외부 syslog 서버 사용 시 고려 사항
변경 제안
PDF
외부 syslog 서버는 StorageGRID 외부에 있는 서버로, 단일 위치에서 시스템 감사 정보를 수집하는 데 사용할 수 있습니다. 외부 시스템 로그 서버를 사용하면 관리 노드의 네트워크 트래픽을 줄이고 정보를 보다 효율적으로 관리할 수 있습니다. StorageGRID 의 경우, 아웃바운드 syslog 메시지 패킷 형식은 RFC 3164를 준수합니다.
외부 syslog 서버로 보낼 수 있는 감사 정보 유형은 다음과 같습니다.
-
정상적인 시스템 작동 중 생성된 감사 메시지를 포함하는 감사 로그
-
로그인 및 루트로의 에스컬레이션과 같은 보안 관련 이벤트
-
발생한 문제를 해결하기 위해 지원 사례를 열어야 하는 경우 요청될 수 있는 애플리케이션 로그
외부 syslog 서버를 사용해야 하는 경우
대규모 그리드가 있거나 여러 유형의 S3 애플리케이션을 사용하거나 모든 감사 데이터를 보관하려는 경우 외부 시스템 로그 서버가 특히 유용합니다. 감사 정보를 외부 syslog 서버로 보내면 다음 작업을 수행할 수 있습니다.
-
감사 메시지, 애플리케이션 로그, 보안 이벤트 등의 감사 정보를 보다 효율적으로 수집하고 관리합니다.
-
감사 정보가 관리 노드를 거치지 않고 다양한 스토리지 노드에서 외부 시스템 로그 서버로 직접 전송되므로 관리 노드의 네트워크 트래픽이 줄어듭니다.
로그가 외부 syslog 서버로 전송될 때, 8,192바이트를 넘는 단일 로그는 외부 syslog 서버 구현의 일반적인 제한 사항을 준수하기 위해 메시지 끝에서 잘립니다. 
외부 시스템 로그 서버 장애 발생 시 전체 데이터 복구 옵션을 극대화하기 위해 최대 20GB의 감사 레코드 로컬 로그( localaudit.log)는 각 노드에서 유지됩니다.
외부 syslog 서버를 구성하는 방법
외부 syslog 서버를 구성하는 방법을 알아보려면 다음을 참조하세요."감사 메시지 및 외부 syslog 서버 구성" .
TLS 또는 RELP/TLS 프로토콜을 사용하도록 구성하려면 다음 인증서가 있어야 합니다.
-
서버 CA 인증서: PEM 인코딩으로 외부 syslog 서버를 검증하기 위한 하나 이상의 신뢰할 수 있는 CA 인증서입니다. 생략하면 기본 Grid CA 인증서가 사용됩니다.
-
클라이언트 인증서: PEM 인코딩된 외부 syslog 서버에 대한 인증을 위한 클라이언트 인증서입니다.
-
클라이언트 개인 키: PEM 인코딩된 클라이언트 인증서의 개인 키입니다.
클라이언트 인증서를 사용하는 경우 클라이언트 개인 키도 사용해야 합니다. 암호화된 개인 키를 제공하는 경우 암호문구도 제공해야 합니다. 암호화된 개인 키를 사용해도 보안상 큰 이점은 없습니다. 키와 암호를 저장해야 하기 때문입니다. 간편함을 위해 가능하다면 암호화되지 않은 개인 키를 사용하는 것이 좋습니다.
외부 syslog 서버의 크기를 추정하는 방법
일반적으로 그리드 크기는 초당 S3 작업 또는 초당 바이트 수로 정의된 필수 처리량을 달성할 수 있도록 조정됩니다. 예를 들어, 그리드에서 초당 1,000개의 S3 작업이나 초당 2,000MB의 객체 수집 및 검색을 처리해야 한다는 요구 사항이 있을 수 있습니다. 그리드의 데이터 요구 사항에 따라 외부 시스템 로그 서버의 크기를 조정해야 합니다.
이 섹션에서는 외부 syslog 서버가 처리해야 하는 다양한 유형의 로그 메시지의 속도와 평균 크기를 추정하는 데 도움이 되는 몇 가지 휴리스틱 공식을 제공합니다. 이는 그리드의 알려진 또는 원하는 성능 특성(초당 S3 작업)을 기준으로 표현됩니다.
추정 공식에서 초당 S3 작업 사용
그리드 크기가 초당 바이트로 표현된 처리량에 맞게 조정된 경우 추정 공식을 사용하려면 이 크기를 초당 S3 작업으로 변환해야 합니다. 그리드 처리량을 변환하려면 먼저 평균 개체 크기를 결정해야 합니다. 이는 기존 감사 로그 및 메트릭(있는 경우)의 정보를 사용하거나 StorageGRID 사용할 애플리케이션에 대한 지식을 사용하여 결정할 수 있습니다. 예를 들어, 그리드 크기가 초당 2,000MB의 처리량을 달성하도록 조정되었고 평균 객체 크기가 2MB인 경우 그리드 크기는 초당 1,000개의 S3 작업(2,000MB/2MB)을 처리할 수 있도록 조정된 것입니다.
|
|
다음 섹션의 외부 syslog 서버 크기 조정 공식은 일반적인 경우의 추정치(최악의 경우 추정치가 아님)를 제공합니다. 구성 및 작업 부하에 따라 수식에서 예측한 것보다 syslog 메시지 비율이나 syslog 데이터 볼륨이 더 높거나 낮을 수 있습니다. 이 공식은 지침으로만 사용하시기 바랍니다. |
감사 로그에 대한 추정 공식
그리드에서 지원할 것으로 예상되는 초당 S3 작업 수 외에 S3 작업 부하에 대한 정보가 없는 경우, 감사 수준을 기본값(모든 범주가 '일반'으로 설정되고, 저장소는 '오류'로 설정됨)으로 설정했다고 가정하고 다음 공식을 사용하여 외부 syslog 서버가 처리해야 하는 감사 로그 볼륨을 추정할 수 있습니다.
Audit Log Rate = 2 x S3 Operations Rate Audit Log Average Size = 800 bytes
예를 들어, 그리드 크기가 초당 1,000개의 S3 작업에 적합한 경우 외부 시스템 로그 서버는 초당 2,000개의 시스템 로그 메시지를 지원하도록 크기가 조정되어야 하며 초당 1.6MB의 속도로 감사 로그 데이터를 수신(일반적으로 저장)할 수 있어야 합니다.
업무량에 대해 더 많이 알면 더 정확한 추정이 가능합니다. 감사 로그의 경우 가장 중요한 추가 변수는 S3 작업 중 PUT(GETS 대비)의 비율과 다음 S3 필드의 평균 크기(바이트)입니다(표에 사용된 4자리 약어는 감사 로그 필드 이름입니다).
| 암호 | 필드 | 설명 |
|---|---|---|
SACC |
S3 테넌트 계정 이름(요청 발신자) |
요청을 보낸 사용자의 테넌트 계정 이름입니다. 익명 요청은 비어 있습니다. |
SBAC |
S3 테넌트 계정 이름(버킷 소유자) |
버킷 소유자의 테넌트 계정 이름입니다. 계정 간 또는 익명 액세스를 식별하는 데 사용됩니다. |
S3BK |
S3 버킷 |
S3 버킷 이름. |
S3KY |
S3 키 |
버킷 이름을 제외한 S3 키 이름입니다. 버킷에 대한 작업에는 이 필드가 포함되지 않습니다. |
S3 작업 중 PUT인 비율을 나타내기 위해 P를 사용합니다. 여기서 0 ≤ P ≤ 1입니다(따라서 100% PUT 워크로드의 경우 P = 1, 100% GET 워크로드의 경우 P = 0).
S3 계정 이름, S3 버킷, S3 키의 합의 평균 크기를 K로 나타내 보겠습니다. S3 계정 이름이 항상 my-s3-account(13바이트)이고, 버킷의 이름이 /my/application/bucket-12345(28바이트)와 같이 고정 길이이고, 객체의 키가 5733a5d7-f069-41ef-8fbd-13247494c69c(36바이트)와 같이 고정 길이라고 가정합니다. 그러면 K의 값은 90(13+13+28+36)입니다.
P와 K 값을 결정할 수 있다면 다음 공식을 사용하여 외부 시스템 로그 서버가 처리해야 할 감사 로그의 양을 추정할 수 있습니다. 이 때 감사 수준은 기본값(저장소를 제외한 모든 범주는 일반으로 설정, 저장소는 오류로 설정)으로 설정되어 있어야 합니다.
Audit Log Rate = ((2 x P) + (1 - P)) x S3 Operations Rate Audit Log Average Size = (570 + K) bytes
예를 들어, 그리드 크기가 초당 1,000개의 S3 작업에 맞게 조정되고, 작업 부하가 50% PUT이며, S3 계정 이름, 버킷 이름, 객체 이름의 평균 크기가 90바이트인 경우, 외부 syslog 서버는 초당 1,500개의 syslog 메시지를 지원하도록 크기를 조정해야 하며, 초당 약 1MB의 속도로 감사 로그 데이터를 수신(일반적으로 저장)할 수 있어야 합니다.
비기본 감사 수준에 대한 추정 공식
감사 로그에 제공된 수식은 기본 감사 수준 설정(모든 범주가 '일반'으로 설정되고, '저장소'는 '오류'로 설정됨)을 사용한다고 가정합니다. 기본이 아닌 감사 수준 설정에 대한 감사 메시지의 속도와 평균 크기를 추정하기 위한 자세한 공식은 제공되지 않습니다. 그러나 다음 표를 사용하면 비율을 대략적으로 추정할 수 있습니다. 감사 로그에 대해 제공된 평균 크기 공식을 사용할 수 있지만, "추가" 감사 메시지가 평균적으로 기본 감사 메시지보다 작기 때문에 과대 추정이 발생할 가능성이 있다는 점에 유의하세요.
| 상태 | 공식 |
|---|---|
복제: 감사 수준이 모두 디버그 또는 일반으로 설정됨 |
감사 로그 비율 = 8 x S3 작업 비율 |
삭제 코딩: 감사 수준이 모두 디버그 또는 일반으로 설정됨 |
기본 설정과 동일한 공식을 사용하세요 |
보안 이벤트에 대한 추정 공식
보안 이벤트는 S3 작업과 연관이 없으며 일반적으로 무시할 수 있는 양의 로그와 데이터를 생성합니다. 이러한 이유로 추정 공식은 제공되지 않습니다.
애플리케이션 로그에 대한 추정 공식
그리드에서 지원할 것으로 예상되는 초당 S3 작업 수 외에 S3 작업 부하에 대한 정보가 없는 경우 다음 공식을 사용하여 외부 syslog 서버에서 처리해야 하는 애플리케이션 로그 볼륨을 추정할 수 있습니다.
Application Log Rate = 3.3 x S3 Operations Rate Application Log Average Size = 350 bytes
예를 들어, 그리드 크기가 초당 1,000개의 S3 작업에 적합한 경우 외부 시스템 로그 서버는 초당 3,300개의 애플리케이션 로그를 지원하도록 크기가 조정되어야 하며 초당 약 1.2MB의 속도로 애플리케이션 로그 데이터를 수신(및 저장)할 수 있어야 합니다.
업무량에 대해 더 많이 알면 더 정확한 추정이 가능합니다. 애플리케이션 로그의 경우 가장 중요한 추가 변수는 데이터 보호 전략(복제 대 삭제 코딩), PUT(대 GET/기타)인 S3 작업의 비율, 다음 S3 필드의 평균 크기(바이트)입니다(표에 사용된 4자리 약어는 감사 로그 필드 이름입니다).
| 암호 | 필드 | 설명 |
|---|---|---|
SACC |
S3 테넌트 계정 이름(요청 발신자) |
요청을 보낸 사용자의 테넌트 계정 이름입니다. 익명 요청은 비어 있습니다. |
SBAC |
S3 테넌트 계정 이름(버킷 소유자) |
버킷 소유자의 테넌트 계정 이름입니다. 계정 간 또는 익명 액세스를 식별하는 데 사용됩니다. |
S3BK |
S3 버킷 |
S3 버킷 이름. |
S3KY |
S3 키 |
버킷 이름을 제외한 S3 키 이름입니다. 버킷에 대한 작업에는 이 필드가 포함되지 않습니다. |
크기 추정 예시
이 섹션에서는 다음과 같은 데이터 보호 방법을 사용하여 그리드에 대한 추정 공식을 사용하는 방법에 대한 예시 사례를 설명합니다.
-
복제
-
삭제 코딩
데이터 보호를 위해 복제를 사용하는 경우
P는 S3 작업 중 PUT인 비율을 나타내며, 여기서 0 ≤ P ≤ 1입니다(따라서 100% PUT 워크로드의 경우 P = 1, 100% GET 워크로드의 경우 P = 0).
K는 S3 계정 이름, S3 버킷, S3 키의 합의 평균 크기를 나타냅니다. S3 계정 이름이 항상 my-s3-account(13바이트)이고, 버킷의 이름이 /my/application/bucket-12345(28바이트)와 같이 고정 길이이고, 객체의 키가 5733a5d7-f069-41ef-8fbd-13247494c69c(36바이트)와 같이 고정 길이라고 가정합니다. 그러면 K의 값은 90(13+13+28+36)이 됩니다.
P와 K의 값을 결정할 수 있다면 다음 공식을 사용하여 외부 syslog 서버가 처리해야 할 애플리케이션 로그의 볼륨을 추정할 수 있습니다.
Application Log Rate = ((1.1 x P) + (2.5 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (220 + K)) + ((1 - P) x (240 + (0.2 x K))) Bytes
예를 들어 그리드 크기가 초당 1,000개의 S3 작업에 맞게 조정되고, 작업 부하가 50% PUT이며, S3 계정 이름, 버킷 이름, 객체 이름의 평균 크기가 90바이트인 경우, 외부 syslog 서버는 초당 1,800개의 애플리케이션 로그를 지원하도록 크기가 조정되어야 하며, 초당 0.5MB의 속도로 애플리케이션 데이터를 수신(일반적으로 저장)하게 됩니다.
데이터 보호를 위해 삭제 코딩을 사용하는 경우
P는 S3 작업 중 PUT인 비율을 나타내며, 여기서 0 ≤ P ≤ 1입니다(따라서 100% PUT 워크로드의 경우 P = 1, 100% GET 워크로드의 경우 P = 0).
K는 S3 계정 이름, S3 버킷, S3 키의 합의 평균 크기를 나타냅니다. S3 계정 이름이 항상 my-s3-account(13바이트)이고, 버킷의 이름이 /my/application/bucket-12345(28바이트)와 같이 고정 길이이고, 객체의 키가 5733a5d7-f069-41ef-8fbd-13247494c69c(36바이트)와 같이 고정 길이라고 가정합니다. 그러면 K의 값은 90(13+13+28+36)이 됩니다.
P와 K의 값을 결정할 수 있다면 다음 공식을 사용하여 외부 syslog 서버가 처리해야 할 애플리케이션 로그의 볼륨을 추정할 수 있습니다.
Application Log Rate = ((3.2 x P) + (1.3 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (240 + (0.4 x K))) + ((1 - P) x (185 + (0.9 x K))) Bytes
예를 들어 그리드 크기가 초당 1,000개의 S3 작업에 적합하고, 작업 부하가 50% PUT이며, S3 계정 이름, 버킷 이름, 객체 이름의 평균이 90바이트인 경우, 외부 syslog 서버는 초당 2,250개의 애플리케이션 로그를 지원하도록 크기를 조정해야 하며 초당 0.6MB의 속도로 애플리케이션 데이터를 수신(일반적으로 저장)할 수 있어야 합니다.