시스템 관리자에게 있어서 가장 중요한 것 중 하나는 시스템의 안정성과 신뢰도이다. 그리고 시스템의 오류 개선이나 보안을 위해 가장 기본이 되는 것이 로그(LOG)분석이다. 로그 분석과 시스템 관리자는 떼려야 뗄 수 없는 관계지만 모두 알다시피 로그 분석이라는 업무가 썩 유쾌하고 재밌는 일은 아니다. 시스템 관리자가 로그 관리를 하면서 겪는 각종 어려움 들을 해결해 주기 위해 수년간 시장에는 로그 관리와 로그 분석 툴이 쏟아져 나왔다. 그러나 시스템 관리자의 문제는 아직 끝나지 않았다.
“업무에 필요하긴 하지만 너무 비싸. 대안은 없을까?”
“어떤 기준으로 무엇을 선택해야 하지?”
“지금 사용하고 있는 제품이 최선일까?“
시스템 관리자의 업무와 조직에서 필요로 하는 기능, 그리고 모니터링 해야 하는 시스템의 수와 준수해야 하는 요구사항에 따라 현명하게 로그분석툴을 선택해야 한다. 어떤 조직에서는 파일 탐색, 저장과 같은 기본적인 기능만 필요할 수 도 있고 보고서나 실시간 경고까지 해주는 서비스까지 필요 할 수 있다. 수많은 선택지 중 최적의 제품을 골라내는 방법은 선택 기준의 우선순위를 세우고 그 기준들에 부합하는 제품이나 방법을 순차적으로 걸러내는 것이다.
제 1의 기준은 시스템 관리자가 있는 조직의 환경
조직의 환경은 다음과 같이 세가지로 분류할 수 있다.
A.시스템 개발이 조직의 핵심 역량이 아니며 시간이 한정되어 있다.
B.조직 환경에 특화된 시스템이 필요하고 커스터 마이징이 필요하며 가용성과 예산이 제한되어 있다.
C.솔루션을 운영, 유지보수 할 자원이나 능력이 없고 지원,시스템 법적인 요구 사항이 있다.
A,B,C 중에 여러분의 조직은 어디에 속하는가? 만약 여러분이 A형 조직이라면 솔루션 구매를, B형 조직이라면 오픈소스를 이용한 직접 구축을, C형 조직이라면 아웃 소싱을 추천한다.
하지만 각기의 장단점이 존재하기에 우리는 장단점도 꼼꼼하게 따져봐야 한다.
다음 고려해야 할 것은 각 장단점
솔루션을 구매하든 직접 구축을 하든 아니면 아웃소싱을 이용하든 각기 다른 방법에 따른 장단점이 있다. 우리 조직에 적용했을 때 효과가 극대화되는 장점이 있거나 치명적으로 작용할 단점이 있는지 확인해보아야한다.
실전 LOG 분석과 체계적인 관리 가이드 15장에 나오는 내용을 발췌하여 세가지 방법의 장단점을 다음과 같이 정리했다.
장점 단점 [오픈소스로 직접 구축] 장점 단점(혹은 위험) [아웃소싱] 장점 단점 ‘우리 회사는 A,B, C 모두 해당 되는 것 같은데’… 선택이 애매하다면? 요즘처럼 복합적이고 새로운 IT환경과 사업환경에서 어느 쪽을 선택해야 하는지 명확하게 판단하기란 어려울 수도 있다. 시스템 개발이 조직의 핵심 역량이 아니며 시간이 한정되어 있고 조직 환경에 특화된 시스템이 필요하여 커스터 마이징이 필요한 회사가 많을것이라고 생각한다. 또한 조직에서 가용성과 예산이 무제한인 경우는 없기에 이러한 자원들은 절약하는 편이 좋고 솔루션을 운영, 유지 보수 할 자원이나 능력을 더 중요한 업무에 투입하는 것이 훨씬 이득이다. PLURA는 서버를 보호하고 안정적으로 운영하기 위한 가장 기초적이고 핵심적인 업무를 대신 해준다. 하지만 반드시 PLURA가 답이라고 할 수 없기에 시중의 다른 제품들을 함께 고려하기를 더 추천한다. 더 나은 제품을 선택하기 위해서 다음과 같은 질문들을 각 제품에 대입해보는것이 좋다. 이 질문은 직접 선정한 것이 아니고 ‘실전 LOG 분석과 체계적인 관리 가이드’를 집필한 전문가들이 권고하는 질문이기에 객관적이고 신뢰할 수 있는 질문이다. 1.서버 내의 모든 데이터 소스에서 모든 로그 데이터를 100% 수집하고 합치고 있는가? 2.로그를 안전하게 전송해서 보관하는가? 3.요구사항에 적합한 통합 보고서가 존재하는가? 수집한 로그 데이터를 신속하게 정리할 수 있는 요청 보고서를 생성할 수 있는가? 4.로그에 임의의 경고를 설정할 수 있는가? 5.일별 단위로 로그 데이터를 검토하고, 해당 행위의 짐을 덜어주는 시스템 내 자동화 지능이 존재하는가? 6.특정 데이터를 신속히 대상에서 검색할 수 있는가? 7.로그 데이터를 문맥화해서 조직 전체에서 포렌식과 타 운영 업무와 상관 관계를 만들 수 있는가? 8.보안, 변경 관리, 접근 통제 정책 사용과 최신 업데이트를 잘 입증할 수 있는가? 위 질문에 대하여 모두 긍정적으로 대답할 수 있어야 좋은 솔루션이라고 할 수 있다. 현재 사용하고있거나 사용할 예정인 솔루션을 기준으로 위 질문들으 점검해 보시길 바란다. 프루라는 위에 질문에 관해 다음과 같이 대답한다. 1.서버 내의 모든 데이터 소스에서 모든 로그 데이터를 100% 수집하고 합치고 있는가? 네. 프루라는 모든 데이터를 100% 수집하고 보여주고 있습니다. 프루라 에이전트가 설치된 서버는 프루라홈페이지에서 모든 로그를 확인 할 수 있습니다. 2.로그를 안전하게 전송해서 보관하는가? 네. 프루라는 현재 로그를 ssl 방식 으로 전송하기때문에 안전성을 보장합니다. 3.요구사항에 적합한 통합 보고서가 존재하는가? 수집한 로그 데이터를 신속하게 정리할 수 있는 요청 보고서를 생성할 수 있는가? 프루라는 일 별 보고서를 통해 가장 중요한 항목의 로그를 통합 보고서 서비스를 준비중에 있습니다. 4.로그에 임의의 경고를 설정할 수 있는가? 프루라는 정보/중간/위험 의 위험도를 설정해 사용자들이 로그의 위험도를 임의로 설정 할 수 있도록 할 수 있습니다. 5.일 별 단위로 로그 데이터를 검토하고, 해당 행위의 짐을 덜어주는 시스템 내 자동화 지능이 존재하는가? 프루라 는 일 별 단위 뿐만 아니라 설치된 순간부터 모든날 의 로그데이터 를 검토할 수 있습니다. 해당 날짜를 입력하여 원하는 로그를 볼 수 있습니다. 자동화 지능에는 통계탐지 전체로그 기능 중 일 별 시간대 별로 막대스택 으로 시각화해서 보여줍니다. 6.특정 데이터를 신속히 대상에서 검색할 수 있는가? 검색창에 원하는 로그를 신속하게 검색할 수 있는 기능이 있습니다.로그검색은 xml 기준으로 일부분만 입력해도 검색이 가능하며 정규표현식을 체크하시면 정규표현식 검색도 가능합니다. 프루라를 사용하시면 검색 tip을 이용해 원하는 검색을 자유롭게 이용할 수 있습니다. 7.로그 데이터를 문맥화해서 조직 전체에서 포렌식과 타 운영 업무와 상관 관계를 만들 수 있는가? PLURA는 로그 데이터를 로컬 서버 뿐 아니라 원격 PLURA 클라우드에 보관하므로, 로그가 위변조되거나 삭제되는 경우에 대비할 수 있습니다. 원본 로그가 보관되어 있으므로, 문제 발생 시 포렌식의 관점에서 로그를 신뢰하여 타 운영 업무와의 상관 관계를 분석하는데 도움을 제공합니다. 8.보안, 변경 관리, 접근 통제 정책 사용과 최신 업데이트를 잘 입증할 수 있는가? 프루라 는 서버에서 변경되는 계정이나 파일 혹은 서버가 업데이트 되어있는지 확인할 수 있습니다. 서버의 인증처리 를 SSL 형식으로 인증값 을 암호화해서 처리 하는 방법으로 접근 통제 정책 사용을 입증 할 수 있습니다.
다양한 상황들을 고려해봤을 때 선택이 어려운 여러분들을 도와줄 여러가지 대안들이 더 있겠지만 PLURA 서비스의 이용이 큰 도움이 될 수 있다.
PLURA는 실시간 로그 분석시스템으로 1분마다 로그를 취합 분석해주며 해킹 위험이 있는 로그를 대시보드와 실시간 탐지 로그 목록 상에 제공하여 실시간으로 위협을 보고하고 해당 로그에 대한 의미와 대응 방안등을 제공해준다. 시스템에서 발생하는 모든 로그 데이터를 데이터를 장기간동안 원격 클라우드에서 보관해주고 클라우드 서비스이기에 분석을 원격 서버에서 대신 해주고 구축 비용도 어플라이언스 제품에 비해 매우 저렴하다.
사용자는 모든 로그를 대시보드 에서 볼 수 있으며, 보고 싶은 로그만 필터해서 볼 수 있습니다.
[ssl 방식이란 https://www.ucert.co.kr/ssl/ssl.html ]
보고서는 PDF/EXCEL로 다운로드 가능한 형태이며,인증과 인가 보고서, 변경 보고서, 네트워크 행위 보고서, 자원 접근 보고서로 총 4가지 주요 항목으로 일 별 보고서를 지원할 예정입니다.
프루라 의 추천필터 는 중간의 기본값 을 가지고 있습니다. 사용자는 추천필터 의 위험도도 임의로 바꿀 수 있습니다.
*SSL은 공개키 암호나 비밀키암호, 디지털 증명서, 해쉬함수등의 시큐리티 기술을 조합하여, 데이터의 도청이나 변경, 위장을 방지할 수 있습니다.
보다 자세한 설명은 [https://wiki.kldp.org/HOWTO/html/SSL-Certificates-HOWTO/x70.html] 에서 확인할 수 있습니다.
프루라 는 서버 보안을 위해 서버에 로그인 성공, 계정 생성 등 해킹 가능성에 대한 위험 요소 생성시 대시보드 에서 바로 확인이 가능하며 차후 대응에 관해서도 확인할 수 있습니다.