 관련이 있지만 로그 관리와 상당히 다릅니다. 사실, 로그 관리 시스템으로 광고되는 일부 제품은 실제로 SIEM 시스템인 반면 일부 기본 SIEM 시스템은 로그 관리 시스템에 불과합니다.
이러한 혼란의 주된 이유는 로그 관리 또는 적어도 로그 분석이 SIEM 시스템의 중요한 구성 요소이기 때문입니다. 실제로 SIEM 시스템은 일반적으로 프로세스에 일부 인텔리전스를 추가하여 로그 관리를 한 단계 더 높입니다. 이러한 시스템은 보안 문제 식별을 궁극적인 목표로 로그 분석을 수행합니다. 예를 들어 인증되지 않은 침입 시도를 나타내는 로그인 실패 징후를 찾습니다. 이러한 시스템은 로그 항목을 자동으로 스캔하여 비정상적인 것을 찾습니다.
SIEM 시스템은 IT 관리보다 IT 보안과 더 관련이 있으며 일부에는 광범위한 로그 관리 기능이 포함되어 있지만 많은 시스템이 외부 로그 관리 시스템을 사용할 수도 있으며 두 시스템이 나란히 실행되는 것을 보는 것은 드문 일이 아닙니다.
최고의 로그 관리 소프트웨어
이제 로그 관리가 무엇이고 무엇이 그렇지 않은지에 대한 공통된 이해가 있으므로 사용 가능한 항목을 살펴보겠습니다. 우리는 최고의 로그 관리 시스템에 대한 시장을 검색했습니다. 우리의 초기 발견은 그것들이 많이 있고 그들 중 많은 것이 매우 좋다는 것입니다. 그러나 우리는 공간이 너무 많기 때문에 우리가 찾을 수 있는 가장 흥미로운 여덟 가지를 검토하려고 합니다.
1. SolarWinds Papertrail
SolarWinds는 네트워크 관리 도구 분야의 일반적인 이름입니다. 거의 20년 동안 사용되어 왔으며 최고의 대역폭 모니터링 도구 중 하나이자 최고의 NetFlow 분석기 및 수집기 중 하나를 제공했습니다. 이 회사는 또한 서브넷 계산기 또는 syslog 서버와 같은 네트워크 관리자의 특정 요구 사항을 해결하는 몇 가지 무료 도구를 게시하는 것으로 잘 알려져 있습니다.
몇 년 전 SolarWinds는 페이퍼 트레일, 인기 있는 로그 관리 시스템. Apache 또는 MySQL은 물론 Ruby on Rails 앱, 다양한 클라우드 호스팅 서비스 및 기타 표준 텍스트 로그 파일과 같이 널리 사용되는 다양한 제품의 로그 파일을 집계합니다. 페이퍼 트레일 그런 다음 사용자는 웹 기반 검색 인터페이스 또는 명령줄 도구를 사용하여 이러한 파일을 검색하여 버그 및 성능 문제를 진단할 수 있습니다. 페이퍼 트레일 또한 그래프 결과를 위해 Librato 및 Geckoboard와 같은 다른 SolarWinds 제품과 통합됩니다.
페이퍼 트레일 SolarWinds에서 제공하는 클라우드 기반 SaaS(Software as a Service)입니다. 구현, 사용 및 이해하기 쉽습니다. 그리고 몇 분 안에 모든 시스템에 대한 즉각적인 가시성을 제공합니다. 이 도구에는 저장된 로그와 스트리밍 로그를 모두 검색할 수 있는 매우 효과적인 검색 엔진이 있습니다. 그리고 그것은 번개처럼 빠릅니다.
페이퍼 트레일 무료 계획을 포함한 여러 계획에서 사용할 수 있습니다. 그러나 다소 제한적이며 매월 100MB의 로그만 허용합니다. 그러나 첫 달에 16GB의 로그를 허용하며 이는 30일 무료 평가판을 제공하는 것과 같습니다. 유료 플랜은 1GB/월의 로그, 1년의 아카이브 및 1주의 인덱스에 대해 월 7달러부터 시작합니다. 노이즈 필터링을 사용하면 도구에서 불필요한 로그를 저장하지 않음으로써 데이터를 보존할 수 있습니다.
2. SolarWinds 로그 및 이벤트 관리자(무료 평가판)
다음 항목은 SolarWinds의 또 다른 제품입니다. 솔라윈드 로그 및 이벤트 관리자. 이전 항목과 달리 이것은 로컬에 설치된 제품입니다. 또한 단순한 로그 관리 시스템 그 이상입니다. 이 제품의 많은 고급 기능은 SIEM 범위에 포함됩니다. 예를 들어, 실시간 벤트 상관 관계 및 실시간 교정 기능이 있습니다.
다음은 개요입니다. SolarWinds 로그 및 이벤트 관리자의 주요 기능. 의심스러운 활동의 즉각적인 탐지 및 자동화된 대응을 사용하여 위협을 신속하게 제거합니다. 또한 완화 및 규정 준수를 위해 보안 이벤트 조사 및 포렌식을 수행할 수 있습니다. 그리고 컴플라이언스에 대해 이야기하면 이 제품을 통해 무엇보다도 HIPAA, PCI DSS 및 SOX에 대한 감사로 입증된 보고 덕분에 이를 입증할 수 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링도 포함되어 있습니다. 이 두 가지 기능은 로그 관리 시스템에서 일반적으로 볼 수 있는 것보다 훨씬 뛰어납니다.
가격 SolarWinds 로그 및 이벤트 관리자 최대 30개의 모니터링되는 노드에 대해 $4,585부터 시작합니다. 최대 2500개의 노드에 대한 라이선스를 구매하여 제품을 확장할 수 있습니다. 제품이 귀하에게 적합한지 직접 확인하고 싶다면 모든 기능을 갖춘 무료 30일 평가판을 사용할 수 있습니다.
3. ipswitch 로그 관리 제품군
그만큼 로그 관리 제품군 는 매우 인기 있는 네트워크 모니터링 도구인 WhatsUp Gold를 제공한 회사인 Ipswitch의 도구입니다. 시스템 로그, Windows 이벤트 및 W3C/IIC 로그를 수집, 저장, 보관 및 저장하는 자동화된 도구입니다. 또한 지속적인 로그 감시를 통해 의심스러운 활동에 대해 경고합니다.
액세스 권한, 파일, 폴더 및 개체 권한과 같이 자주 감사되는 이벤트를 추적하여 필요에 따라 경고를 생성하고 HIPAA, SOX, FISMA, PCI, MiFID 또는 Basel II 규정 준수에 대한 규정 준수 보고서를 작성하는 데 사용할 수 있습니다. 또한 이 도구는 자동화된 필터링, 상관 관계, 보고 및 변환 기능 덕분에 원시 로그 데이터를 관리자 또는 IT 보안 팀을 위한 의미 있는 데이터로 변환하는 데 도움이 될 수 있습니다.
가격 정보 로그 관리 제품군 Ipswitch에서 쉽게 사용할 수 없습니다. 제품은 게시자로부터 직접 또는 Ipswitch의 리셀러 네트워크를 통해 구입할 수 있습니다. 무료 평가판도 사용할 수 있습니다.
4. ManageEngine EventLog 분석기
네트워크 관리자의 또 다른 일반적인 이름인 ManageEngine은 ManageEngine EventLog 분석기. 이 제품은 로그 가져오기는 물론 에이전트 없는 에이전트 기반 로그 수집 또는 조합을 사용하여 700개 이상의 소스의 로그 데이터를 수집, 관리, 분석, 상호 연관 및 검색합니다.
속도는 다음 중 하나입니다. ManageEngine EventLog 분석기의 힘. 초당 25,000개의 놀라운 속도로 로그 데이터를 처리하고 실시간으로 공격을 탐지할 수 있습니다. 또한 빠른 포렌식 분석을 수행하여 침해의 영향을 줄일 수 있습니다. 시스템의 감사 기능은 네트워크 경계 장치의 로그, 사용자 활동, 서버 계정 변경, 사용자 액세스 등으로 확장되어 보안 감사 요구 사항을 충족하는 데 도움이 됩니다.
그만큼 ManageEngine EventLog 분석기 는 5개의 로그 소스만 지원하는 기능이 감소된 무료 버전 또는 $595부터 시작하는 프리미엄 버전으로 제공되며 장치 및 애플리케이션의 수에 따라 다릅니다. 모든 기능을 갖춘 무료 30일 평가판도 사용할 수 있습니다.
5. 나기오스 로그 서버
Nagios는 뛰어난 네트워크 모니터링 소프트웨어로 가장 잘 알려져 있지만 Log Server도 마찬가지로 흥미롭습니다. 적절하게 불렀다. 나기오스 로그 서버, 중앙 집중식 로그 관리, 모니터링 및 분석을 제공합니다. 그만큼 나기오스 로그 서버 로그 데이터 검색 프로세스를 단순화합니다. 또한 잠재적인 위협에 대해 알림을 받도록 경고를 설정할 수 있습니다. 또한 소프트웨어에는 고가용성 및 장애 조치가 내장되어 있습니다. 간편한 소스 설정 마법사를 통해 모든 로그 데이터를 전송하고 몇 분 안에 로그 모니터링을 시작하도록 서버를 신속하게 구성할 수 있습니다. .
그만큼 나기오스 로그 서버 몇 번의 클릭만으로 모든 서버의 로그 이벤트를 쉽게 상관시킬 수 있습니다. 또한 실시간으로 로그 데이터를 볼 수 있어 문제가 발생하는 즉시 분석하고 해결할 수 있습니다. 이 제품은 인상적인 확장성을 제공하며 조직이 성장함에 따라 계속해서 요구 사항을 충족할 것입니다. 추가의 나기오스 로그 서버 인스턴스를 모니터링 클러스터에 추가할 수 있으므로 더 많은 전력, 속도, 스토리지 및 안정성을 빠르게 추가할 수 있습니다.
단일 인스턴스 가격 나기오스 로그 서버 가격은 3,995달러이며 무료 평가판을 사용할 수 없는 것으로 보이지만 제품을 직접 보고 싶은 경우 무료 온라인 데모를 이용하면 됩니다.
6. 경보 로직 로그 관리자
Alert Logic의 주요 초점은 보안 및 규정 준수입니다. 그리고 로그 관리는 두 가지 모두와 밀접하게 관련되어 있기 때문에 회사가 다음을 제공하는 것은 놀라운 일이 아닙니다. 경보 논리 로그 관리자. 이 클라우드 기반 도구는 모든 환경에서 자동화되고 통합된 로그 관리를 제공합니다. 클라우드, 서버, 애플리케이션, 보안 및 네트워크 자산에서 로그 데이터를 수집, 집계 및 검색합니다.
그만큼 경보 논리 로그 관리자 로그 모니터링 및 분석은 물론 인간 분석가에 의해 실시간으로 수행되는 로그 검토가 포함됩니다. Alert Logic의 전문가는 1년 365일 가능한 위협 활동에 대해 경고합니다. 이 서비스는 또한 SOC 2, HIPAA 및 SOX의 로그 검토 요구 사항을 충족하고 PCI/DSS 10.6, 10.6.1, 10.6.3을 준수하기 위해 로그 검토 및 이벤트 후속 조치의 부담을 덜어줍니다.
가격 정보 경보 논리 로그 관리자 웹에서 쉽게 구할 수 없으며 공식적인 견적을 받으려면 Alert Logic 영업팀에 문의해야 합니다. 무료 평가판도 사용할 수 없지만 Alert Logic에 연락하여 무료 데모를 예약할 수 있습니다.
7. 로그DNA
2015년 설립된, 로그DNA 블록에 새로운 아이입니다. 회사는 “로그DNA 가장 빠르고 직관적이며 비용 효율적인 로그 관리 시스템입니다.” 로그 모니터링을 시작하기 전에 몇 분 밖에 걸리지 않는 설치로 모든 것이 시작됩니다. 로그가 생성되고 전송되는 방법에 관계없이 수백 가지 사용자 지정 통합 체계를 사용하여 로그를 단일 창으로 중앙 집중화할 수 있습니다.
로그DNA 기본 설정에 따라 클라우드 기반 또는 자체 호스팅이 될 수 있습니다. 확장성이 뛰어나고 실시간 로그 분석을 통해 전체 보안에서 하루에 고객당 초당 수십만 개의 로그와 수십 테라바이트를 처리할 수 있습니다. 회사와 제품은 SOC2, PCI 및 HIPAA를 준수하고 Privacy Shield 인증을 받았습니다.
계약 및 고정 데이터 버킷을 제거하는 간단한 GB당 요금 모델을 통해 이 회사는 총 소유 비용이 가장 낮은 회사 중 하나입니다. 기능이 증가하면서 여러 구독 계획을 사용할 수 있습니다. 하위 요금제는 무료이며 유료 요금제는 보존 기간 및 사용자 수에 따라 $1.50/GB/월에서 $3/GB/월까지 다양합니다. 모든 기능을 갖춘 14일 무료 평가판도 사용할 수 있습니다.
8. 그레이로그
우리 목록의 마지막은 그레이로그. 이 제품은 많은 흥미로운 기능을 제공합니다. 이 도구는 모든 데이터 소스의 로그 및 이벤트 데이터를 구문 분석하고 보강합니다. 처리 파이프라인을 통해 실시간으로 메시지 라우팅, 블랙리스트 작성, 수정 및 강화에 약간의 유연성을 제공합니다. 그레이로그 중요한 정보를 발견하고 분석하기 위해 테라바이트의 로그 데이터를 검색합니다. 강력한 검색 구문을 통해 원하는 것을 정확하게 찾을 수 있습니다.
와 함께 그레이로그, 대시보드를 만들어 하나의 중앙 위치에서 메트릭을 시각화하고 추세를 관찰할 수 있습니다. 검색 결과 페이지의 필드 통계, 빠른 값 및 차트를 사용하여 데이터에 대한 심층 분석을 할 수 있습니다. 시스템은 또한 로그인 시도 실패, 예외 또는 성능 저하와 같은 이벤트에 대해 조치를 트리거하거나 알림을 발행하는 옵션이 있습니다.
그레이로그 지원이 제한적인 무료 오픈 소스 기능 제한 버전 또는 확장 기능과 무제한 지원이 포함된 엔터프라이즈 버전으로 제공됩니다. 평가판 라이센스는 다음 연락처로도 얻을 수 있습니다. 그레이로그 매상.