SYSLOG 수집 설정 가이드

본 문서는 분석 노드 단일 구성 환경에서의 Syslog 수집 절차를 정리한 가이드입니다.

Syslog 수집을 처음 접하시는 분들도 쉽게 따라 하실 수 있도록 구성하였으며, 실제 고객사 구축 전 사내에서 루프백(Loopback) 주소로 간편하게 테스트할 수 있는 방법을 담고 있습니다.

보시고 수정이 필요한 부분이나 추가 의견이 있으시면 언제든 피드백 부탁드립니다.

유의사항

• 본 가이드는 전달서버·센트리 없이 분석노드 단일 구성 기준으로 작성되었습니다.

• 시스로그 표준 포트인 UDP/1514를 예시로 사용하나, 1024 미만 포트를 사용하려면 Java에 setcap 적용이 선행되어야 합니다. (참고: 로그프레소 소나 443 포트가 열리지 않을 때 Java setcap 하는 방법)

• 자세한 UI 설정 항목은 수집기 | 로그프레소 소나 사용자 인터페이스 설명서를 참고해 주시기 바랍니다.

1. OS 방화벽 오픈

• 송신 장비에서 분석노드로 시스로그 패킷이 도달할 수 있도록 OS 방화벽(firewalld)에서 수신 포트를 허용해야 합니다.

• 변경 후 영구 반영을 위해 reload가 필요합니다.

  # UDP/1514 포트 허용 (영구 반영)
  $ sudo firewall-cmd --permanent --add-port=1514/udp
  
  # 설정 reload
  $ sudo firewall-cmd --reload
  
  # 적용 확인
  $ sudo firewall-cmd --list-ports
  1514/udp
  
  

2. 시스로그 포트 오픈

• OS 방화벽 허용 후, 로그프레소 소나에서 해당 포트를 시스로그 수신용으로 등록해야 합니다.

• ENT UI 또는 로그프레소 셸 두 가지 방식으로 진행할 수 있습니다.

방식1) ENT UI에서 등록

• [설정] → [포트 관리] → [SYSLOG 생성] 클릭

• 다음 항목 입력 후 생성

  • 이름 : 식별 가능한 이름 (예: logpresso_udp_1514)

  • 타입: UDP

  • 포트: 1514

  • 주소: 0.0.0.0

방식2) 로그프레소 셸에서 등록

• syslog.open 명령은 첫 번째 인자로 고유 서버 이름, 두 번째 인자로 포트 번호를 받습니다. 그 외 바인드 주소·인코딩·큐 크기 등은 옵션이며 기본값을 그대로 사용해도 무방합니다.

• 인자 없이 syslog.open만 입력하면 전체 옵션 목록을 확인할 수 있습니다.

  logpresso> syslog.open
  Description
          open persistent udp syslog server
  Arguments
          1. server name: unique server name (required)
          2. port: syslog port number (optional)
          3. address: syslog bind address. 0.0.0.0 by default (optional)
          4. charset: character set name. utf-8 by default (optional)
          5. queue size: buffering queue size. 20000 by default (optional)
          6. buffer size: os receive buffer size (optional)
          7. receiver CPUID: receiver CPUID. starts from 0. disable(-1) by default (optional)
          8. buffer queue count: buffering queue count. 1 by default (optional)
          9. buffer file path: file path when queue has full. "./" by default (optional)
          10. buffer file size: file size when queue has full. 10GB by default (optional)
  

• 서버 이름은 식별이 쉽도록 logpresso_udp_<포트> 형태로 지정합니다.

  logpresso> syslog.open logpresso_udp_1514 1514
  opened udp syslog server [/0.0.0.0:1514]
  

• 등록 결과는 syslog.servers 명령으로 확인합니다.

  logpresso> syslog.servers
  Syslog Servers
  ----------------
  [logpresso_udp_1514] 0.0.0.0:1514 (udp), charset=UTF-8 (override: 0), capacity=20000, rx_buf_size=0, receiver_cpu_id=-1, queue_count=1, buffer_file_path=./, buffer_file_size=10737418240, start from=2026-04-28 10:19:07, received=0
  
  

3. 수집 모델 생성

• [SNR UI] → [수집] → [수집 모델] → [추가]를 클릭하여 수집모델을 생성합니다.

  • 이름 : SYSLOG

  • 유형 : 시스로그 수집기

4. 테이블 생성

• [SNR UI] → [시스템] → [테이블] → [추가]를 클릭하여 테이블을 생성합니다.

  • 이름 : SYSLOG_TABLE

  • 암호화 : 사용

  • 보관주기 : 0일(무제한)

5. 시스로그 수집기 생성

수집기 설정 항목 및 옵션의 상세한 설명은 수집기 | 로그프레소 소나 사용자 인터페이스 설명서를 참고해 주시기 바랍니다.

• [SNR] → [수집] → [수집] → [추가]를 클릭하여 수집기를 생성합니다.

• 다음 항목을 입력합니다.

  • 이름 : SYSLOG

  • 적재위치 : control

  • 주기 : 5초

  • 수집 모델 : SYSLOG

  • 테이블 : SYSLOG_TABLE

  • 원격지 IP : 127.0.0.1(루프백 IP주소로 테스트)

  • 포트 : 1514

6. 로컬에서 시스로그 통신 테스트

• 송신 장비 연동에 앞서, 분석노드 자체에서 루프백(loopback)으로 테스트 패킷을 발송하여 포트 오픈 및 수집기가 정상 동작하는지 점검합니다.

• logger 명령 사용

  # UDP/1514로 테스트 메시지 전송
  $ logger -n 127.0.0.1 -P 1514 -d "test syslog message from local"
  

7. 수집 확인

• 하기 쿼리 실행하여, 수집상태를 확인합니다.

  table SYSLOG_TABLE