Syslog는 다양한 네트워크 장비와 어플리케이션에서 활용되는 매우 유용한 로깅 형식입니다. Syslog를 통해 생성되는 상태 및 이벤트 메시지들은 침입자의 활동을 감지하는 데 도움을 줄 뿐만 아니라, 장치 오류를 예방하는 데 필요한 풍부한 정보를 제공합니다.
Syslog가 제공하는 정보를 통해 다양한 작업을 효과적으로 수행할 수 있습니다. 하지만 네트워크에 Syslog 서버가 구축되어 있지 않다면, 이 모든 유용한 정보들이 제대로 감지되지 않고 네트워크를 순환하게 됩니다.
오늘은 Windows 및 Linux 기반 시스템에서 사용할 수 있는 최고의 Syslog 서버들을 살펴보겠습니다. 계속 읽어보세요!
Syslog 파일 관리의 중요성
Syslog 서버의 주요 기능은 Syslog 데이터를 수집하여 파일 형태로 저장하는 것입니다. 이러한 파일이 무한정으로 늘어나는 것을 방지하기 위해, 메시지를 분류하고 의미 있는 이름으로 인덱싱하여 저장하는 것이 중요합니다.
예를 들어, 매일 새로운 로그 파일을 생성하고 파일명에 메시지 날짜를 포함하는 것이 일반적입니다. 일부 시스템 관리자는 소스에 따라 메시지를 분리하여 보관하기도 합니다. 이러한 경우, 메시지를 분류하는 각 표준 소스별로 폴더를 생성하여 디렉토리 구조를 만들고, 파일명에 날짜를 사용하여 각 카테고리의 파일들을 시간 순서대로 관리합니다.
Syslog 서버를 선택할 때, Syslog 메시지가 저장된 파일을 효율적으로 관리하는 기능은 큰 이점으로 작용합니다. 더 나아가 데이터 분석 기능을 포함하는 Syslog 서버를 선택하는 것도 고려해볼 만합니다.
일부 서버는 특정 유형의 Syslog 메시지 빈도가 급격하게 증가할 경우 경고를 발생시킬 수 있습니다. 예를 들어, 로그인 실패 보고가 갑자기 증가하는 것은 사용자 계정에 대한 무차별 대입 공격이 진행 중임을 나타낼 수 있습니다. 이러한 이벤트는 즉시 인지해야 하므로, 관련 알림을 가능한 한 빨리 받는 것이 중요합니다.
Windows용 주요 Syslog 서버
Syslog는 운영 체제에 독립적인 표준입니다. 따라서 Windows 장치에 Syslog 서버를 설치하더라도, 완전히 다른 운영 체제를 사용하는 서버 또는 네트워크 장치로부터 Syslog 데이터를 수집할 수 있습니다. 다음은 Windows 및 Windows Server 환경에서 실행되는 Syslog 서버 목록입니다.
1. SolarWinds Kiwi Syslog 서버
Kiwi Syslog Server는 Windows 및 Windows Server에 설치할 수 있으며, 최대 5개 장치를 무료로 모니터링할 수 있습니다. 이 패키지는 SNMP (Simple Network Management Protocol) 및 Syslog 데이터를 기반으로 메시지를 수집합니다. 서버는 메시지를 파일에 기록하고 유틸리티 인터페이스의 뷰어에도 표시합니다. 또한 특정 유형의 트래픽 볼륨 또는 메시지 소스가 임계값을 초과할 경우, 서버 프로그램이 경고를 발생시킵니다.
서버가 새로운 파일을 열도록 하는 조건을 설정할 수 있습니다. 여기에는 소스 장치 유형과 메시지 날짜가 포함됩니다. Kiwi Syslog Server는 의미 있는 이름의 디렉토리에 파일을 저장하여 아카이브된 메시지를 더 쉽게 검색할 수 있도록 지원합니다. 또한, 저장된 데이터를 검토하기 위해 서버 뷰어에 파일을 로드할 수 있습니다.
2. Paessler PRTG 시스템 로그
PRTG는 포괄적인 인프라 모니터링 시스템입니다. 이 패키지의 데이터 수집 요소는 센서로 구성되어 있으며, 모든 센서를 반드시 활성화할 필요는 없습니다. 대신, 필요한 전문 분야에 집중하도록 모니터를 조정할 수 있습니다. PRTG 시스템에는 미리 작성된 보고서, 디스플레이, 데이터 처리 절차와 함께 Syslog 센서가 포함되어 있습니다.
Paessler는 최대 100개의 센서를 사용하는 사용자에게 PRTG를 무료로 제공하므로, PRTG를 효과적으로 설치하여 무료 Syslog 서버로 사용할 수 있습니다. Syslog 서버를 실행한 후에는 다른 센서들을 활성화하여 IT 시스템의 다른 부분에 대한 데이터를 수집할 수도 있습니다.
3. WhatsUp Gold Syslog 서버
WhatsUp Gold는 네트워크 모니터링 시스템이며, 개발사인 Ipswitch에서 무료 Syslog 서버도 제공합니다. 이 서버는 Syslog 메시지를 인터페이스에 표시하고 파일에 기록합니다. WhatsUp은 또한 디렉토리 구조를 사용하여 이러한 파일을 구성하여 데이터 세트를 쉽게 찾을 수 있도록 합니다.
경고 수준, 소스, 데이터에 따라 파일 간의 데이터 분리를 지정할 수 있습니다. 뷰어에서 데이터를 필터링하고 정렬할 수 있으며, 이는 실시간 데이터 또는 파일에서 읽은 레코드일 수 있습니다. WhatsUp Gold Syslog Server는 시간당 최대 6백만 개의 Syslog 메시지를 처리할 수 있으므로, 무료임에도 불구하고 대규모 네트워크를 충분히 수용할 수 있습니다. 이 도구는 Windows 및 Windows Server에 설치됩니다.
4. Syslog 감시자
Syslog Watcher는 Windows에서 실행되는 또 다른 무료 Syslog 서버입니다. 이 서비스는 다중 스레드 아키텍처를 사용하여 많은 Syslog 레코드를 동시에 처리할 수 있습니다. 이는 네트워크에서 순환하는 Syslog 메시지 비율이 높은 대규모 네트워크 환경에서 매우 유용한 기능입니다.
이러한 메시지는 실시간으로 뷰어에 표시되고, 데이터베이스에 삽입할 수 있는 파일에도 저장됩니다. 데이터베이스에 모든 레코드를 저장할 수 있다는 것은, 로그 파일의 일별 메시지 목록보다 훨씬 긴 기간 동안 네트워크 트래픽에 대한 광범위한 관점을 제공하므로 큰 장점입니다.
데이터베이스 또는 파일에서 뷰어로 레코드를 읽을 수 있습니다. 뷰어는 보고된 이벤트를 분석하는 데 도움이 되도록 메시지를 정렬, 필터링 및 그룹화할 수도 있습니다. Syslog Watcher는 Windows 환경에 설치할 수 있습니다.
5. Fastvue Syslog
무료 Fastvue Syslog는 Windows Server 환경에서 실행됩니다. 이 유틸리티는 Syslog 파일을 생성할 뿐만 아니라 보호 기능도 제공합니다. Fastvue가 모니터링하는 각 로그 파일에는 해당 파일 내용에 대한 체크섬인 관련 해시 파일 (256비트 SHA 알고리즘으로 계산)이 있습니다. 서버는 각 로그 파일의 크기를 모니터링하고 해당 크기가 변경될 때 보고합니다. 해커가 침입 흔적을 지우기 위해 로그 파일을 변경할 수 있으므로, 이 두 가지 조치는 중요한 보안 기능입니다.
서버는 Syslog 메시지를 날짜별로 정렬된 파일에 저장하고, 장치 유형별로 데이터를 분할하는 옵션을 제공합니다. 파일은 소스 장치에 따라 이름이 지정된 디렉토리에 저장되며, 각 파일 이름에는 해당 파일에 포함된 메시지의 날짜가 포함됩니다. 마지막으로 Fastvue 인터페이스 내에서 쉽게 분석할 수 있도록, 이러한 파일에서 로드된 모든 아카이브 메시지를 보고, 정렬하고, 필터링할 수 있습니다.
6. Visual Syslog 서버
Visual Syslog Server는 Windows 및 Windows Server에서 실행되는 무료 오픈 소스 유틸리티입니다. 이 유틸리티는 네트워크에서 모든 Syslog 메시지를 수집하여 뷰어에 표시합니다. 뷰어는 심각도 유형별로 메시지를 색상으로 구분합니다. 오류 메시지는 빨간색으로 표시되고, 경고는 노란색으로 표시됩니다. 색상 구성표를 변경할 수도 있으며, 뷰어에서 레코드를 필터링, 정렬 및 집계할 수도 있습니다. 마지막으로 서버는 이러한 Syslog 메시지를 파일에도 저장합니다.
오류 메시지가 표시될 때 알림 소리가 나도록 유틸리티를 설정할 수 있으며, 각 경고 및 오류에 대한 알림을 보내도록 설정할 수도 있습니다. 이러한 알림은 이메일로 보낼 수 있으며, 이메일 시스템에서 암호화를 지원하는 경우 암호화하여 전송할 수 있습니다.
7. TFTPD32
TFTPD32는 32비트 Windows 시스템에서 실행되는 매니아가 만든 매우 기본적인 Syslog 서버입니다. 64비트 시스템용으로 작성된 TFTPD64라는 동반 유틸리티도 있습니다. 이 유틸리티는 복잡한 인터페이스를 제공하지 않지만, 널리 사용됩니다. 이유는 추가 기능 없이 매우 가볍기 때문입니다.
이 도구는 원래 TFTP 서버입니다. TFTP는 Trivial File Transfer Protocol의 약자로, 인터넷을 통해 사용해서는 안 되는 매우 안전하지 않은 프로토콜입니다. 하지만 개인 네트워크를 통해 작은 시스템 파일을 전송하는 표준적인 방법으로 사용됩니다. 인터페이스를 DHCP 서버로 전환하여 IP 주소 분배를 관리하고, Syslog 서버로 작동하도록 설정할 수도 있습니다. 마지막으로 TFTPD32는 Syslog 메시지를 파일에 저장합니다.
TFTP 서버, TFTP 클라이언트, DHCP 서버 및 Syslog 서버로 사용될 수 있지만, 동일한 인스턴스에서 이러한 모든 기능을 동시에 수행할 수는 없습니다.
8. 슈어로그
SureLog는 중소기업을 대상으로 하지만 무료는 아닙니다. Windows에 소프트웨어를 설치할 수 있습니다. 시스템 보안 시장을 대상으로 하며, 보안 위협을 강조하기 위해 정기적인 이벤트 메시지를 필터링합니다. Syslog 메시지를 캡처하고 파일에 저장하는 것 외에도 SureLog 서비스는 해당 로그 파일을 모니터링하여 해커에 의해 변조되지 않았는지 확인합니다. 마지막으로, 유틸리티는 로그 뷰어에 중요한 메시지를 표시합니다.
Linux/Unix용 주요 Syslog 서버
Linux는 “유닉스 계열” 운영 체제로 알려져 있습니다. 일반적으로 Linux에서 실행되는 소프트웨어는 Unix에서도 실행될 가능성이 높습니다. 다음은 Linux 및/또는 Unix에 설치되는 Syslog 서버 목록입니다.
9. Icinga 2
Icinga는 세계적으로 유명한 오픈 소스 시스템 모니터링 도구 중 하나입니다. 무료로 사용할 수 있으며, 최신 버전은 Icinga 2입니다. 이 도구는 Linux에 설치되며, 주요 기능 중 하나는 로그 메시지 모니터링입니다. 캡처할 메시지 유형을 지정할 수 있으며, Syslog도 옵션 중 하나입니다. 서버는 Syslog 메시지를 표시하고 파일에도 기록합니다. 마지막으로 저장된 메시지를 뷰어에 로드할 수도 있습니다.
Icinga 시스템은 Icinga Core라고 하는 처리 섹션과 Web 2.0이라고 하는 프론트엔드라는 두 부분으로 구성됩니다. 호환 가능한 다른 어플리케이션이 있기 때문에, 데이터 프로세서에 대한 인터페이스로 Web 2.0을 사용할 필요조차 없습니다. 코드가 오픈 소스이기 때문에 Web 2.0 프로그램을 조정하여 고유한 회사 프론트엔드를 만들 수도 있습니다.
10. Syslog-NG
Syslog-NG는 Linux 컴퓨터에 설치됩니다. 이 도구는 무료이며 오픈 소스 프로젝트입니다. 이 유틸리티는 Syslog 메시지와 Windows 이벤트를 수집하여 파일에 저장합니다. 또한 레코드를 SQL 데이터베이스에 삽입하거나 다른 어플리케이션으로 전달할 수도 있습니다. Syslog-NG에는 분석 도구가 포함되어 있지는 않지만, 서버에서 생성된 파일은 다른 시스템에서 활용할 수 있습니다.
11. Logstash
Logstash는 Linux에 설치되는 오픈 소스 시스템입니다. 이 도구는 “Elastic Stack”이라는 어플리케이션 그룹의 일부를 형성하는 무료 유틸리티입니다. Elastic Stack의 핵심 프로그램은 Elasticsearch입니다. 스택의 또 다른 모듈은 Kibana라고 하며, 다양한 처리 엔진과 인터페이스할 수 있는 잘 알려진 무료 프론트엔드입니다. Logstash는 스택의 수집기 역할을 합니다. Syslog 메시지를 수신하고 저장합니다. 추가 기능을 원할 경우, Syslog 데이터를 분석하고 필터링하는 Elasticsearch를 설치하고, Kibana를 추가하여 뷰어를 통해 레코드에 접근할 수 있습니다.
Logstash의 로그 메시지 감지 프로세스는 보편적이며, 특정 유형의 오류 로깅 형식에 국한되지 않습니다. 무료 플러그인을 설치하여 Syslog 데이터에 집중하도록 시스템을 맞춤 설정해야 합니다. Logstash의 메시지 처리 기능을 사용하면 사용자 인터페이스에서 정의한 일련의 규칙에 따라 조건부로 레코드를 파일링하여 덜 중요한 메시지를 누락하거나 다른 파일에 쓸 수 있습니다. Logstash는 Nagios, Icinga, Loggly, Graylog, AWS 및 Graphite와 호환되는 형식으로 파일을 출력할 수도 있습니다.
12. Graylog
Graylog는 Linux에서 실행되는 로그 파일 관리자입니다. 이 유틸리티는 무료로 사용할 수 있지만, 해당 버전은 하루에 최대 5GB의 데이터만 수집할 수 있습니다. Graylog의 인터페이스는 브라우저 기반이므로 운영 체제에 독립적이고 사용하기 쉽습니다. Graylog의 프론트엔드와 Logstash와 같은 다른 도구의 데이터 수집 모듈을 함께 사용할 수 있습니다. 또한 Kibana를 프론트엔드로 사용하여 Graylog의 데이터 수집 모듈을 사용할 수도 있습니다. 이 도구는 다양한 옵션을 제공합니다.
13. Fluentd
Fluentd는 Linux 및 Mac OS에서 실행되는 무료 오픈 소스 Syslog 서버입니다. 이 유틸리티는 Syslog뿐만 아니라 다양한 로그 메시지 유형을 수집할 수 있습니다. 도구의 기능을 확장하려면 플러그인을 추가해야 합니다. 그러나 Fluentd는 데이터 수집 시스템에 불과하다는 점을 알아야 합니다. Fluentd의 처리 기능 앞에서 분석 및 보기 인터페이스를 얻으려면 Nagios와 같은 다른 프론트엔드를 추가해야 합니다.
14. Humio
Humio는 Linux에서 실행되지만 온라인 서비스로도 사용할 수 있습니다. 시스템을 무료로 사용할 수는 없지만, 잠재적인 구매자는 무료 평가판을 통해 경험해볼 수 있습니다. 이 도구는 사용자 커뮤니티의 지원을 받으며, 플러그인을 통해 기능을 확장할 수 있습니다. 그러나 이것은 수집기일 뿐이므로 Humio에서 수집한 Syslog 기록을 보고 분석하려면 다른 도구가 필요합니다.
Windows 또는 Linux/Unix용 최고의 Syslog 서버
Windows는 세계에서 가장 많이 설치된 컴퓨터 운영 체제이지만, 많은 네트워킹 유틸리티를 사용하려면 Linux가 필요합니다. 두 시장을 모두 공략하기 위해 많은 소프트웨어 개발사들은 Windows 및 Linux 버전을 모두 제공합니다. 다음은 Windows 및 Linux/Unix용 버전으로 제공되는 Syslog 서버 목록입니다.
15. ManageEngine 이벤트 로그 분석기
ManageEngine은 세계적으로 유명한 인프라 모니터링 도구 생산업체 중 하나입니다. Event Log Analyzer는 Windows 및 Linux에 설치할 수 있으며, 5개 이하의 소스를 무료로 모니터링할 수 있습니다. ManageEngine 도구는 Syslog 메시지를 수집할 뿐만 아니라, 메시지를 전달할 때 헤더 정보를 사용하여 네트워크를 매핑합니다. 또한 유틸리티는 SNMP 메시지도 수집할 수 있습니다.
도구의 대시보드에서 새로운 메시지를 보고 파일에 기록할 수도 있습니다. 대시보드에서 분석을 위해 메시지를 정렬하고 필터링할 수 있습니다. 로그 파일은 압축 및 암호화되며, 승인된 직원만 액세스할 수 있습니다. 아카이브에서 대시보드로 파일을 읽을 수 있으므로, 분석을 위해 과거 데이터에 접근할 수도 있습니다. 이 도구는 OpManager라고 하는 ManageEngine 네트워크 모니터링 패키지와 잘 통합됩니다.
16. Dude
Dude는 네트워크 장비 제조업체인 MikroTik에서 개발한 제품입니다. 그러나 모든 제조업체의 장비에서 생성된 Syslog 메시지를 수집할 수 있습니다. 이 유틸리티는 무료이며 Windows, Linux 또는 Mac OS에 설치할 수 있습니다. 이 도구는 매우 유연하며 SNMP 메시지와 Syslog 데이터를 모두 수집할 수 있습니다.
이 도구는 인터페이스의 설정 페이지에 입력한 요구 사항에 따라 메시지를 다른 파일로 구문 분석합니다. 메시지는 대시보드에도 표시되며, 메시지가 도착하면 소리 또는 팝업 메시지로 알림을 받을 수도 있습니다. 마지막으로 메시지 뷰어를 사용하면 분석을 위해 레코드를 정렬하고 필터링할 수 있습니다.
17. Nagios Log Server
Nagios Core는 무료 오픈 소스 네트워크 모니터링 시스템입니다. 위에서 자세히 설명한 Icinga 2는 Nagios Core 코드의 복사본을 기반으로 개발되었습니다. Nagios는 많은 이들이 모방하는 매우 유명한 도구입니다. Nagios XI라는 유료 버전의 Nagios도 있으며, 이 제품의 개발자들은 로그 서버 도구도 개발했습니다. 로그 서버는 무료로 사용할 수 있지만, 하루에 500MB 이하의 데이터만 모니터링해야 합니다.
Nagios Log Server는 Windows 및 Linux에서 실행됩니다. Windows 이벤트와 Syslog 데이터를 수집합니다. 로그는 파일에 기록되고 로그 서버의 대시보드에도 나열됩니다. 로그는 하나의 중앙 위치에 저장하거나 여러 서버에 분산할 수 있습니다. 로그 파일의 백업을 생성하는 옵션도 있습니다. Syslog 메시지를 필터링하여 모든 메시지를 저장하지 않도록 하거나, 선택적으로 중요한 메시지를 별도의 파일로 분리할 수도 있습니다. 마지막으로 대시보드를 사용하면 실시간 데이터를 정렬하고 필터링할 수 있으며, Syslog 파일에서 읽은 과거 데이터도 분석할 수 있습니다.
18. Splunk
Splunk 파일 분석 패키지는 무료 및 유료 버전으로 제공됩니다. 무료 버전은 파일 데이터 분석으로 제한됩니다. 그러나 파일을 통해 채널을 지정하면 실시간 Syslog 메시지를 볼 수 있습니다. 안타깝게도 이러한 메시지를 처음부터 수집하려면 다른 도구를 사용해야 합니다. Splunk는 Linux, Windows 및 Mac OS에서 실행됩니다. 무료 버전은 하루 500MB의 데이터 처리량으로 제한됩니다.
Syslog 서버 선택 요약
대부분의 서버가 무료이거나 무료 평가판을 제공하기 때문에 이 목록에 있는 여러 Syslog 서버를 직접 사용해 볼 수 있습니다. Syslog 메시지를 효과적으로 관리하는 것은 네트워크에서 귀중한 피드백을 얻을 수 있는 중요한 방법이므로, 이러한 정보 채널을 간과해서는 안됩니다!
혹시 다른 사람에게 추천하고 싶은 Syslog 서버를 이미 사용하고 계신가요? 아니면 목록에 있는 시스템을 사용하고 계신가요? 아래 댓글 섹션에 경험을 공유해주세요.