본문 바로가기

Work Log/As Cybersecurity Consultant

Syslog에 대한 기본적인 정보

Syslog는 RFC 1364(http://www.ietf.org/rfc/rfc3164.txt?number=3164)에 정의가 되어있는 프로토콜입니다.

위키피디아(http://en.wikipedia.org/wiki/Syslog)에서는 이렇게 정의가 되어있네요
syslog is a standard for forwarding log messages in an IP network. The term "syslog" is often used for both the actual syslog protocol, as well as the application or library sending syslog messages.


syslog를 간단하게 정의하자면 syslog server라고 불리는 이벤트 메세지(로그)수집기 쪽으로 IP네트워크를 통해서 장치(Machine)의 이벤트 메세지들을 전송할 수 있게 해주는 프로토콜입니다.

여기에서 말하는 장치는 광범위한 의미를 가지고 있는데요, 지금 이 화면을 보고 계시는 PC도 될 수 있구요, 서버들이 될 수도 있구요, 스위치, 라우터, 방화벽, IPS, IDS 같은 네트워크의 여러 장치들이 될 수도 있습니다. 단, syslog 메세지를 전송할 수 있는 장치들을 말하는 것이지요

이런 장치들은 여러 활동을 합니다. 활동을 하면서 여러 이벤트들을 만들어 내고 있구요. 
설치되어있는 어플리케이션을 실행하기도 하고, 하드웨어에 달려있는 하드디스크(HDD)나 NIC 역시 작동 중에 이벤트들이 발생이 하고 있습니다.

하나의 장치 안에서도 여러 부속품들이 있고, 여러 어플리케이션들이 있습니다. 그리고 이런 장치들이 한 두개가 아니겠지요. 장치들은 관리가 필요하고, 이벤트들을 확인을 해야 내부적으로 무슨 일들이 일어나고 있는지를 확인을 할텐데, 하나하나 장치마다 들어가서 확인을 하기에는 노력이 많이 소요가 될 것입니다.

그럼 어떻게 해야 할까요? 이벤트들을 전송해서 한 곳에서 관리를 할 필요가 있겠네요. 이걸 가능하게 해주는 것이 syslog라고 보시면 됩니다. 참고로 여기에서 말하는 '이벤트'는 주로 '로그'라고 많이 부르지요.