네트워크 관리자로서 우리는 수많은 장치에서 생성되는 엄청난 양의 이벤트를 관리해야 합니다. 과거에는 하위 관리자 시절, 매일 해야 했던 일 중 하나가 각 장비의 오류 로그를 일일이 확인하는 것이었습니다. 네트워크 규모가 커짐에 따라 이 작업은 점점 더 많은 시간을 소모하게 되었죠. 하지만 이제는 syslog 원격 로깅 시스템과 지능형 syslog 서비스 덕분에 이러한 수고는 과거의 이야기가 되었습니다. 최고의 무료 syslog 서버를 찾아보고 싶으시다면, 계속해서 읽어보세요.
최고의 무료 syslog 서버를 소개하기 전에, 먼저 중앙 집중식 로깅이 왜 필요한지에 대해 이야기해 보겠습니다. 그다음, syslog 시스템의 기원과 작동 방식에 대해 알아볼 것입니다. 또한, 많은 관리자들이 Windows 장치를 다루어야 하므로, 이러한 시스템의 이벤트를 다른 시스템과 통합하는 방법도 살펴볼 예정입니다. SNMP 트랩, 즉 시스템 메시지를 전송하는 또 다른 인기 있는 방식에 대해서도 알아보겠습니다. 그리고 마지막으로, 최고의 무료 syslog 서버들을 자세히 소개해 드리겠습니다.
중앙 집중식 로깅의 중요성
만약 저처럼 매일 수십 대의 장치에서 로그를 확인하는 작업을 해보신 적이 있다면, 그 과정이 얼마나 지루하고 시간 소모적이며 오류가 발생하기 쉬운지 잘 아실 겁니다. 처리해야 할 메시지가 너무 많아서, 중요한 메시지를 놓칠 가능성이 매우 높습니다.
더 큰 문제는 대부분의 장치가 새로운 이벤트가 발생하면 이전 이벤트를 삭제한다는 것입니다. 이는 로깅과 롤 로그에 할당되는 리소스가 제한적이기 때문입니다. 이로 인해 중요한 정보를 놓칠 위험이 더욱 커집니다. 특히 어떤 이벤트가 다른 후속 이벤트의 근본 원인이 될 수 있다는 점을 고려하면 더욱 그렇습니다.
중앙 집중식 로깅이 필요한 이유는 여러 가지가 있습니다. 가장 중요한 것은, 모든 이벤트가 기록되고 안전하게 저장되도록 보장하는 것입니다. 더 나아가 중앙 집중식 로깅 시스템이 이벤트를 분석하고, 중요한 일이 발생할 때마다 자동으로 경고를 보내주는 지능적인 기능을 갖추고 있다면 훨씬 좋겠죠? 바로 이것이 일부 뛰어난 시스템 로그 서버들이 제공하는 기능입니다.
시스템 로그 시스템이란?
syslog는 기술적으로 두 가지 의미를 가지고 있습니다. 첫째, 컴퓨터 이벤트 로깅 시스템을 정의하는 프로토콜입니다. 둘째, 시스템 간에 syslog 메시지가 교환되는 형식을 가리키는 이름이기도 합니다. syslog 시스템은 클라이언트와 서버라는 두 가지 구성 요소로 이루어져 있습니다. 클라이언트 구성 요소는 각 로깅 장치에서 실행되며, 서버 구성 요소는 syslog 클라이언트로부터 이벤트 정보를 받습니다.
syslog는 1980년대 유닉스 환경에서 시작되었으며, 특히 전자 메일 전송 시스템인 Sendmail의 로그 교환 시스템에서 처음 사용되었습니다. 이 시스템이 매우 효과적이었기 때문에 곧 유닉스 운영 체제의 다른 부분으로 확장되었고, 이후 라우터, 스위치, 방화벽과 같은 다양한 네트워킹 장비에도 포함되었습니다.
Syslog 메시지 형식
syslog 메시지에는 이벤트 발생 날짜와 시간, 장비의 호스트 이름, 이벤트를 발생시킨 프로세스, 이벤트의 심각도 수준 등이 포함됩니다. 또한 이벤트의 출처와 메시지 본문의 프로세스 ID도 함께 기록됩니다. 예를 들면 다음과 같습니다.
Sep 14 14:09:09 test_device dhcp service[warning] 110 message body
심각도 수준은 “디버깅”부터 “긴급”(때로는 “패닉”이라고도 함)까지 총 8단계로 나뉩니다. 이는 syslog 서버를 특정 심각도의 메시지에 대해 특정 방식으로 반응하도록 설정할 수 있기 때문에 중요합니다.
Windows 시스템은 어떻게 처리할까요?
Windows 시스템 역시 1993년 Windows NT 이후로 이벤트를 생성해 왔습니다. 일반적으로 모든 Windows 운영 체제에 포함된 로그 뷰어 애플리케이션을 사용하여 확인합니다. 하지만 만약 유닉스/리눅스, 네트워킹 장비, 그리고 윈도우 서버들을 함께 관리해야 한다면, 모든 시스템 이벤트를 한곳에서 중앙 집중화할 수 있다면 훨씬 편리하지 않을까요?
이를 위한 가장 큰 어려움은 형식의 차이입니다. 윈도우 이벤트는 일반적인 syslog 이벤트와 동일한 정보를 담고 있지 않습니다. 윈도우 환경에서 이 문제를 해결하는 몇 가지 방법이 있습니다. WinRM과 PowerShell 명령을 사용할 수도 있고, 전송의 모든 측면을 자동으로 구성해주는 소프트웨어를 이용할 수도 있습니다. 그중 하나가 바로 Windows용 무료 SolarWinds 이벤트 로그 전달자입니다.
Windows용 SolarWinds 이벤트 로그 전달자 (무료 다운로드)
SolarWinds는 이미 많은 분들에게 익숙한 회사일 겁니다. 이 회사는 뛰어난 네트워크 관리 및 모니터링 소프트웨어를 제공합니다. 대부분의 제품에 대해 30일 무료 평가판을 제공하는 것으로 알려져 있지만, 최고의 무료 네트워크 관리 도구를 만드는 것으로도 유명합니다. 그중 하나가 바로 Windows용 무료 이벤트 로그 전달자입니다.
간단히 말해서, Windows용 SolarWinds 이벤트 로그 전달자는 Windows 이벤트 로그를 자동으로 syslog 메시지로 변환하여 모든 syslog 서비스로 전송할 수 있게 해줍니다. 이를 통해 워크스테이션과 서버에서 발생하는 이벤트를 빠르고 효율적으로 수집하고 전송할 수 있습니다. 윈도우 서버와 워크스테이션 모두에서 이벤트 데이터를 내보낼 수 있으며, 소스, 유형 ID 또는 키워드별로 전송할 이벤트를 지정할 수도 있습니다. 또한, 여러 서버로 이벤트를 전송하도록 구성할 수도 있습니다.
SolarWinds 웹사이트에서 소프트웨어를 다운로드한 후, 이벤트 데이터를 전송하려는 각 서버에 설치하기만 하면 됩니다. 사용자 친화적인 인터페이스 덕분에 내보내기 설정을 쉽게 구성할 수 있으며, 기본적으로 포함할 이벤트와 전송할 위치를 지정하면 됩니다.
방문: https://www.solarwinds.com/free-tools/event-log-forwarder-for-windows
SNMP 트랩 – 또 다른 유형의 이벤트 알림
만약 네트워크 모니터링 도구에 익숙하다면, SNMP(Simple Network Management Protocol)에 대해서도 들어보셨을 겁니다. SNMP는 인터페이스 카운터를 읽고 대역폭 사용량을 계산하는 데 널리 사용됩니다. SNMP 트랩이라는 또 다른 유형의 SNMP 트래픽이 있습니다. 이는 특정 상황을 알리기 위해 한 장치에서 다른 장치로 보내는 메시지입니다.
대부분의 네트워킹 장비는 문제가 발생할 때마다 SNMP 트랩을 보내도록 설정할 수 있습니다. Syslog와 달리, 각 트랩 유형은 수동으로 구성해야 합니다. 예를 들어, 인터페이스가 다운되거나 트래픽이 특정 임계값을 초과할 때마다 트랩을 보내도록 설정할 수 있습니다. 이러한 트랩은 SNMP 환경에서 트랩 수신기라고 불리는 곳으로 전송됩니다.
여기서 SNMP 트랩에 대해 말씀드린 이유는, 저희가 소개하려는 도구 중 일부가 트랩 수신기로도 사용될 수 있기 때문입니다. syslog 메시지뿐만 아니라 SNMP 트랩까지 지원하고 통합하는 시스템을 사용하면 통합 모니터링 솔루션을 갖출 수 있게 됩니다. 앞으로 최고의 무료 syslog 서버들을 하나씩 살펴보면서, SNMP도 지원하는 서버를 알려드리겠습니다.
최고의 무료 Syslog 서버
Syslog 서버는 다양한 형태와 크기로 존재합니다. 어떤 서버는 단순히 로그를 중앙 집중식 위치에 저장하는 데 그치지만, 다른 서버들은 다양한 필터를 적용하여 관리 콘솔에 표시하거나, 특정 유형의 이벤트에 반응하도록 구성할 수도 있습니다. 이러한 반응에는 특정 유형의 경고를 생성하여 콘솔 화면에 표시하거나, 이메일이나 SMS로 발송하는 것이 포함될 수 있습니다. 또한 어떤 서버는 syslog 프로토콜만 지원하지만, 어떤 서버는 윈도우 이벤트나 SNMP 트랩까지 처리하기도 합니다.
저희는 최고의 무료 syslog 서버 6개를 선정하여 목록을 만들었습니다. 몇몇 서버는 진정한 의미의 무료 정식 서버이지만, 다른 서버들은 기능이 풍부한 유료 버전의 축소판입니다. 다음은 저희가 선정한 상위 6개 서버입니다.
SolarWinds Kiwi Syslog 서버 무료 버전
ManageEngine EventLog 분석기
파에슬러 PRTG
WhatsUp Gold의 Syslog 서버
시스템 로그 감시자
Windows용 Visual Syslog 서버
1. SolarWinds Kiwi Syslog 서버 무료 버전 (무료 다운로드)
Windows용 이벤트 로그 전달자를 소개할 때 SolarWinds를 이미 언급했습니다. Kiwi Syslog Server Free Edition은 이 회사의 뛰어난 무료 제품 중 하나입니다. 하지만 최대 5개 장치의 syslog 메시지만 처리할 수 있다는 심각한 제약이 있어, 소규모 네트워크에만 적합합니다.
Windows 서버 2008 또는 2012, 그리고 Windows 7, 8 또는 10에만 설치할 수 있는 Kiwi Syslog 서버는 수신한 모든 메시지를 통합 로그 파일에 기록하고, 동시에 대시보드에도 표시합니다. syslog 메시지 또는 SNMP 트랩을 생성할 수 있는 거의 모든 장치에서 데이터를 수집하며, 여기에는 대부분의 라우터, 스위치, 보안 어플라이언스가 포함됩니다.
서버가 날짜 또는 메시지 소스 유형별로 로그를 작성하도록 설정할 수 있으며, 트래픽이 많을 때 알림을 설정할 수도 있습니다. 유료 버전을 사용하면 더욱 다양한 경고 조건을 사용할 수 있습니다.
다운로드 링크: https://www.solarwinds.com/free-tools/kiwi-free-syslog-server
2. ManageEngine EventLog 분석기
저희가 선택한 또 다른 서버인 ManageEngine EventLog 분석기의 무료 버전도 최대 5개 장치에서만 syslog 데이터를 수집할 수 있습니다. 그 이상은 라이선스를 구매해야 합니다. SolarWinds와 마찬가지로 ManageEngine 또한 뛰어난 네트워크 관리 도구와 무료 소프트웨어를 제공하는 것으로 유명합니다.
EventLog Analyzer라는 이름에서 알 수 있듯이, 이 제품은 단순한 syslog 서버 이상의 기능을 제공합니다. 모든 로깅 소스를 한곳에 모으는 것 외에도, 규정 준수 보고 및 로그 포렌식과 같은 몇 가지 고급 기능도 제공합니다. 유료 버전에는 다른 제품에서는 찾아볼 수 없는 더 많은 고유한 기능들이 포함되어 있습니다.
3. 파에슬러 PRTG
네트워크 모니터링 시스템에 조금이라도 관심이 있으시다면, Paessler의 PRTG를 모르실 리가 없을 겁니다. 가장 잘 알려진 네트워크 모니터링 패키지 중 하나이니까요. PRTG가 syslog 데이터도 수신할 수 있다는 사실은 잘 알려지지 않았을 수도 있습니다. PRTG는 무료 제한 버전에서도 최대 100개의 센서를 사용할 수 있으며, syslog 역시 이러한 센서 중 하나로 사용할 수 있습니다. 즉, 무료 PRTG 설치를 사용하여 syslog 데이터를 중앙 집중화하는 동시에 다른 99개의 매개변수도 모니터링할 수 있습니다.
PRTG Syslog Receiver는 네트워크의 모든 syslog 메시지를 수집하여 데이터베이스에 저장합니다. 저장된 데이터는 로그 파일로 기록하거나 PRTG 대시보드에서 직접 조회할 수 있습니다. 또한 특정 조건에 반응하여 작업을 트리거하도록 설정할 수도 있습니다.
4. WhatsUp Gold의 무료 Syslog 서버
WhatsUp Gold는 네트워크 모니터링 분야의 또 다른 유명한 이름입니다. 이 제품에 대해 들어보지 못한 네트워크 관리자는 거의 없을 겁니다. Ipswitch에서 만든 WhatsUp Gold는 WhatsUp Gold의 무료 Syslog 서버도 제공합니다. 이 제품은 Windows에서 실행되는 완전한 무료 패키지이며, Ipswitch 웹사이트에서 다운로드할 수 있습니다.
WhatsUp Gold의 무료 Syslog 서버는 대부분의 관리자에게 필요한 syslog 요구 사항을 충족시켜주는 기능이 풍부한 도구입니다. 내보내기 기능이 향상되었고, 기록된 메시지를 실시간으로 표시할 수 있으며, 필요에 따라 결과를 필터링하여 표시를 사용자 정의할 수도 있습니다. 이 서버는 시간당 최대 6백만 개의 메시지를 처리할 수 있으며, 이는 대부분의 대규모 네트워크를 제외하고는 충분한 양입니다.
5. 시스템 로그 감시자
캐나다 밴쿠버에 위치한 EZ5 Systems는 Windows용 syslog 서버인 시스템 로그 감시자를 제공합니다. 멀티스레딩을 사용하여 수신되는 모든 syslog 메시지를 신속하게 처리하며, 메시지 수신과 처리를 분리하여 메시지가 누락되는 것을 방지합니다. TCP 및 UDP 메시지를 모두 지원하며, IPv4 및 IPv6도 지원합니다.
기능 면에서 시스템 로그 감시자는 뛰어난 패키지입니다. 로그 데이터를 파일이나 데이터베이스로 내보낼 수 있으며, 특히 이벤트를 데이터베이스에 저장한다는 것은 필터링, 정렬, 그룹화, 카운팅 등 다양한 방식으로 이벤트를 처리할 수 있다는 의미입니다. 또한 유연한 경고 기능도 제공하여, 여러 이벤트를 결합하여 경고를 생성할 수도 있습니다.
6. Windows용 Visual Syslog 서버
Windows용 Visual Syslog 서버는 러시아에서 개발된 다소 기본적인 소프트웨어이지만, 매우 깔끔한 디자인을 가지고 있습니다. 진정한 의미의 무료 오픈 소스 시스템이며, RFC 3164를 준수하므로 TCP 및 UDP 메시지를 모두 지원합니다. 콘솔은 수신된 메시지를 사용자 정의 가능한 색상으로 실시간 강조 표시하며, 동시에 디스크에 저장합니다. 저장된 로그 파일은 크기 또는 날짜별로 자동 순환됩니다.
메시지 표시는 기능, 우선순위, 호스트 또는 메시지 내용과 같은 다양한 기준에 따라 필터링할 수 있습니다. 경고 조건과 작업은 사용자 정의할 수 있으며, 이메일뿐만 아니라 외부 프로그램 실행도 지원합니다. 다른 윈도우 syslog 서버들과는 달리 Visual Syslog 서버는 서비스가 아닌 애플리케이션으로 실행되지만, 콘솔을 사용하지 않을 때는 시스템 트레이로 최소화하여 화면 공간을 확보한 상태로 백그라운드에서 계속 로깅을 진행합니다.
결론
로깅을 중앙 집중화하는 것은 사고 대응 능력을 향상시키면서 작업량을 줄일 수 있는 가장 효과적인 방법 중 하나입니다. 대부분의 서버들이 제공하는 사용자 정의 경고 기능을 사용하면 사고 대응의 가장 중요한 요소 중 하나를 자동화할 수 있습니다. 인터넷에는 더 많은 무료 syslog 서버들이 있지만, 저희는 가장 최근에 가장 뛰어난 성능을 보여준 서버들만 모았습니다. 저희가 제시한 모든 제안들이 훌륭한 선택이지만, 저희는 개인적으로 SolarWinds Kiwi Syslog Server Free Edition을 가장 선호합니다. 몇 년 전에 SolarWinds가 Kiwi를 인수하기 전에도 제 개인적으로 가장 좋아하는 제품이었고, 지금도 여전히 최고의 선택이라고 생각합니다. 가장 기능이 많은 서버는 아니지만, 주어진 임무를 매우 효과적으로 수행해냅니다.