로그 관리 모범 사례를 유지하려면 기술 발전 상황을 지속적으로 파악하고 있어야 합니다. 클라우드 앱은 고립된 상태로 존재하지 않으며, 이는 오히려 긍정적인 점입니다. 인증, 연결, 접근, 오류 등의 정보는 새로운 운영 효율성과 최적의 보안 접근 방식을 알려주는 필수 로그 데이터입니다.
하지만 이러한 인사이트는 로그가 단일 플랫폼에서 적절하게 관리, 저장, 분석될 때만 실현됩니다. 최신 앱과 인프라를 위한 로그 관리 모범 사례에는 중앙 집중식 로깅, 구조화된 로깅, 고유한 프로그래밍 언어나 네트워크 구조와 명시적으로 관련된 기능이 포함됩니다.
보편적으로 오늘날의 모범 사례에는 DevOps 팀과 보안팀 전반의 인사이트를 통합하는 로그 관리 절차와 도구가 포함됩니다. 이 글 전반에 걸쳐 올해와 그 이후에도 데이터를 더 잘 활용할 수 있도록 다양한 상황에서의 모범 사례에 대해 살펴보겠습니다.
로깅 및 모니터링 모범 사례
로깅 및 모니터링의 모범 사례를 정의하는 방식은 회사마다 다릅니다. 가장 적합한 접근 방식은 환경을 구성하는 네트워크, 앱 구성 요소, 장치, 리소스에 따라 달라집니다. 그럼에도 네트워크 전반의 로그를 중앙 집중화하면 클라우드, 멀티 클라우드, 하이브리드, 온프레미스 등 모든 유형의 네트워크에서 로그 관리를 간소화할 수 있습니다. 또한 로그를 머신 러닝으로 분석할 수 있는 구조화된 형식으로 변환하면 기업은 업종을 불문하고 경쟁 우위를 확보할 수 있습니다. 다음 섹션에서는 이러한 두 가지 모범 사례와 애플리케이션별 세부 사항에 대해 살펴보겠습니다.
중앙 집중식 로깅 모범 사례
중앙 집중식 로깅은 IT 인프라 전반의 다양한 소스에서 데이터를 수집하는 도구를 통해 이루어집니다. 데이터는 다양한 소스에서 공용 클라우드나 서드 파티 스토리지 솔루션으로 이동합니다. DevOps 및 보안팀은 다음과 같은 다양한 소스의 로그를 집계해야 합니다:
- 스위치, 라우터, 액세스 포인트: 구성 오류 및 기타 문제를 식별하기 위해
- 웹 서버 데이터: 고객 유입 및 행동에 대한 세부 정보를 파악하기 위해
- 보안 데이터(침입 탐지 시스템 및 방화벽 로그 등): 보안 위험이 문제가 되기 전에 발견하고 해결하기 위해
- 클라우드 인프라 및 서비스 로그: 현재 리소스가 충분한지 평가하고 레이턴시나 기타 요구 사항을 해결하는 데 도움을 주기 위해
- 애플리케이션 수준의 로그: 결제 게이트웨이, 인앱 데이터베이스 및 기타 기능 등에서 오류가 발생했을 때 해결이 필요한 위치를 파악하는 데 도움을 주기 위해
- PostgreSQL, MongoDB, MySQL 등 데이터베이스의 서버 로그: 사용자 경험 문제와 기타 성능 문제를 알아내기 위해
- Kubernetes나 도커의 컨테이너 로그: 동적인 환경을 면밀히 모니터링하여 조직이 리소스 수요와 비용의 균형을 유지하고 문제를 신속하게 해결할 수 있도록 지원하기 위해
중앙 집중식 로깅의 이점은 무엇인가? 로그를 중앙 집중식 도구로 재배치하면 정보 사일로가 해소됩니다. 그 대신 단일 도구 내에서 로그 상관관계 분석, 정규화, 분석을 수행하면 맥락에 맞는 인사이트를 도출할 수 있습니다. 이러한 감독을 통해 애플리케이션 내의 핵심 요구 사항(예를 들어 SLA, 성능 문제, 가용성 문제 해결)을 선제적으로 파악하고 해결할 수 있습니다.
올바른 로그 관리 플랫폼을 사용하면 이 작업이 훨씬 더 간단해집니다. Sumo Logic은 방대한 데이터 속에서 중요한 인사이트를 도출하기 위해 LogReduce® 및 LogCompare 같은 탐지 도구를 제공합니다. 강력한 이상값 탐지 기능을 통해 불필요한 잡음을 제거하고 시스템에 영향을 주는 실제 미확인 요인을 찾아낼 수 있습니다. 자동화된 서비스 매핑은 특정 문제와 연결된 정확한 종속 관계와 추적 정보를 보여 주어 마이크로서비스 인프라의 전반적인 상태를 개괄적으로 파악할 수 있게 해줍니다. 여러 클라우드 환경을 사용하는 마이크로서비스 아키텍처에서 어떤 로깅 도구를 사용하는 것이 좋을지 혹은 서드 파티 시스템에서 로그를 수집할 때 어떤 로깅 도구를 사용하는 것이 좋을지를 고민하고 있다고 가정해 보세요. 그럴 때 Sumo Logic은 중앙 집중식 로깅을 위한 탁월한 선택지입니다.
구조화된 로깅 모범 사례
구조화된 로깅이란 데이터를 머신 러닝 분석이 가능한 형식으로 변환하는 것을 의미합니다. 로그 데이터를 일반 텍스트 파일 형태로 저장하면 인사이트를 얻기 위해 쿼리하거나 필터링할 수 없습니다. XML이나 JSON(JavaScript Object Notation)처럼 파싱이 용이한 형식으로 구조화된 로그를 사용하면 데이터를 모니터링, 문제 해결, 조사 목적으로 활용할 수 있습니다.
일부 로그는 벤더에서 미리 정의한 구조로 제공되기도 하고, 어떤 로그는 내부적으로 생성된 사용자 지정 로그일 수도 있습니다. 이러한 모든 로그를 일관된 형식으로 변환하는 것이 필수적이며, 이러한 변환 작업이 바로 많은 개발자와 조직이 실제로 수행하는 로그 관리의 핵심입니다. 플랫폼에서 내보낸 사용자 지정 로그가 구조화된 형식이라 하더라도 데이터를 완벽하게 활용하기 위해서는 다른 로그를 업데이트하고 형식을 재지정해야 합니다.
구조화된 로깅은 로그를 더 구체적으로 만들어 주어 데이터의 활용성을 높입니다. 로그 내에서 식별되고 명명된 주요 값들은 패턴을 감지하거나 결과를 필터링하는 알고리즘을 갖추게 됩니다. 다른 모든 훌륭한 보고서와 마찬가지로, 로그 구조도 ‘누가, 무엇을, 어디서, 언제, 왜’라는 다섯 가지 요소를 포함할 때 유용합니다.
- 누가: 로그와 연결된 사용자 이름 또는 기타 ID
- 무엇을: 오류 코드, 영향 수준, 소스 IP 등
- 어디서: 인프라 내의 특정 게이트웨이 또는 호스트 이름
- 언제: 타임스탬프
- 왜: 로그 관리 플랫폼이 이를 파악하는 데 도움을 줄 것입니다.
로그는 일반 텍스트로 기록된 데이터가 아니라는 점을 기억하세요. 그 대신 로그는 사람과 자동화 시스템 모두가 이해할 수 있는 특정한 형식으로 문서화됩니다. 구조화된 로깅이 어떻게 로그의 의미를 명확하게 해주는지와 구조화되지 않은 로그와 어떤 차이가 있는지 그 예시를 자세히 알아보려면 여기를 클릭하세요.
애플리케이션 로깅 모범 사례
일반적으로 또 다른 상위 수준의 로깅 모범 사례는 로그를 수동으로 파일로 기록해서는 안 된다는 것입니다. 자동화된 출력과 파싱 도구를 함께 사용하면 로그를 구조화되지 않은 형식에서 구조화된 형식으로 변환하는 데 도움이 됩니다.
다음은 특정 프로그래밍 언어, 네트워크 구조 또는 애플리케이션에 특화된 기본 모범 사례에 대한 몇 가지 간단한 언급입니다:
C 언어에서의 로깅 모범 사례
C 또는 C#에서 로깅할 때는 로그를 콘솔이 아닌 클라우드로 전송해야 합니다. 향후 사용자를 위해 컨텍스트와 진단 데이터를 보존하려면 구조화된 로깅을 사용하세요.
REST API 로깅 모범 사례
REST API 리소스 어셈블리는 시스템 간 온라인 정보 교환을 지원합니다. JSON 로그 구조는 일반적으로 REST API 로깅을 위한 최적의 접근 방식으로 간주됩니다.
Node.js 로깅 모범 사례
Node.js는 효율적인 로깅이 어려울 수 있는 서버 측 프로그래밍에 사용됩니다. 이러한 로그에 타임스탬프, 태그 및 기타 정보를 자동으로 포함하도록 설정할 수 있습니다. Node.js 로깅 모범 사례에 관해 자세히 알아보세요.
AWS 중앙 집중식 로깅 모범 사례
Amazon Web Services(AWS)의 로깅 모범 사례는 로그, 분석 및 보안을 중앙 집중화하는 것에서 시작됩니다. 이렇게 하면 소프트웨어를 효율적이고 안전하게 운영할 수 있습니다. AWS 모니터링 및 로깅에 관해 자세히 알아보세요.
사이버 보안에서의 로그 유형
사이버 보안에서의 로그 관리란? 이는 예기치 않은 이벤트와 발생한 일을 기록하여 위험을 파악하고 관리하는 것을 말합니다. 로그 분석은 이러한 기록을 통해 시스템의 보안 상태와 위협에 대한 유용한 인사이트를 도출합니다. 보안 로그를 주기적으로, 때로는 개발 스프린트와 함께 분석하면 이를 통해 유용한 인사이트를 얻고 해결해야 할 오류를 찾아낼 수 있습니다. 보안 정보 및 이벤트 관리(SIEM)는 사이버 보안의 특화된 한 분야로, 하드웨어와 소프트웨어에서 발생하는 실시간 경고 알림을 모니터링하는 과정입니다. 다음은 관리 및 중앙 집중화해야 할 가장 중요한 보안 로그, 더 구체적으로는 SIEM 로그의 몇 가지 예시입니다.
- 방화벽 로그: 오늘날의 방화벽은 위협 및 악성 소프트웨어, 애플리케이션 유형, C2(Command & Control) 등과 관련된 풍부한 데이터를 제공합니다. 내부 및 외부 방화벽 로그 모두 모니터링해야 합니다.
- 프락시 및 웹 필터링 로그: 방화벽에 이러한 로그가 포함되어 있지 않은 경우, 위협 헌터(threat hunter)가 악성 사이트와의 연결을 파악할 수 있도록 IP, URL, 도메인 정보를 모니터링하는 것이 중요합니다. 또한 User-Agent 로그는 주요 보안 침해나 문제를 해결하는 데 매우 유용합니다.
- 네트워크 보안 제품: 침입 방지(IPS), 침입 탐지(IDS), 네트워크 데이터 손실 방지(DLP)와 같은 네트워크 데이터를 위한 독립 실행형 시스템을 사용하고 있다면 해당 로그를 다른 정보와 함께 분석할 수 있도록 중앙 집중화하세요.
- 네트워크 센서: 네트워크 Test Access Point(TAP)나 Switched Port Analyzer(SPAN)와 같은 센서는 트래픽 흐름에 대한 더 심층적이고 구체적인 데이터를 제공합니다. 이러한 로그는 내부 시스템 내에서 위협의 수평 이동과 같이 사용자가 다른 방법으로는 파악하지 못했을 이벤트를 추적하는 데 도움이 됩니다.
- Windows 인증: 사용자의 Windows 인증을 추적하면 사용자가 활동 도중 IP 주소를 변경하더라도 시스템 내 해당 이벤트를 특정 사용자와 연결할 수 있습니다.
- 엔드포인트 보안 솔루션: 네트워크에 연결된 각 장치에서 수집된 SIEM 데이터는 실제 위협이 아닌 경고 알림에 대한 불필요한 후속 조치를 줄여 주어 전문가가 시간을 절약할 수 있습니다. 예를 들어 Oracle을 실행하지 않는 장치에서 Oracle 경고 알림이 발생한 경우 해당 경고 알림은 조사할 필요가 없다는 것을 알 수 있어 시간을 절약할 수 있습니다. 반면 하나 이상의 엔드포인트에서 발생한 경고 알림이 다른 이상 징후와 일치하는 경우에는 조사를 위한 더 많은 정보를 얻을 수 있습니다.
- 위협 인텔리전스: 위협 인텔리전스에는 다른 조직에서 최근 발생한 위협과 관련된 로그 및 기타 데이터가 포함됩니다. 일부 데이터는 무료로 이용할 수 있으나, 유료 목록이 더 잘 유지되는 경우가 있습니다. 이 데이터를 로그 분석 플랫폼에 도입하면 향후 유사한 패턴이나 행위를 더 빠르게 인식하도록 알고리즘을 학습시킬 수 있습니다.
이러한 로그를 신중하게 유지하고 모니터링하는 것이 모범 사례이며, 미국 연방 정부 기관 및 계약업체의 경우에는 NIST 800-53 로깅 요구 사항의 일부일 수 있습니다. 미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)는 미국 상무부 산하 기관입니다. NIST의 사명은 혁신과 경쟁을 장려하는 것입니다. NIST 800-53의 로깅 및 모니터링 요구 사항은 이러한 성장이 이루어질 수 있는 안전하고 탄력적인 시스템을 구축하기 위한 몇 가지 제어 항목 중 일부입니다. 하지만 그것만이 전부는 아닙니다. Sumo Logic과 같은 로그 관리 시스템을 사용하면 규정 준수에 대한 걱정을 덜어 주고 조직이 자신 있게 운영될 수 있도록 표준에 맞춰 조정할 수 있습니다. Sumo Logic은 FedRAMP Moderate 인증을 받았을 뿐만 아니라 SOC 2 규정 준수, HIPAA 인증, PCI DSS 규정 준수, ISO 27001 인증도 보유하고 있습니다.
로그 분석을 위한 다섯 가지 모범 사례는 무엇인가?
로그 관리를 통해 로그 분석이 가능하며 개선됩니다. 로그가 관리되고, 정리되고, 파싱되면 분석 모범 사례를 적용하여 인사이트를 도출하고 실행 가능한 단계를 마련할 수 있으며, 이러한 노력이 더 나은 비즈니스 성과로 이어질 수 있습니다. 데이터 중앙 집중화, 자동 태깅, 패턴 인식, 상관관계 분석, 인공 지능 기반 무시가 로그 분석을 위한 몇 가지 모범 사례로 떠오르고 있습니다. 다음은 각 항목을 기본 수준에서 요약한 내용입니다.
- 데이터 중앙 집중화: 모든 로그를 하나의 중앙 집중식 플랫폼으로 모읍니다.
- 자동화된 태깅 및 분류: 로그를 자동으로 분류하고 향후 분석을 위해 체계적으로 정리합니다.
- 패턴 인식 및 실행 가능한 보고: 머신 러닝을 활용해 로그 패턴을 식별하고 그 결과로 다음에 취할 최적의 조치에 대한 인사이트를 도출합니다.
- 머신 러닝 기반 상관관계 분석: 서로 다른 소스의 로그를 수집, 분석하여 각 이벤트의 전체적인 맥락을 파악하고 분리된 데이터 간의 연관성을 식별합니다.
- 인공 지능 기반 무시: 일상적인 로그를 무시하고 새로운 이벤트가 발생하거나 예정된 이벤트가 발생하지 않았을 때 경고 알림을 보내도록 학습된 도구를 사용합니다.
Sumo Logic은 이러한 모범 사례를 적용해 즉시 활용할 수 있는 턴키 방식의 SaaS 분석 플랫폼을 제공합니다.
Sumo Logic으로 로그 데이터 관리 및 분석
Sumo Logic은 조직이 애플리케이션과 운영의 신뢰성 및 보안 목표를 달성하도록 지원하는 것을 사명으로 삼고 있습니다. 전 세계 수천 개 기업이 최신 위협으로부터 시스템을 보호하고 보안을 유지하기 위해 신뢰하고 있는 Sumo Logic은 애플리케이션 성능과 모니터링을 개선하고 신속하게 문제를 해결할 수 있는 실시간 인사이트를 제공합니다. Sumo Logic 클라우드 SIEM에 대해 자세히 알아보세요.
수백 가지 기본 제공 통합 기능을 갖춘 Sumo Logic을 사용하면 로그 파일을 쉽게 관리하고 분석할 수 있습니다. 모든 로그를 한곳에 중앙 집중화하면 신뢰성과 보안을 유지하면서도 혁신의 속도를 높일 수 있습니다. Sumo Logic은 30일 무료 평가판과 무료 교육을 제공하며, 신용카드가 필요하지 않습니다. Sumo Logic의 작동 방식을 보여주는 데모 영상을 시청하거나, 지금 바로 등록해 나만의 데이터와 로그로 플랫폼을 체험해 보세요.
