Kiwi Syslog Server NG를 사용하여 syslog 메시지 모니터링

syslog 메시지는 네트워크 장치가 통신하는 데 사용하는 syslog (System Logging Protocol)를 사용하는 표준화된 형식의 메시지입니다. 라우터, 스위치, 방화벽 및 서버와 같은 네트워크 장치—는syslog 메시지를 사용—하여 상태 또는 중요한 이벤트에 대한 정보를 전송하므로 네트워크 문제 해결에 매우 중요합니다.

네트워크 모니터링 및 문제 해결을 위해 syslog 메시지를 활용하기 위한 핵심은 좋은 syslog 서버를 확보하는 것입니다. syslog 서버는 syslog 지원 장치의 syslog 메시지를 중앙 집중화하고 메시지를 액세스, 검색 또는 필터링할 수 있습니다 (일반적으로 훨씬 더 많은 기능). 이를 위해서는 syslog 메시지를 syslog 서버로 보내도록 syslog 지원 장치를 구성해야 합니다.

Syslog 메시지는 주로 Linux 및 Unix 운영 체제를 사용하는 네트워크 장치에서 사용됩니다. 기본적으로 syslog 메시지는 연결 없는 프로토콜인 UDP (User Datagram Protocol)를 통해 전송되므로 메시지가 성공적으로 도착했다고 보장할 수 없습니다. 그러나 일부 장치는 메시지 전달을 보장하는 연결 지향 프로토콜—TCP (Transmission Control Protocol)를 사용할 수도—있습니다.

syslog 메시지의 용도는 무엇입니까?

Syslog 메시지는 일반적으로 네트워크 및 시스템 관리자가 네트워크 장치에 발생할 수 있는 문제를 조기에 감지하고 해결하는 데 사용됩니다. Syslog 메시지는 네트워크의 표준 작업에 부정적인 영향을 미칠 수 있는 네트워크 장치 상태 및 중요한 이벤트에 대한 필수 정보를 제공합니다. syslog 메시지는 SNMP 트랩과 함께 라우터, 스위치, 방화벽 및 서버와 같은 네트워크 장치에 대한 기본적인 통신 수단입니다. 일반적인 네트워크에서는 1분마다 수천 개의 syslog 메시지와 SNMP 트랩이 생성되므로 중앙 집중식 솔루션 없이 네트워크 모니터링에 사용할 수 없습니다. 네트워크 장치가 생성하는 모든 로그에 대한 중앙 위치 역할을 하는 syslog 서버가 두 가지 유형의 메시지를 수집할 수 있습니다. syslog 서버는 로그를 액세스, 검색 및 필터링하는 쉬운 방법을 제공하며 로그 관리의 중요한 부분입니다.

Syslog 메시지에는 세 가지 주요 부분이 있습니다.

HEADER (식별 정보) SD (구조화 데이터) MSG (실제 메시지)

머리글: syslog 메시지의 헤더에는 버전, 타임 스탬프, 호스트 이름, 장치의 IP 주소, 프로세스 ID 및 메시지 우선 순위 (PRI)와 같은 식별 정보가 포함됩니다. Syslog 메시지 우선 순위는 syslog 메시지를 분류하고, 메시지의 전반적인 중요도를 결정하고, 필요한 경우 적절한 반응을 할당하는 데 도움이 되는 계산된 값입니다.

구조화된 데이터: syslog 메시지의 이 부분은 잘 정의되고 쉽게 구문 처리할 수 있는 데이터 형식을 제공하도록 설계되었습니다. 메시지 자체는 자유 텍스트 형식이므로 관련 정보를 추출하기가 어려울 수 있습니다. 구조적 데이터는 추가 데이터 처리를 위해 보다 친숙한 형식으로 syslog 메시지 (예: 트래픽 카운터 또는 IP 주소)에 대한 중요한 추가 정보를 제공하는 방법을 제공합니다.

메시지: syslog 메시지의 이 부분은 실제 메시지를 자유 텍스트 형식으로 포함하고 이벤트에 대한 정보를 제공합니다. 일반적으로 UTF-8로 인코딩된 UNICODE 문자 집합이 syslog 메시지에 사용됩니다.

PRI: syslog 메시지의 우선 순위는 시설 및 심각성이라는 두 가지 변수의 조합으로 계산됩니다.

기능 코드는 메시지를 생성한 시스템의 유형을 지정합니다. 이 값은 15개의 사전 정의된 값과 로컬에서 정의할 수 있는 8개의 값을 기준으로 0에서 23 사이의 숫자 값을 가질 수 있습니다.

번호 - 기능 설명

0 - 커널 메시지

1 - 사용자 수준 메시지

2 - 메일 시스템

3 - 시스템 데몬

4 - 보안/인증 메시지

5 - syslogd에 의해 생성된 메시지

6 - 라인 프린터 서브시스템

7 - 네트워크 뉴스 서브시스템

8 - UUCP 서브시스템

9 - 클록 데몬

10 - 보안/인증 메시지

11 - FTP 데몬

12 - NTP 서브시스템

13 - 로그 감사

14 - 로그 경보

15 - 클록 데몬

16 - 23 - 로컬 사용

심각도: 이 변수는 메시지 자체의 중요도를 지정하며 0에서 7 사이의 숫자 값을 가질 수 있습니다 (긴급 메시지부터 디버그 레벨 메시지까지).

syslog 메시지의 우선 순위는 다음과 같이 계산됩니다.

우선 순위 = 시설 * 8 + 심각도

예를 들어, 비상 커널 메시지의 우선 순위 값은 0입니다. 우선 순위 값이 낮을수록 메시지의 중요도가 높아집니다.

좋은 syslog 서버를 사용하면 네트워크 관리자에게 이메일 알림을 보내거나 외부 스크립트를 실행하는지 여부에 관계없이 높은 우선 순위의 메시지를 식별하고 상황에 적절하게 대응할 수 있습니다.

syslog 메시지를 범주화하는 데 사용되는 심각도 수준은 8가지입니다. Syslog 프로토콜 RFC 5424에 따른 각 심각도 수준에 대한 설명은 다음과 같습니다.

숫자 코드 - 심각도

0 - 긴급: 시스템을 사용할 수 없습니다

1 - 경고: 즉시 조치를 취해야 합니다

2 - 긴급: 위험 상태

3 - 오류: 오류 상태

4 - 경고: 경고 상태

5 - 알림: 정상이지만 중요한 상태

6 - 정보: 정보 메시지

7 - 디버그: 디버그 수준 메시지

일반적으로 시스템이 다운되어 메시지를 보낼 수 없다는 의미이므로 비상 메시지가 수신되지 않을 가능성이 낮습니다. 반면 디버그 메시지는 일반적으로 개발 중에 사용되며 일반적으로 네트워크 작업에 영향을 주지 않으므로 이에 대한 알림을 받을 수 있습니다.

우선 순위 수준과 마찬가지로 좋은 syslog 서버는 심각도 수준에 따라 syslog 메시지에 반응하도록 규칙을 설정할 수 있어야 합니다.

규칙을 정의하고 필터를 사용하여 Kiwi Syslog Server NG에서 syslog 메시지를 보다 효과적으로 모니터링할 수 있습니다. 이 강력한 syslog 모니터는 무제한의 규칙(무제한의 필터와 작업으로 구성)을 정의할 수 있는 기능을 제공하므로 기준과 요구에 따라 syslog 메시지를 처리하고 응답할 수 있습니다. Kiwi Syslog Server NG는 삭제, 삽입, 복사, 붙여넣기, 이동, 이름 바꾸기 및 규칙, 필터, 작업 및 일정의 자동 이름 지정을 단순화하기 위한 키보드 바로 가기를 제공합니다.

규칙은 어떤 메시지가 어떤 작업을 트리거하는지 포함하여 수신되는 syslog 메시지를 처리하는 방법을 Kiwi Syslog Server NG에 알려 줍니다. 규칙이 로그 메시지에 적용되는 경우 Kiwi Syslog Server NG는 맨 위에서부터 시작하여 메시지를 규칙의 각 필터와 비교합니다. 필터 조건이 하나라도 실패하면, Kiwi Syslog Server NG가 규칙 처리를 중지하고 다음 규칙을 메시지에 적용합니다. 그러나 필터의 모든 조건이 참이면 Kiwi Syslog Server NG는 다음 필터를 사용하여 프로세스를 반복합니다. 메시지가 규칙의 모든 필터를 통과하면 Kiwi Syslog Server NG가 모든 작업을 순서대로 수행하기 시작합니다. 첫 번째 규칙에서 모든 필터 및 작업이 완료되면 Kiwi Syslog Server NG는 다음 규칙으로 이동하므로 규칙을 순서대로 적용하는 것이 중요합니다.

메시지 수신 후 수행할 작업을 결정하는 규칙을 추가하는 것은 쉽습니다. 시작하려면 메인 메뉴에서 설정을 선택합니다.. 그런 다음 Kiwi Syslog Server NG대화 상자에서 Rules 및 Add Rule을 클릭하여 트리에 새 규칙을 추가합니다. 마지막으로, 규칙 이름을 지정하고, 규칙 필터 및 규칙 작업을 추가하고, OK를 클릭하여 변경 내용을 저장합니다. 규칙을 생성한 후에는 손쉽게 내보내 다른 Kiwi Syslog Server NG와 공유할 수 있습니다.

필터를 설정하여 메시지가 규칙 동작을 트리거할지 여부를 제어할 수 있습니다. SolarWinds Kiwi Syslog Server NG를 사용하면 IP 주소, 우선 순위, 시간, 호스트 이름, 입력 소스, 정규 표현식 및 메시지 텍스트를 기준으로 메시지를 필터링할 수 있습니다. 필터를 생성한 후에는 Kiwi Syslog Server NG가 나열된 순서대로 필터를 자동으로 적용하지만 필터를 잊어버리는 경우 모든 메시지가 작업을 트리거합니다.

메시지가 모든 규칙 필터를 통과할 때 특정 작업을 수행하도록 Kiwi Syslog Server NG를 구성할 수 있습니다. 일반 작업은 다음과 같습니다.

• 스크립트 또는 외부 프로그램 실행
• 이메일 보내기
• 수신 메시지를 파일, Papertrail™ 또는 Loggly^®에 로깅
• syslog 메시지 또는 SNMP 트랩을 보내기
• 휴식 카운터 및 플래그
• 메시지 표시하기

syslog 모니터링을 위해 Kiwi Syslog Server NG로 메시지를 보내기 시작하도록 syslog 지원 디바이스를 구성하는 것은 간단합니다. 시작하려면 장치에 메시지 로깅 기능이 활성화되어 있는지 확인하십시오. 다행히도 syslog 메시지를 생성할 수 있는 대부분의 디바이스는 자동으로 로깅을 활성화하지만, 다시 확인하는 것이 좋습니다. 그런 다음 Kiwi Syslog Server NG를 사용하여 syslog 메시지를 컴퓨터의 포트(일반적으로 포트 514)로 보내도록 디바이스를 설정합니다.

RFC 표준 5426에서는 포트 514를 syslog 메시지의 기본 포트로 명명했습니다. Kiwi Syslog Server NG는 기본적으로 포트 514에서 UDP(User Datagram Protocol) 메시지를 수신합니다. 그러나 이것이 사용자의 요구에 맞지 않는 경우 UDP 메시지 대신 Transmission Control Protocol (TCP) 메시지, 보안 TCP 메시지 및 Simple Network Management Protocol(SNMP) 트랩을 수신하도록 Kiwi Syslog Server 설정을 쉽게 구성할 수 있습니다. 다른 포트에서 UDP, TCP, 보안 TCP 또는 SNMP 메시지를 수신하도록 Kiwi Syslog Server NG를 구성할 수 있습니다.

UDP 입력 옵션을 구성하려면 메인 메뉴의 설정에서 Kiwi Syslog Server NG 설정 섹션을 엽니다. 여기에서 입력 메뉴 항목의 UDP를 클릭한 다음 UDP 메시지를 수신할 포트를 지정합니다. syslog 메시지를 전송하는 장치가 새 포트 번호를 지원하는 경우 1에서 65535 사이의 포트 값이 작동합니다. 대부분의 사용자는 Bind to address 필드를 비워 두고 UDP 소켓이 모든 인터페이스에서 메시지를 수신할 수 있도록 하는 것이 가장 좋습니다. 그러나 Bind to address 필드에 IP 주소를 지정하면 특정 인터페이스에 대한 바인딩을 제한할 수 있습니다. 드롭다운 메뉴에서 인코딩 형식을 선택하거나 데이터 인코딩 섹션에 코드 페이지 번호를 입력하여 수신되는 데이터에 적용할 디코딩 메서드를 설정할 수 있습니다. 설정을 구성한 후 적용을 클릭하여 변경 내용을 저장합니다.

TCP, 보안 TCP 및 SNMP 트랩 입력 옵션을 구성하는 작업은 매우 간단합니다. 입력에서 UDP를 클릭하는 대신 TCP 또는 SNMP를 선택합니다. 그런 다음 설정을 구성할 수 있습니다. 예를 들어, TCP syslog 메시지의 기본 포트는 1468이지만 다른 포트 번호를 선택할 수 있습니다. UDP 메시지와 마찬가지로 주소에 바인딩 필드 및 데이터 인코딩 형식을 변경할 수 있습니다. 그런 다음 메시지 구분 기호 ( 구분 기호라고도 함)를 지정합니다. 구분 기호는 TCP 스트림을 별도의 syslog 메시지로 분할하는 문자 또는 문자 시퀀스를 나타냅니다.

네트워크 또는 시스템 엔지니어는 syslog 관리 툴을 사용하여 네트워크 디바이스에서 syslog 메시지를 수집하고 모니터링할 수 있습니다. Kiwi Syslog Server NG는 무제한의 디바이스에서 syslog 데이터를 수집할 수 있으므로 모든 스위치, 방화벽 및 라우터를 쉽게 모니터링할 수 있습니다.

Kiwi Syslog Server NG는 syslog 메시지를 모니터링하는 것 외에도 Unix, Linux 및 Windows 시스템에서 SNMP(Simple Network Management Protocol) 트랩을 수집할 수 있으므로 중앙 위치에서 IT 인프라 전체의 필수 정보를 볼 수 있습니다.

사용자 친화적인 syslog 웹 기반 콘솔을 사용하여 전 세계 어디에서나 웹 액세스를 통해 실시간으로 데이터를 볼 수 있습니다. Kiwi Syslog Server NG에는 21개의 사용자 지정 가능한 보기와 syslog 통계 그래프가 있으므로 네트워크 또는 디바이스 성능 문제를 신속하게 파악하고 해결할 수 있습니다. 중요한 메시지를 찾기 위해 호스트 IP 주소, 우선 순위, 호스트 이름 또는 시간을 기준으로 syslog 메시지를 필터링할 수 있습니다.

syslog 메시지, SNMP 트랩 및 Windows 이벤트 로그를 단순히 수집하고 모니터링하는 것 외에도 Kiwi Syslog Server NG는 내장된 작업을 통해 syslog 메시지에 응답할 수 있습니다.

기타 Kiwi Syslog Server NG의 이점에는 다음과 같은 기능이 있습니다.

• syslog 메시지를 디스크, 파일 또는 ODBC 호환 데이터베이스에 보관
• Loggly, Papertrail, SEM(Security Event Manager) 및 NPM(Network Performance Monitor) 과 같은 다른 SolarWinds IT 관리 도구에 메시지 전달
• Kiwi Syslog Server의 고급 메시지 버퍼링 기능 덕분에 받은 편지함을 깔끔하게 유지
• 로그를 저장, 보관 및 정리하여 SOX, PCI-DSS 및 HIPAA 규정 준수를 입증