Syslog

📌 Syslog Server 구축 및 설정 가이드 🚀

1️⃣ Syslog란?

**Syslog (System Logging Protocol)**은 서버, 네트워크 장비, 애플리케이션 등의 로그를 중앙 집중식으로 수집하는 프로토콜입니다.
이를 통해 서버 및 네트워크 상태를 모니터링하고, 장애 발생 시 원인을 분석할 수 있습니다.

✅ Syslog의 주요 기능

• 📥 로그 중앙 집중화 – 여러 장치에서 로그를 한 곳에서 관리
• 🔍 실시간 모니터링 – 로그 분석을 통해 서버 상태 및 보안 감시
• 🔄 자동화 및 대응 – 특정 이벤트 발생 시 자동 알림 및 조치
• 💾 장기적인 로그 보관 – 보안 및 감사 목적의 로그 저장

2️⃣ Syslog 서버 설치 (Linux 기반)

🔹 Ubuntu/Debian에서 Rsyslog 설치

sudo apt update
sudo apt install rsyslog -y

설치 후, 서비스 활성화 및 확인

sudo systemctl enable rsyslog
sudo systemctl start rsyslog
sudo systemctl status rsyslog

🔹 CentOS/RHEL에서 Rsyslog 설치

sudo yum install rsyslog -y

설치 후, 서비스 활성화 및 확인

sudo systemctl enable rsyslog
sudo systemctl start rsyslog
sudo systemctl status rsyslog

3️⃣ Syslog 서버 설정

Syslog 설정 파일은 /etc/rsyslog.conf 입니다.
이 파일을 수정하여 원격 로그 수집 및 저장 방식을 구성할 수 있습니다.

📌 1. 원격 로그 수집 활성화

/etc/rsyslog.conf 파일을 열어 아래 설정을 추가합니다.

sudo nano /etc/rsyslog.conf

🔹 UDP(514번 포트)로 로그 수신 설정

# UDP 포트 514에서 로그 수신 허용
module(load="imudp")
input(type="imudp" port="514")

🔹 TCP(514번 포트)로 로그 수신 설정

# TCP 포트 514에서 로그 수신 허용
module(load="imtcp")
input(type="imtcp" port="514")

🔹 로그 파일 저장 경로 설정

$template RemoteLogs,"/var/log/remote_logs/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs

설정을 저장한 후, rsyslog 서비스를 재시작합니다.

sudo systemctl restart rsyslog

4️⃣ 클라이언트에서 Syslog 서버로 로그 전송

📌 1. 클라이언트에서 로그 전송 설정 (/etc/rsyslog.conf)

클라이언트 시스템에서 로그를 중앙 Syslog 서버로 전송하려면 아래 설정을 추가합니다.

sudo nano /etc/rsyslog.conf

🔹 Syslog 서버로 로그 전송 (UDP)

*.* @192.168.1.100:514   # Syslog 서버 IP와 포트 입력

🔹 Syslog 서버로 로그 전송 (TCP)

*.* @@192.168.1.100:514  # '@@'는 TCP 전송을 의미

설정을 저장한 후, rsyslog 서비스를 재시작합니다.

sudo systemctl restart rsyslog

5️⃣ Syslog 로그 확인

📌 1. Syslog 서버에서 수집된 로그 확인

ls /var/log/remote_logs/

특정 호스트의 로그 확인

cat /var/log/remote_logs/client-server-name/syslog.log

6️⃣ 방화벽 설정 (필요한 경우)

Syslog 서버가 원격에서 로그를 수집하려면 방화벽에서 514/UDP, 514/TCP 포트를 허용해야 합니다.

✅ UFW 사용 (Ubuntu/Debian)

sudo ufw allow 514/udp
sudo ufw allow 514/tcp
sudo ufw reload

✅ firewalld 사용 (CentOS/RHEL)

sudo firewall-cmd --permanent --add-port=514/udp
sudo firewall-cmd --permanent --add-port=514/tcp
sudo firewall-cmd --reload

7️⃣ Syslog 로그 분석 및 모니터링 📊

📌 1. 로그 필터링 (grep 사용)

cat /var/log/syslog | grep "error"

📌 2. 실시간 로그 모니터링

sudo tail -f /var/log/syslog

8️⃣ 고급 기능 (ELK 스택 연동)

✅ Syslog 데이터를 ELK(Elasticsearch + Logstash + Kibana)로 전송하여 실시간 분석 가능

🔹 Logstash를 사용하여 Syslog 로그를 수집하려면 아래 설정을 추가합니다.

input {
  udp {
    port => 514
    type => "syslog"
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "syslog-%{+YYYY.MM.dd}"
  }
}

9️⃣ 결론 🚀

Syslog 서버를 구축하면 서버 및 네트워크 장비의 로그를 중앙에서 수집하고 분석할 수 있습니다.
위의 방법을 따라 설치하고 설정하면 효율적인 로그 관리 시스템을 운영할 수 있습니다.
로그 분석을 자동화하려면 ELK 스택과 연동하여 대시보드로 시각화하는 것도 고려해 보세요!

📚 추가 자료
1️⃣ Rsyslog 공식 문서
2️⃣ ELK 스택 설정 가이드
3️⃣ Syslog 로그 분석 사례