블로그

Graylog 검토 및 대안

Graylog 검토 및 대안

끝이 없어 보이는 일련의 로그 파일을 스크롤하면서 절망적으로 문제에 대한 단서를 찾고 있는 자신을 발견한 적이 있습니까? 그렇다면 당신은 혼자가 아닙니다! 이 기사에서는 로그 관리 문제를 완전히 해결하는 것을 목표로 하는 제품인 Graylog를 검토하겠습니다.

Graylog는 정확히 무엇을 할 수 있나요?

그레이로그 대량의 로그 및 기타 데이터 소스로부터 명확성을 생성하도록 설계된 유연한 로그 관리 시스템입니다. 시스템 관리자이거나 한동안 IT 분야에 종사했다면 형식이 지정되지 않은 보기 흉한 로그 파일에서 올바른 정보를 찾는 것이 얼마나 어려운지 알게 될 것입니다.

로그 파일 및 기타 데이터가 Graylog에 입력되면 정렬하고 시각화할 수 있습니다. 상상할 수 있듯이 여러 플랫폼에서 이러한 수준의 명확성을 갖는 것은 믿을 수 없을 만큼 통찰력이 있을 수 있습니다. MSP, 통신, DevOps 및 FinTech와 같은 산업은 모두 하나의 응집력 있는 방식으로 데이터를 통합함으로써 큰 ​​이점을 얻을 수 있습니다.

기업이 성장함에 따라 점점 더 많은 장소에 점점 더 많은 데이터가 있는 것처럼 보입니다. 모든 것을 중앙 집중화하고 이해하는 것이 Graylog가 수행하도록 설계된 것입니다.

그레이로그는 어떻게 작동하나요?

Graylog로 가져오려는 모든 서버 또는 로그 파일에 대해 클라이언트 에이전트를 설치해야 합니다. 다행히도 이는 매우 간단한 프로세스이며 GPO나 다른 형태의 스크립팅을 통해 자동화될 가능성이 있습니다. 에이전트가 설치되면 로그 정보를 Graylog 기본 서버로 직접 가져오기 시작합니다.

데이터가 도착하면 다양한 고급 검색 기능을 통해 자동으로 시각화, 저장 또는 분류하고 수동으로 분석할 수 있습니다. 이러한 고급 검색의 기능에 대해서는 검토 과정에서 더 자세히 다루겠습니다.

Graylog는 데이터를 어떻게 저장하나요?

기본적으로 Graylog는 전 세계 연구자 및 분석가가 사용하는 오픈 소스 검색 엔진인 Elasticsearch에 모든 데이터를 저장합니다. Elasticsearch를 통해 데이터에 액세스할 수 있게 되면 비공개 타사 검색 도구에 비해 엄청난 유연성을 얻을 수 있습니다. 이를 통해 사용자는 자신만의 사용자 지정 검색 쿼리를 생성할 수 있을 뿐만 아니라 Elasticsearch 프로젝트가 수년에 걸쳐 구축한 무료 스크립트와 도구를 활용할 수 있습니다.

폐쇄형 검색 도구는 데이터 정렬 방식을 알려주는 블랙박스 역할을 하는 경우가 많습니다. 이는 데이터로 수행할 수 있는 작업을 제한할 뿐만 아니라 검색 솔루션 공급업체에 의존하게 만듭니다. Elasticsearch를 사용하면 이 모든 것이 투명하고 사용자 정의 가능합니다. 많은 핵심 기능이 Elasticsearch에 의존하여 작동하므로 안타깝게도 현재로서는 Elasticsearch를 데이터 검색 도구로 사용하는 것 외에는 쉬운 대안이 없습니다.

그레이로그 버전

Graylog에는 현재 Graylog Open Source와 Graylog Enterprise라는 두 가지 주요 제품이 있습니다. 각 제품을 개별적으로 살펴보고 기능을 비교해 보겠습니다.

Graylog 오픈 소스

Graylog 오픈 소스는 제한적이지만 강력한 로그 관리 기능을 제공하는 Graylog의 100% 무료 버전입니다. 소규모 DevOp 팀이나 성장하는 IT 회사의 경우 Graylog 오픈 소스 버전은 지갑을 열지 않고도 데이터를 한곳에 정리할 수 있는 좋은 방법입니다.

대부분의 프리미엄 소프트웨어에는 기능이 있어야 할 곳에 큰 구멍이 있지만 Graylog는 거의 반대 접근 방식을 취하는 것 같습니다. 무료 수준에서는 하루 최대 5GB의 데이터를 처리할 수 있으며 알림, API 액세스, LDAP 통합 등 실제로 중요한 여러 기능에 계속 액세스할 수 있습니다. 오픈 소스 Graylog의 가장 좋은 부분 중 하나는 데이터가 플랫폼에 고정되어 있지 않다는 것입니다. 일부 무료 로그 관리 도구를 사용하면 데이터를 쉽게 가져올 수 있지만 마이그레이션하기는 어렵습니다.

오픈 소스 버전을 사용하면 플랫폼에 얽매이지 않고 플랫폼에 대한 공정한 느낌을 얻을 수 있습니다. 단순히 다른 장소에서 로그를 수집하기 위해 Graylog를 사용하는 경우 해당 소스의 데이터만 복사하도록 Graylog를 구성할 수 있습니다. 즉, Graylog를 테스트하기 전에 언제든지 데이터가 구성된 방식으로 돌아갈 수 있습니다.

나는 일반적으로 기업에 지원 부족으로 인해 오픈 소스 제품을 피하라고 경고하지만 Graylog는 사실상 원활하게 Enterprise 버전으로 전환합니다. 따라서 데이터 전달이나 예약된 보고서와 같은 기능이 필요하다고 생각하는 시점이 아닌 경우 Graylog를 통해 쉽게 성장할 수 있습니다. 당신은 확인할 수 있습니다 두 버전의 직접 비교 .

그레이로그 엔터프라이즈

Graylog의 오픈 소스 버전은 로그 관리에 대한 훌륭한 시작을 제공하지만 이는 속담의 빙산의 일각에 불과합니다. 로깅 데이터의 모든 기능을 활용하려는 기업은 Graylog가 로그 관리 솔루션에서 요청할 수 있는 거의 모든 것을 제공한다는 것을 알게 될 것입니다. 아래에서는 Graylog가 제공하는 주요 기능 중 일부를 분석하고 검토하겠습니다.

워크플로 검색

Graylog는 검색 워크플로라는 기능을 활용하여 반복적인 검색 쿼리에 대한 시간을 절약합니다. 데이터 분석가와 연구원이 문제를 식별하거나 보고서를 생성하는 데 도움을 주기 위해 유사한 검색 쿼리를 실행하는 것은 흔한 일입니다. 이 기능은 프로세스 속도를 높이기 위해 만들어졌습니다.

워크플로를 생성하면 여러 검색 쿼리를 단일 작업으로 실행할 수 있는 템플릿으로 결합하게 됩니다. 워크플로가 완료되면 모니터링 대시보드의 차트나 기타 그래픽을 통해 출력이 자동으로 표시될 수 있습니다.

그레이로그 대시보드
Graylog는 검색하는 동안 다양한 보기를 허용합니다.

워크플로를 만들 때 나중에 저장하고 팀과 공유할 수도 있습니다. 시간이 지남에 따라 라이브러리를 구축하거나 워크플로우를 검색하여 복잡한 문제를 훨씬 쉽게 해결할 수 있습니다.

원하는 수의 매개변수를 사용하여 검색 워크플로를 구축할 수 있습니다. 즉, 얼마나 구체적인 정보를 얻을 수 있는지에 제한이 없습니다. 개인적으로 마음에 들었던 기능은 한 워크플로에서 다른 워크플로로 데이터를 직접 이동할 수 있는 기능이었습니다. 목표나 조사가 변경되면 관련 데이터를 선택하고 처리를 위해 완전히 다른 워크플로우에 매개변수로 포팅할 수 있습니다.

경고 및 트리거

빠른 액세스를 위해 Graylog 상단의 경고 탭을 통해 경고에 액세스할 수 있습니다. 각 경고는 색상으로 구분되어 상태가 해결되었는지 또는 해결되지 않았는지 나타냅니다. 이는 경고를 한 눈에 빠르게 살펴볼 수 있는 좋은 기능입니다. 각 경고를 클릭하면 충족된 조건, 해당 경고가 발생한 데이터 스트림과 같은 추가 세부 정보가 제공됩니다.

그레이로그 스크린샷
Graylog 경고 검색 대시보드.

동일한 메뉴에서 경고를 트리거하기 위한 조건을 볼 수 있습니다. 조건은 처음부터 생성하거나 즉시 구현할 준비가 된 지식 팩에서 다운로드할 수 있습니다. 새 조건을 생성하는 것은 매우 간단합니다. 해당 로그가 흘러갈 데이터 스트림을 선택한 다음 조건 유형을 선택하기만 하면 됩니다. 이러한 조건 유형은 도메인이나 워크스테이션 번호와 같은 특정 값을 검색하는 것부터 숫자 값 임계값이 위반되는 것을 기반으로 한 경고까지 다양할 수 있습니다.

경고는 비슷한 방식으로 작동합니다. 알림을 받고 싶은 데이터 스트림을 선택한 다음 이메일, HTTP 또는 사용자 정의 스크립트 중에서 선택하여 알림을 받습니다. HTTP 경고를 사용하면 Slack과 같은 앱과 통합할 수 있으며, 사용자 정의 스크립트 알림은 스크립트를 실행하여 경고하거나 자동화된 교정을 배포할 수 있습니다. 알람 피로를 방지하려면 각 이벤트에 대한 임계값을 쉽게 설정하고 해당 데이터를 그룹으로 집계하여 대시보드를 깔끔하게 유지할 수 있습니다.

콘텐츠 팩

콘텐츠 팩은 로그 관리 세계의 진정한 판도를 바꾸는 요소입니다. 대부분의 로깅 소프트웨어는 매우 제한된 템플릿을 제공하거나 전혀 제공하지 않지만 콘텐츠 팩은 데이터 관리를 위한 진정한 기본 경험을 제공합니다.

로그 관리로부터 가치를 받기 시작하는 데 걸리는 시간은 항상 문제였으며, 이를 해결하기 위해 특별히 콘텐츠 팩이 만들어졌습니다. 이러한 팩은 사전 구축된 입력, 인텔리전스 처리, 디스플레이 템플릿, 심지어 즉시 사용할 수 있는 경고 및 보고서로 구성됩니다. 이러한 모든 설정을 변경하거나 구성할 수 있으므로 처음부터 모든 것을 구축하는 것보다 시간이 훨씬 적게 걸립니다.

그레이로그 콘텐츠 팩

콘텐츠 팩은 Graylog 회원 커뮤니티가 일반적으로 무료로 팩을 공유하는 Graylog 마켓플레이스를 통해 찾을 수 있습니다. Readme 파일은 팩의 모든 세부 정보를 제공하므로 귀하가 얻는 것이 무엇인지 정확히 알 수 있습니다. 팩 설치는 다운로드한 파일을 찾아 설치를 선택하는 것만큼 쉽습니다. 설치하기 전에 마지막으로 콘텐츠 팩의 전체 구성을 분석할 수 있는 기회를 얻게 됩니다.

콘텐츠 팩을 공유하거나 조직을 위해 저장하려면 콘텐츠 팩 섹션 아래의 간단한 마법사를 통해 수행할 수 있습니다.

상관 엔진

상관 엔진은 Graylog의 실제 '고기와 감자'이며 원시 로그 데이터에서 주요 정보를 자동으로 추출하는 메커니즘입니다. 특정 경고를 트리거하거나 수정 조치를 위해 스크립트를 실행하는 조건 문자열을 생성할 수 있습니다.

상관관계 엔진을 사용하는 데는 시간이 좀 걸리며 이전에 고급 필터나 규칙 세트를 만든 적이 없다면 약간의 학습 곡선이 있습니다. 다행히도 많은 문서 이 기능을 실험하는 동안 유용합니다.

침입 탐지부터 인증 실패의 패턴 보기까지 상관 관계 엔진 범위에 대한 몇 가지 일반적인 사용 사례가 있습니다. 이 기능은 필요와 창의성에 따라 필요에 따라 간단할 수도 있고 복잡할 수도 있습니다.

그레이로그 사이드카

Graylog Sidecar를 사용하면 각 Graylog 에이전트에 대한 구성 템플릿을 중앙 집중화하여 일관성과 새 에이전트 배포 속도를 향상시킬 수 있습니다. 시스템은 단일 사이드카 대시보드에서 구성을 생성하고 태그를 지정하는 방식으로 작동합니다. 예를 들어, 모든 Apache 로그에 'Apache' 태그를 지정하면 모든 Apache 로그가 모든 서버에서 동일한 방식으로 필터링되고 정렬되도록 할 수 있습니다.

더 큰 환경을 실행하거나 관리형 서비스 환경에서 작업하는 경우 Graylog Sidecar는 훨씬 더 가치가 있을 것입니다. 수집하려는 각 유형의 서버 또는 데이터 스트림에 대해 템플릿을 생성하고 모든 환경에서 일관성을 유지할 수 있는 옵션이 있습니다.

더욱 세부적으로 작성해야 하는 경우 특정 템플릿을 생성하여 장치 그룹에 할당할 수 있습니다. 이는 네트워크의 다른 부서나 물리적 위치에서 특정 데이터를 가져오는 데 사용될 수 있습니다. 사이드카는 Filebeat, Winlogbeat 및 NXlog와 같은 가장 일반적인 에이전트 중 일부를 지원합니다. 사이드카는 모듈식 아키텍처에서 작동하므로 다른 에이전트 유형도 지원할 수 있습니다.

관련 게시물: Graylog 대 Splunk

Graylog의 대안

Graylog는 확실히 로그 관리 및 보안 인텔리전스를 위한 탁월한 선택이지만 유사한 도구와 어떻게 비교되는지 살펴보고 싶을 수도 있습니다. 최고의 보안 및 이벤트 로깅 도구에 대한 심층 분석을 찾고 있다면 다음 목록을 확인하십시오. 최고의 SIEM 도구 .

다음은 Graylog에 대한 가장 인기 있는 대안 목록입니다.

  1. SolarWinds 서버 및 애플리케이션 모니터(무료 평가판) SolarWinds의 SAM은 간단한 에이전트 설치를 통해 다양한 서버와 앱을 모니터링하도록 구축되었습니다. SAM은 경고, 모니터 및 네트워크 데이터를 관리 가능한 단일 대시보드로 압축합니다.
  2. 데이터독 Graylogs 로그 분석 및 모니터링 기능과 유사점을 공유합니다. Datadog은 또한 IT 산업을 위해 구축되었으며 로그 관리 및 네트워크 모니터링을 위한 즉시 사용 가능한 솔루션을 제공합니다.
  3. 스플렁크 로그 데이터 및 기타 정보를 활용하여 보고서를 작성하고 데이터를 기반으로 한 운영 인텔리전스를 사용자에게 실시간으로 제공합니다.
  4. 다이나트레이스 자동화 및 로그 수집을 활용하여 실행 가능한 보고서 및 비즈니스 분석을 구축하는 전체적인 모니터링 솔루션을 사용자에게 제공합니다.
  5. OSSIM 실시간 및 기록 로그 데이터를 결합하여 네트워크 전반의 보안을 강화하는 오픈 소스 도구입니다.
  6. logz.io 이 오픈 소스 클라우드 기반 플랫폼을 사용하면 ELK 기반 로그 관리 도구로 채워진 통찰력을 통해 온프레미스 또는 클라우드 서비스를 모니터링하고 문제를 해결할 수 있습니다.
^