통합로그 관리시스템을 고르고 계신다면 이 포스팅에 주목해주세요.

꼭 갖춰야 할 기능은 무엇인지,

다른 조직에서는 어떤 통합로그 관리시스템을 도입하는지,

구축 후에는 어떻게 사용할 수 있는지까지!

통합로그 관리시스템의 필수조건과 벤치마킹 사례, 도입효과까지 한 번에 전해드립니다.

​

​

​통합로그 관리시스템의 필수 조건 BEST 3

 

2019년 통합로그 관리시스템 제안요청서(RFP) 분석 결과​

통합로그 관리시스템 제안요청서 분석 결과

제안요청서(RFP, request for proposal)에는 고객의 요구사항이 담겨있습니다. '우리는 이런 통합로그 관리시스템이 필요하다'라는 것이죠. 통합로그 관리시스템의 제안요청서를 분석해, 고객이 이야기하는 통합로그 관리시스템의 조건을 정리하였습니다.

​필수조건 1. 로그 분석 (32%)

벤치마킹 사례 '다른 조직에서는 이런 통합로그 관리시스템을 요구합니다'

​​

- GUI를 통한 자원 사용량, 성능, 장애 등 여러 정보를 확인 가능하여야 함 (정보통신진흥협회)

- 위협요소 상관분석을 Drill-down 방식으로 제공 (영남대학교)

- 연동 시스템 및 소스별 실 로그 내용을 바로 확인하여 분석할 수 있도록 제공 (서울디자인재단)

통합로그 관리시스템은 로그를 분석하여 장애의 원인을 추적하는 용도로 자주 활용됩니다. 예를 들어 에러 로그 이벤트가 발생했다면, 해당 에러와 연관이 있을만한 로그를 확인하여 장애의 원인을 밝혀야 올바른 트러블 슈팅 방안을 도출할 수 있습니다. 문제는 로그의 양이 방대하다보니, 에러 로그 이벤트의 원인이 되는 로그를 찾는 데에 시간이 오래 걸리기도 한다는 점입니다.

​

이 때 인프라의 성능, 장애 등을 빠르게 모니터링하는 IT통합운영관리솔루션(EMS)와의 연계 분석 기능을 활용하여 확인해야 할 로그의 범위를 좁혀 장애 원인을 보다 신속하게 추적할 수 있습니다.

​[그림 1] 와치로그의 로그 이벤트-인프라 이벤틑 연계 분석 기능

예를 들어 서비스 중단을 뜻하는 '503 error' 로그 이벤트가 발생했다면, 이벤트 타임라인을 통해 전후에 로그 이벤트 전후 시점에 어떤 인프라 이벤트가 발생했는지 한 화면에서 확인합니다. '503 error' 로그 이벤트가 발생하기 전에 인프라에서 메모리 부족 이벤트가 발생했다면, 'OutOfMemoryError'와 관련된 로그로 범위를 좁혀 장애의 원인을 신속하게 찾을 수 있습니다.

​필수조건 2. 무결성 보장 (30%)

벤치마킹 사례 '다른 조직에서는 이런 통합로그 관리시스템을 요구합니다'

​​

- 개인정보시스템의 접속기록을 포함한 수집 로그의 위변조 방지를 위한 기능을 제공 (한국정보통신진흥협회)

- 로그를 실시간 무결성(암호화, 압축수집 등) 저장 (한국가스공사)

- 원본로그의 위변조 방지 및 삭제 방지 기능 지원 (대구광역시)

모든 정보가 전산화되면서 개인정보 보호와 같은 컴플라이언스 영역에도 로그 관리가 중요해지고 있습니다. 정보보안 감사 시 로그를 감사 자료로 제출해야 하기 때문입니다. 그런데 로그 위변조, 도난 등의 경우 증적 자료로써 치명적이기 때문에 보관된 로그의 무결성을 보장하고, 무결성 여부를 확인할 수 있는 기능이 꼭 필요합니다.

​

​[그림 2] 와치로그의 4단계 보안 기능

와치로그는 4단계 보안 기능을 통해 로그 데이터를 보호합니다.

1단계는 최신 보안 기술을 적용하여 수집한 로그 데이터가 도난, 분실되지 않도록 외부 유출 가능성을 사전에 차단합니다.

2단계에서는 원본 로그 파일에 대한 정합성을 검증하여 위변조 여부를 확인하고 무결성을 보장합니다.

만약의 유출에 대비하는 3단계에서는 로그가 유출되더라도 정보를 확인할 수 없도록 암호화하여 저장됩니다.

4단계는 허가 받지 않은 사용자가 시스템에 접속할 수 없도록 접속 IP에 기반하여 접속 세션을 차단하는 기능을 제공합니다.

​필수조건 3. 로그 검색 (20%)

벤치마킹 사례 '다른 조직에서는 이런 통합로그 관리시스템을 요구합니다'

​​

- 이기종 시스템 원본로그에 대한 연관검색(대구광역시)

- 로그분석 결과에 대한 조건별(시간, 사용자 등) 검색(한국가스공사)

- 특정 검색 조건에 대한 자연어(한글/영문) 검색을 지원(경희대학교)

통합로그 관리시스템은 목적 중 하나는 로그를 쉽게 꺼내 쓸 수 있도록 하는 것입니다. 다양한 유형으로 구성된 방대한 양의 로그 중에서 로그 관리자가 찾는 내용을 쉽게 찾을 수 있도록 하는 것이 '검색 기능'입니다.

​

와치로그는 쉽고 빠르게 로그 검색을 할 수 있도록 만들어진 솔루션입니다. 로그를 모니터링하다가 상세 분석이 필요한 문구가 있다면, 해당 문구에 드래그하면 바로 검색할 수 있습니다. 검색 결과를 이해하기 쉽도록 바로 시각화하는 기능도 고객의 편의성을 높이는 기능입니다. 간편한 검색부터 검색 결과에 대한 통계 시각화, 키워드 시각화까지 한 번에 확인하여 방대한 양의 로그 속에서도 원하는 내용을 쉽게 찾을 수 있습니다.

​[그림 3] 와치로그의 검색 > 시각화 기능

​자율운영 로그관리시스템 '와치로그'에서만 제공하는 특별한 기능

로그 이벤트 자율 탐지

​

로그 관리자는 통합로그 관리시스템을 도입하면 이벤트를 시스템이 알아서 자율 탐지해 알려주기​를 원합니다. A 공기업에서는 '어떤 로그를 수집해야 하는지, 어떤 탐지조건을 가지고 관리해야 하는지 탑재된 시스템'을 요구했을 만큼, 로그의 특성 상 이벤트 탐지 조건을 관리하는 것도 난이도가 높은 업무이기 때문입니다.

​

와치로그는 이기종 장비에서 쏟아지는 로그 메시지의 전후 관계를 파악해 문제가 되는 패턴을 검출하는 시나리오 분석을 통해 로그 이벤트를 탐지하여 알람을 제공합니다. 관리자가 다양한 보안 위협의 형태를 모르더라도 와치로그의 이벤트 알람을 토대로 실시간 대응할 수 있습니다.

​

빅데이터 기반의 로그 라이프사이클 자동 관리

로그는 컴플라이언스에 따라 보관 기간이 다릅니다. '개인정보처리시스템 접속 로그'는 1년 동안 반드시 보관하도록 규정되어 있지만, 전자금융거래의 내용을 추적ㆍ검색할 수 있는 기록은 원칙적으로 최대 5년까지만 보관할 수 있습니다. 이렇듯 로그의 특성에 따라 보관 기간이 다르기 때문에 로그 관리자 입장에서는 여러 개의 라이프사이클을 관리해야 한다는 번거로움이 있습니다.

​

와치로그는 컴플라이언스에 맞춰 빅데이터 기반으로 방대한 규모의 로그 라이프사이클을 자동 관리해주는 기능을 제공합니다. 감사 준비나 컴플라이언스 만족을 위해 필요한 로그를 필드별로 자동 분류하여 저장합니다. 그리고 분류된 로그의 저장 기한을 자동 체크하고, 저장 기한이 만료된 로그는 자동으로 폐기하여 로그 저장소의 가용성을 유지합니다.