Linux - syslog, rsyslogd, syslog 서버, logrotate 용어 설명

syslog란?

syslog란, Unix/Linux 기반 운영체제에서 시스템 로그를 생성하고 관리하는 프로토콜이다.

 

가끔 시스템 로그를 시스로그라고 부르는 부서도 있는데, 엄밀히 말하면 syslog는 절대 로그 자체를 뜻하는 단어는 아니다. 그저 서비스이며 프로토콜이다. (하지만 남이 그렇게 말하면 대충 알아들어주자.)

 

 

syslogd, rsyslogd란?

syslogd란, 예전 버전의 Unix/Linux 시스템에서 로그를 관리하는 데몬이다.

 

그리고 rsyslogd란, 최신 버전의 Unix/Linux 시스템에서 로그를 관리하는 데몬이다. syslogd 보다 기능이나 보안 면이 강화되었으므로 최신 버전에서는 rsyslogd 사용을 권고한다.

 

Unix/Linux 시스템은 부팅 시 syslogd 또는 rsyslogd 데몬을 자동으로 실행시켜 커널이나 애플리케이션에서 발생하는 로그를 자체적으로 생성하고 저장하고 관리한다.

 

Unix/Linux 시스템에서 /var/log 디렉터리를 살펴보면 현재 시스템에서 발생 중인 로그의 목록을 볼 수 있다. 이 로그를 실시간으로 쌓고 저장하는 서비스(데몬)가 바로 syslogd, rsyslogd다.

 

 

syslog 서버란?

syslog 서버란, 다른 시스템에서 발생하는 로그를 한 곳에서 보관하면서 여러 전산 시스템의 로그를 통합 관리해주는 서버다.

 

syslog 프로토콜은 자체적으로 발생하는 로그 뿐만이 아니라 다른 서버나 장비에서 발생하는 로그도 통합 관리할 수 있다. 만약 A 서버에서 syslog 서버로 Syslog Location을 정의하면, A 서버에서 발생하는 로그들이 syslog 서버로 전송된다. 그럼 syslog 서버 안에 A 서버에 대한 로그 파일이 생성되고 A 서버의 로그가 텍스트 형태로 저장된다.

 

이렇게 여러 서버에서 하나의 syslog 서버로 로그를 전송하여, 전체 전산 인프라에 대한 로그를 하나의 서버에서 집중 관리할 수 있다.

 

syslog 서버는 기본적으로 514 포트를 사용한다. TCP, UDP 모두 지원하지만 UDP로 로그 전송 시 침입자가 로그를 모니터링해서 시스템의 주요 정보를 빼갈 수 있으므로, 신뢰 기반의 TCP 사용을 권장한다.

 

반응형

 

logrotate(로그로테이트)란?

logrotate란, 서버의 로그를 자동으로 저장해주는 기능을 말한다.

 

syslog 서버는 여러 시스템의 로그 파일을 통합 관리하는 서버다. 그렇기 때문에 조금이라도 방치하면 디스크 용량 관리에 어려움이 생기게 되고, 디스크 Full로 인한 시스템 장애까지 유발할 수 있다.

 

이를 방지하기 위해 /etc/logrotate.conf 파일을 통해 logrotate 주기를 설정하여 로그가 자동으로 순환되면서 정리되도록 구성할 수 있다.