2017년 6월 11일 일요일

클라우드 로그 분석 서비스 logz.io

어떤 분의 소개로 ELK 기반 로그 분석 서비스를 제공하는 logz.io란 사이트를 알게 됐다.


ELK는 Elasticsearch, Logstash, Kibana의 약자. 그러고 보니 엘라스틱서치 좋다는 얘기를 몇 번 들어본 듯 하다. 로그 검색/분석 분야에서 꽤 유명한 오픈소스인 듯.

가입하면 친절하게 설치 방법을 알려준다. 윈도우 이벤트 로그를 전송하기 위해 엘라스틱서치에서 제공하는 winlogbeat라는 에이전트 설치. 다음은 설정 파일(winlogbeat.yml) 수정 내역. DNS 관련 윈도우 이벤트만 전송해봤다. 설정 파일 수정 후, 'winlogbeat.exe'만 실행하면 됨.



엘라스틱서치는 로그 수집 및 가공(Logstash), 저장(Elasticsearch), 시각화(Kibana) 및 간편한 로그 전송 기능을 가진 여러 유형의 beat로 구성되어 있는데, 로그만 전송하면 나머지는 logz.io가 다 알아서 해준다. 다음은 이벤트 로그 전송 결과.


다음은 전송된 로그에 대한 키바나 시각화 결과.


14일간 무료로 사용할 수 있고, 유료는 월 89달러부터 시작한다. 얼마 전에 소개한 국내 클라우드 로그 분석 서비스 plura의 절반 정도 수준. 대신 제대로 사용하려면 엘라스틱서치에 대한 사전 지식이 필요해 보인다.

그나저나 엘라스틱서치 꽤 좋구나. 오랫만에 만나는, 써보고 싶어지게 만드는 소프트웨어. 왜 스플렁크 대항마 소리를 듣는지 알 것 같다. 이런 소프트웨어를 오픈소스로 공개해서 파이를 키우는 아메리카 형님들, 부럽다(..)

사실 IDS 등 사실관계가 해킹이라는 맥락으로 필터링된, 한마디로 부정확한 로그를 분석하는 입장에서, 이런 SIEM 류에는 별로 관심이 없다. 아무리 잘 수집하고, 예쁜 그래프로 보여준들, 로그 자체가 부정확하면 아무짝에도 쓸모 없기 때문.

하지만 사실관계가 그대로 기록된 로그를 분석하는 입장에서는 매우 매력적이라고 할 수 있다. 발생한 상태를 숫자로 시각화하고, 변화를 추적해볼 수 있으니까. 물론 엑셀로도 가능하지만, 빅데이터 세상이자나~^O^

그리고 클라우드가 확실히 편하긴 한 것 같다. 구글같은 공룡부터, 오픈소소를 이용하는 스타트업까지 뛰어드는 거 보면, 비용 절감 효과만 확실히 보여준다면 대세가 될 듯.

그런데 엘라스틱서치가 메모리를 꽤 잡아먹네. 몇 년 간 4기가로 잘 버텨왔는데, 엘라스틱서치 하나만 설치해서 실행해봤더니 메모리 모자라다고 난리. 오랫만에 노트북 분해해야겠다.

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스