Linux용 최고의 오픈 소스 로그 관리 도구 5가지

1. ManageEngine EventLog 분석기

ManageEngine EventLog Analyser는 정보 기술, 건강, 소매, 금융, 교육 등 다양한 산업 분야의 모든 규모의 기업을 위해 설계된 온프레미스 로그 관리 솔루션입니다. 이 솔루션은 사용자에게 에이전트 기반 및 에이전트 없는 로그 수집, 로그 구문 분석 기능, 강력한 로그 검색 엔진 및 로그 보관 옵션을 제공합니다.

네트워크 장치 감사 기능을 통해 사용자는 최종 사용자 장치, 방화벽, 라우터, 스위치 등을 실시간으로 모니터링할 수 있습니다. 분석된 데이터를 그래프와 직관적인 보고서 형태로 표시해 주는 솔루션입니다.

이벤트 로그 상관 관계, 위협 인텔리전스, MITRE ATT&CK 프레임워크 구현, 고급 위협 분석 등과 같은 EventLog 분석기의 사고 감지 메커니즘은 보안 위협이 발생하는 즉시 발견하는 데 도움이 됩니다.

실시간 경고 시스템은 의심스러운 활동에 대해 사용자에게 경고하므로 위험도가 높은 보안 위협을 우선적으로 처리할 수 있습니다. 그리고 자동화된 사고 대응 시스템을 통해 SOC는 잠재적인 위협을 완화할 수 있습니다.

또한 이 솔루션은 사용자가 PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR 등과 같은 다양한 IT 규정 준수 표준을 준수하는 데 도움이 됩니다. 모니터링을 위한 로그소스 개수에 따라 구독형 서비스를 제공합니다. 사용자는 전화, 제품 비디오, 온라인 지식 기반을 통해 지원을 받을 수 있습니다.

2. 그레이로그 2

Graylog는 테스트 및 프로덕션 환경을 포함한 다양한 환경에서 로그를 수집하고 검토하는 데 널리 사용되는 선도적인 오픈 소스 및 강력한 중앙 집중식 로깅 관리 도구입니다. 설정이 쉬우며 소규모 기업에 적극 권장됩니다.

Graylog를 사용하면 네트워크 스위치, 라우터, 무선 액세스 포인트를 포함한 여러 장치에서 데이터를 쉽게 수집할 수 있습니다. 이는 Elasticsearch 분석 엔진과 통합되고 MongoDB를 활용하여 데이터를 저장하며 수집된 로그는 깊은 통찰력을 제공하고 시스템 오류 및 오류를 해결하는 데 도움이 됩니다.

Graylog를 사용하면 데이터를 원활하게 추적하는 데 도움이 되는 멋진 대시보드가 포함된 깔끔하고 졸린 WebUI를 얻을 수 있습니다. 또한 규정 준수 감사, 위협 검색 등에 도움이 되는 멋진 도구와 기능 세트를 얻을 수 있습니다. 특정 조건이 충족되거나 문제가 발생할 때 경고가 트리거되는 방식으로 알림을 활성화할 수 있습니다.

전반적으로 Graylog는 많은 양의 데이터를 효과적으로 수집하고 데이터 검색 및 분석을 단순화합니다. 최신 버전은 Graylog 4.0이며 다크 모드, Slack과의 통합, ElasticSearch 7 등과 같은 새로운 기능을 제공합니다.

3. 로그체크

Logcheck는 크론 작업으로 실행되는 또 다른 오픈 소스 로그 모니터링 도구입니다. 수천 개의 로그 파일을 조사하여 트리거된 위반이나 시스템 이벤트를 감지합니다. 그런 다음 Logcheck는 구성된 이메일 주소로 경고에 대한 자세한 요약을 보내 무단 위반이나 시스템 오류와 같은 문제를 운영 팀에 알립니다.

이 로깅 시스템에서는 다음을 포함하는 세 가지 다른 수준의 로그 파일 필터링이 개발되었습니다.

• Paranoid: 가능한 한 매우 적은 수의 서비스를 실행하는 높은 수준의 보안 시스템을 위한 것입니다.
• 서버: 이는 로그 검사의 기본 필터링 수준이며 해당 규칙은 다양한 시스템 데몬에 대해 정의됩니다. 편집증 수준에서 정의된 규칙은 이 수준에도 포함됩니다.
• 워크스테이션: 보호된 시스템용이며 대부분의 메시지를 필터링하는 데 도움이 됩니다. 또한 편집증 및 서버 수준에서 정의된 규칙도 포함됩니다.

Logcheck는 또한 보고할 메시지를 보안 이벤트, 시스템 이벤트 및 시스템 공격 경고를 포함하는 세 가지 가능한 계층으로 정렬할 수 있습니다. 시스템 관리자는 필터링 수준에 따라 시스템 이벤트가 보고되는 세부 정보 수준을 선택할 수 있습니다. 단, 이는 보안 이벤트 및 시스템 공격 경고에는 영향을 미치지 않습니다.

Logcheck는 다음 기능을 제공합니다.

• 사전 정의된 보고서 템플릿.
• 정규식을 사용하여 로그를 필터링하는 메커니즘입니다.
• 즉각적인 이메일 알림.
• 즉각적인 보안 경고.

4. 로그워치

Logwatch는 오픈 소스이며 사용자 정의가 가능한 로그 수집 및 분석 애플리케이션입니다. 시스템 및 애플리케이션 로그를 모두 구문 분석하고 애플리케이션 실행 방법에 대한 보고서를 생성합니다. 보고서는 명령줄이나 전용 이메일 주소를 통해 전달됩니다.

/etc/logwatch/conf 경로의 매개변수를 수정하여 Logwatch를 원하는 대로 쉽게 사용자 정의할 수 있습니다. 또한 로그 구문 분석을 더 쉽게 만들기 위해 미리 작성된 PERL 스크립트 방식으로 추가 기능을 제공합니다.

Logwatch는 계층화된 접근 방식을 제공하며 구성 세부정보가 정의되는 3가지 주요 위치가 있습니다.

• /usr/share/logwatch/default.conf/*
• /etc/logwatch/conf/dist.conf/*
• /etc/logwatch/conf/*

모든 기본 설정은 /usr/share/logwatch/default.conf/logwatch.conf 파일에 정의되어 있습니다. 권장되는 방법은 이 파일을 그대로 두고 원본 구성 파일을 복사한 다음 사용자 정의 설정을 정의하여 /etc/logwatch/conf/ 경로에 고유한 구성 파일을 만드는 것입니다.

Logwatch의 최신 버전은 버전 7.5.5이며, Journalctl을 사용하여 systemd 저널을 직접 쿼리하는 기능을 지원합니다. 독점 로그 관리 도구를 구입할 여유가 없는 경우 Logwatch를 사용하면 모든 이벤트가 기록되고 문제가 발생할 경우 알림이 전달되므로 안심할 수 있습니다.

5. 로그스태시

Logstash는 로컬 파일이나 S3과 같은 분산 시스템을 포함한 다양한 소스의 데이터를 받아들이는 오픈 소스 서버 측 데이터 처리 파이프라인입니다. 그런 다음 로그를 처리하고 Elasticsearch와 같은 플랫폼으로 전달하여 나중에 분석하고 보관합니다. 여러 애플리케이션에서 대량의 로그를 수집하고 나중에 이를 다른 데이터베이스나 엔진에 동시에 출력할 수 있으므로 매우 강력한 도구입니다.

Logstash는 구조화되지 않은 데이터를 구조화하고 지리적 위치 조회를 수행하며 개인 데이터를 익명화하고 여러 노드에 걸쳐 확장합니다. SNMP, 하트비트, Syslog, Kafka, Puppet, Windows 이벤트 로그 등을 포함하여 Logstash가 파이프를 수신하도록 할 수 있는 광범위한 데이터 소스 목록이 있습니다.

Logstash는 구문 분석 및 구조화 등을 위해 Logstash에 데이터를 공급하는 경량 데이터 전달자인 'beats'를 사용합니다. 그런 다음 데이터는 인덱싱을 위해 Google Cloud, MongoDB, Elasticsearch와 같은 다른 대상으로 전송됩니다. Logstash는 사용자가 어떤 형태로든 데이터를 수집하고, 구문 분석하고, 대화형 대시보드에서 시각화할 수 있게 해주는 Elastic Stack의 핵심 구성 요소입니다.

게다가 Logstash는 광범위한 커뮤니티 지원과 정기적인 업데이트를 누리고 있습니다.

요약

지금은 이것이 전부이며 Linux에서 사용할 수 있는 모든 로그 관리 시스템이 아니라는 점을 기억하십시오. 우리는 향후 기사에서 목록을 계속 검토하고 업데이트할 것입니다. 이 기사가 도움이 되기를 바라며 의견을 남겨서 다른 중요한 로깅 도구나 시스템에 대해 알려주실 수 있기를 바랍니다.