반복영역 건너뛰기
주메뉴 바로가기
본문 바로가기
제품/서비스
EMS Solution
Features
클라우드 관리
AI 인공지능
서버관리
데이터베이스 관리
네트워크 관리
트래픽 관리
설비 IoT 관리
무선 AP 관리
교환기 관리
운영자동화
실시간 관리
백업 관리
APM Solution
애플리케이션 관리
URL 관리
ITSM Solution
서비스데스크
IT 서비스 관리
Big Data Solution
SIEM
Dashboard
대시보드
Consulting Service
컨설팅 서비스
고객
레퍼런스
고객FAQ
문의하기
가격
자료실
카탈로그
사용자매뉴얼
회사소개
비전·미션
연혁
2016~현재
2000~2015
인증서·수상
투자정보
재무정보
전자공고
IR자료
새소식
공고
보도자료
오시는 길
채용
피플
컬처
공고
FAQ
블로그
열기
메인 페이지로 이동
블로그
기술이야기
블로그
최신이야기
사람이야기
회사이야기
기술이야기
다양한이야기
SMS를 통한 서버관리는 꼭 이렇게 해야만 한다?!
네트워크 정보 수집 프로토콜의 모든 것 (SNMP, RMON, ICMP, Syslog)
임형섭
2024.03.04
페이스북 공유하기
트위터 공유하기
링크드인 공유하기
블로그 공유하기
무선 AP를 WNMS를 통해 올바르게 관리하는 방법
지난 포스팅을 통해
NMS의 기본 개념
과
NMS의 구성요소와 역할
에 대해서 살펴보았는데요. 오늘은
네트워크 정보 수집을 위한 다양한 프로토콜
에 대해서 자세히 알아보겠습니다.
네트워크 프로토콜(Network Protocol)은 네트워크에 연결된 장비 간의 메시지 흐름을 통제하고 관리하는 기본적인 절차와 규칙을 정한 규약입니다.
웹 브라우저, 파일 전송, 이메일 송수신, 미디어 스트리밍 등과 같은 모든 온라인 활동을 가능하게 하기 때문에 네트워크 정보 전달의 핵심요소라고 할 수 있죠.
이번 시간에는 주요
네트워크 프로토콜인 ICMP, SNMP
를 중점적으로 알아보겠습니다.
ㅣICMP는 무엇이고 어떻게 동작하는가?
ICMP(Internet Control Message Protocol)는 주로 네트워크의 경로상의 문제나, 호스트(단말)의 문제 등을 파악할 때 사용하는 프로토콜인데요. 대표적인 서비스가 ping입니다. 구체적인 동작원리를 살펴보면 다음과 같습니다.
오류 보고
◾ 네트워크에서 데이터를 보낼 때 오류가 발생하면, 오류를 발생시킨 장비(예: 라우터, 스위치)는 오류 정보를 담아 ICMP 메시지를 처음 보낸 사람에게 전송합니다. 이를 통해 무엇이 잘못됐는지 정확히 파악하고 문제를 해결할 수 있습니다.
◾ 예를 들어 한 컴퓨터에서 인터넷을 통해 데이터를 보내는데, 그 데이터가 목적지에 도달하지 못하면 ICMP가 '이 주소로는 데이터를 배달할 수 없어!'라고 알려주는 역할을 하죠. 이렇게 사용자나 네트워크 관리자가 문제를 알리고 대응할 수 있게 도와주는 게 ICMP의 주요 역할입니다.
[그림] ICMP 동작 방식
진단 및 테스트
◾ 네트워크의 연결 상태나 성능을 테스트하기 위해 ICMP 에코 요청과 에코 응답 메시지를 사용합니다. 이를 통해 네트워크의 지연시간(latency)이나 패킷 손실(packet loss) 등을 측정할 수 있습니다. '핑(ping, Packet INternet Groper)'을 대표적인 예로 들 수 있습니다.
◾ 쉽게 표현하면 '너 지금 연결 잘 되어 있니?'라고 물었을 경우 대상 장비가 '응, 잘 되어 있어!'라고 대답하면 연결이 잘 되어 있는 것이고, 대답이 없거나 늦는 것과 같은 문제를 식별하는 것이죠.
ICMP도 좋은 도구이지만, 네트워크의 복잡성이 빠르게 증가하고 호스트 수가 증가하면서 ICMP만으로는 네트워크 관리가 어려워지는 문제가 발생했는데요. 이를 개선하기 위해서 탄생한 것이 바로 SNMP입니다.
우선 SNMP의 히스토리부터 살펴보겠습니다.
ㅣSNMP 히스토리: 각 버전별 개념과 차이점은?
SNMP(Simple Network Management Protocol)는 1988년에 아래의 세 가지 니즈에 부합하기 위해 등장했습니다.
◾ ICMP보다 많은 기능의 탑재
◾ 네트워크 문제를 직관적이고 쉽게 해결할 수 있어야 함
◾ 표준화된 프로토콜의 사용
이후 몇 가지 버전을 거쳐서 현재는 네트워크 장비를 모니터링하기 위한 프로토콜로 자리를 잡아서 대부분의 NMS 상에서 이용되고 있습니다.
잠깐 SNMP의 처리단계를 살펴보면, SNMP는 Get/Set/Trap의 단순 명령 구조로 구성되는데요, 메시지 타입별 역할은 아래와 같이 정리할 수 있습니다.
위와 같은 처리단계를 가지고 있는 SNMP는 보안 기능 강화 및 기능 개선을 위해서 초기 v1 버전에서 v3 버전까지 업그레이드됐습니다.
각 버전은 보안, 성능, 유연성 등의 측면에서 발전되었으며 현재는 SNMPv2가 가장 많이 사용되고 있죠. SNMP 버전 별 특징에 대해서 자세히 알아보겠습니다.
SNMP v1
가장 초기에 만들어진 프로토콜로 기본적인 정보만을 주고받아서 네트워크 장비들의 상태를 확인하고, 간단한 명령 정도만 내릴 수 있습니다. 보안에 많이 약한 편이고, 정보를 주고받을 때 특별한 암호화나 보호 방법을 사용하지 않기에 정보가 노출될 위험이 있습니다.
SNMP v2
SNMPv1의 단점을 해결하기 위해 개발된 버전입니다. 보안 기능과 네트워크 과부하, 관리 효율성 등에 대한 기능이 향상되었습니다.
MIB(Management Information Base) 구조를 개선하여, 새로운 데이터 타입과 객체 식별자(프로그래밍에서 특정 객체를 식별하는 데 사용되는 값이나 이름)을 도입했습니다. 이로써 더 많은 종류의 데이터를 효과적으로 다룰 수 있게 되었지만, v1과 호환이 안되는 문제가 있어 상용화에는 실패했습니다.
SNMP v2c (Community-Based Security)
SNMPv2c는 '커뮤니티 기반' 방식을 사용하며 'Community String' (공동체 문자열)을 이용합니다. Community String은 정보를 주고받기 위해 인증 과정에서 비밀번호를 사용하는 것으로, 학교에서 특정 비밀번호를 알고 있는 사람들만 특정 정보를 볼 수 있게 하는 것과 비슷합니다.
하지만 비밀번호가 복잡하지 않은 편이라, 조금 더 높은 보안을 필요로 하는 경우에는 적합하지 않을 수 있습니다. 현재 가장 많이 사용되고 있는 버전입니다.
SNMP v3
보안과 관리 기능을 대폭 강화한 버전입니다. SNMPv3는 정보를 주고받을 때 강력한 인증과 암호화를 사용하여, 네트워크 상의 중요한 정보를 안전하게 지킬 수 있습니다.
또한 복잡한 네트워크 환경에서 사용자가 많을 경우에도, 각 사용자의 접근 권한을 관리할 수 있는 기능이 있습니다. 하지만 이전 버전들보다 더 복잡한 보안 모델과 설정 등의 이유로 널리 사용되고 있지는 않습니다.
[그림] SNMP 버전과 수를 한눈에 볼 수 있는 제니우스 EMS 화면
참고로 SNMP에는 위와 같이 다양한 버전이 있기 때문에 모든 NMS는 제니우스처럼 어떤 버전으로 수집했는지와 수를 파악할 수 있어야 합니다.
이제 SNMP에 대해서 조금 더 자세하게 살펴보겠습니다.
ㅣSNMP 자세히 보기: MIB의 개념과 구조
MIB(Management Information Base)는 관리 정보 기반이라고 불립니다. SNMP를 통해 관리되어야 할 정보나 자원들을 모아둔 것으로, Manager와 Agent 간 정보를 주고받는 정보의 집합체입니다.
MIB에는 SNMP를 통해 주고받는 정보가 어떤 의미를 가지고 어떻게 사용될 수 있는지에 대한 정의가 포함되어 있습니다. 또한 각각의 정보는 '객체'라고 불리며, 이 객체들은 계층적으로 구성되어 있기에 관리하고자 하는 정보를 쉽게 찾을 수 있게 도와주죠.
대표적으로 CPU 사용량, 메모리 사용량, 포트의 up/down 같은 상태 정보 등이 MIB에 포함됩니다. 마치 항해사가 바다를 항해하기 위해 지도를 사용하는 것처럼, MIB를 통해 네트워크의 상태를 정확히 파악하고 필요한 조치를 취할 수 있습니다.
MIB의 구조를 자세히 살펴보면 우선 큰 나무를 뒤집어 놓았다고 생각한다면 이해하기 쉽습니다. 큰 나무의 밑동(Root) → 각각의 가지(Branches) → 잎사귀(Leavers)로 나누어져 내려오는 형태인데요, 부분별로 자세히 살펴보겠습니다.
◾
밑동(Root):
모든 MIB 트리의 시작점으로, 'iso(1)', 'org(3)', 'dod(6)', 'internet(1)' 등으로 구성되어 있습니다. 여기서 'internet'은 네트워크 장비와 관련된 표준 MIB를 나타냅니다.
◾
가지(Branches):
밑동에서 나온 큰 가지들은 네트워크 장비의 다양한 부분을 나타냅니다. 예를 들어 'mgmt(2)' 가지는 일반적인 관리 정보, 'private(4)' 가지는 각 제조업체의 고유 정보 등을 의미합니다.
◾
잎사귀(Leaves):
가장 작은 단위의 정보를 나타내는 부분으로 특정 장비의 상태, 성능 지표, 설정값 등 구체적인 데이터가 저장됩니다.
MIB에서는 네트워크 장비의 정보가 여러 '분류'로 나누어져 있는데, '네트워크 인터페이스'라는 분류 아래에는 네트워크 카드의 상태, 속도, 전송된 데이터의 양과 같은 정보들이 담겨 있습니다.
MIB는 복잡해 보일 수 있지만, 네트워크 장비와 관련된 정보를 체계적으로 관리하고 접근할 수 있도록 설계되어 있습니다. 이 구조 덕분에 네트워크 관리자는 네트워크의 건강 상태를 쉽게 체크하고 필요한 조정을 할 수 있습니다.
다음으로는 MIB 내의 각 객체를 고유하게 식별하는 OID에 대해서 알아보겠습니다.
ㅣSNMP 자세히 보기: OID 확인 방법과 수집항목
OID(Object Identifier)는 MIB 내에 포함되어 있는 각 개별 정도에 대한 ID 값입니다. 아래 그림에서 볼 수 있듯이, 트리의 하단 값이 OID인데 MIB의 각 개별 정보에 대한 ID를 의미합니다.
[그림] OID Tree 구조
대형 도서관에서 원하는 책을 찾을 때 책의 번호를 확인하여 빠르고 정확하게 찾는 것처럼, 특정 오브젝트의 ID(Num)을 부여한 게 OID입니다. OID는 포함하고 있는 각 정보를 숫자로 표현합니다.
◾
Enterprise OID:
네트워크 업계에서 공통으로 사용하는 OID
◾
Private OID:
각 네트워크 벤더사에서 사용하는 독자적인 OID
예를 들어 Juniper Networks라는 네트워크 스위치 벤더에서 사용하고 있는 OID 값을 [1.3.5.6.1.9 ]라는 전용 OID 값을 사용한다고 가정하면, Juniper Networks 라우터의 경우 뒤에 라우터 제품별 OID '11'이 더 붙은 [1.3.5.6.1.9.11 ] 형태의 OID로 구성됩니다.
[그림] 제니우스 예시 화면
지금까지 네트워크 모니터링에 필요한 ICMP, SNMP 그리고 MIB, OID에 대해 살펴봤습니다. 참고로 제니우스(Zenius)-NMS에서는 OID 사전을 제공하고 있으며, 이를 통하여 관리하고 싶은 항목의 MIB 항목 및 OID 정보를 쉽게 찾을 수 있습니다.
이제 SNMP의 주요 개념 중 하나인 SNMP Trap에 대해서 알아보겠습니다.
ㅣSNMP Trap의 개념 그리고 특징은?
Manager(관리자)는 Server(Agent)로 메시지 요청(Polling)을 하게 되고, Server(Agent)는 응답(Notifying)을 하는 방식으로 진행됩니다.
그런데 Server가 비정상적인 이벤트를 감지하면 Manager의 Polling을 기다리지 않고 바로 Manager에게 메시지를 보내는데요, 이 긴급 메시지를 Trap(트랩)이라고 합니다. 우리가 날씨에 대해서 찾아보지 않아도 폭설이 예상될 때 폭설을 경고하는 자동 알림 시스템과 비슷한 개념입니다.
[그림] SNMP 프로토콜 동작 방식
SNMP Trap은 일반적으로 높은 CPU 사용량이나 디스크 공간 부족과 같이 해결해야 할 문제를 나타냅니다. 중앙 모니터링 시스템으로 전송되어 분석 및 조치를 취할 수 있죠. 이를 통해 Manager는 큰 문제가 발생하기 전에 잠재적인 문제를 신속하게 식별하고 해결할 수 있습니다.
SNMP Trap의 방식과 기능을 네 가지로 나누어 살펴보겠습니다.
(1) 비동기적 알림
SNMP Trap는 주기적인 폴링이 아닌, 이벤트 기반의 알림을 통해 즉각적으로 대응할 수 있도록 비동기적인 방법을 제공합니다.
(2) 실시간 알림
SNMP Trap은 이벤트가 발생하는 즉시 알림을 제공하여, 실시간으로 네트워크 상태 및 장치 상태를 모니터링해서 문제 발생 시 즉각적인 대응과 조치를 가능하게 합니다.
(3) 이벤트 기반 모니터링
SNMP Trap은 장치나 응용 프로그램에서 특정 이벤트가 발생했을 때만 알림을 보내기 때문에, 불필요한 트래픽을 발생시키지 않습니다. 따라서 자원을 효율적으로 사용하면서 중요한 상태 변경을 식별합니다.
(4) 자동화된 대응
SNMP Trap을 사용하면 이벤트 발생 시, 자동으로 대응 조치를 취할 수 있는 자동화 시스템을 구축할 수 있습니다. 이를 통해 관리자의 개입 없이 특정 이벤트에 대한 대응을 효과적으로 수행할 수 있습니다.
[그림] Zenius Syslog 감시 설정 등록 페이지(위), Zenius Syslog 이벤트 페이지(아래)
이와 같은 SNMP Trap을 통해 빠르게 이상을 탐지하는 것이 중요한데요. 제니우스(Zenius)-Syslog와 Trap에서는 Syslog, Trap에 각각 특정 이벤트 조건을 설정하여 이벤트를 감지하고, 장애를 통보할 수 있는 기능을 제공하고 있습니다.
이제 마지막으로 SNMP 못지않게 네트워크 관리에 중요한 역할을 하는 Syslog, RMON에 대해서 알아보겠습니다.
ㅣ Syslog, RMON의 개념과 동작원리는?
Syslog
Syslog는 컴퓨터 시스템, 네트워크 장비, 보안 장비 등에서 일어나는 모든 상황과 변화를 서버에 기록하는 프로토콜입니다. 관리 대상인 장비에서 일어나는 모든 상황을 메모리에 기록하죠. 로그/오류 관리가 주 목적이고 Unix와 Linux에서 많이 사용됩니다.
대부분의 라우터와 스위치들은 Syslog 프로토콜을 이용하여 Log들을 Syslog 서버로 보내고, 수백수천 대의 장비에 일일이 접속하여 로그를 볼 수 없기 때문에 '중앙 집중식'으로 관리합니다.
작업 방식은 주로 Client-Push 모델로 이러우지고 있고, 장비에서 일어나는 모든 상황 변화를 Layer4 프로토콜이 메모리에 기록하며, Syslog 서버는 UDP 포트 514에서 메세지를 수신합니다.
Syslog 수집항목은 시스템 운영/네트워크/보안/애플리케이션 등과 관련된 로그를 수집 및 분석하고, 각 항목별로 오류와 트랜잭션 등에 대한 내용을 확인합니다.
출처ⓒ viettelco.net
RMON
RMON(Remote Network Monitoring)은 네트워크 장비나 서버에서 발생하는 트래픽과 문제들을 원격에서 감시하기 위해 만들어진 프로토콜로, SNMP보다 확장된 개념이라고 할 수 있습니다.
네트워크 관리자는 RMON을 통해, 네트워크의 성능을 측정하고 문제가 발생했을 때 신속하게 해결할 수 있습니다. 회사에서 인터넷이 느려지거나 연결이 되지 않을 때 RMON을 사용하면 원인을 빠르게 찾아내어 문제를 해결할 수 있죠.
RMON과 SNMP의 연관성을 우선 아래 이미지를 통해 살펴보겠습니다.
출처ⓒ dpstele.com/blog/what-is-rmon.php
좀 더 자세히 살펴보면
◾ RMON은 SNMP 위에서 작동하며, SNMP 보다 더 광범위한 데이터를 수집/분석할 수 있는 기능을 제공합니다.
◾ SNMP가 네트워크의 '기본적인 통신'을 담당한다면, RMON은 그 위에서 보다 '세밀한 관찰과 분석'을 가능하게 합니다.
◾ RMON은 SNMP의 특정 데이터를 사용하여 네트워크 트래픽 패턴이나, 성능 문제, 네트워크 내의 비정상적인 활동 등을 실시간으로 감시하고 기록할 수 있게 해줍니다.
◾ RMON에서 Probe라는 수행 장비를 사용하며, 네트워크 트래픽 및 통계 수집 그리고 성능 모니터링을 위해 활용합니다.
결과적으로 RMON의 기능을 통해 네트워크의 문제를 더 빨리 발견하고, 효율적으로 대응할 수 있죠.
마지막으로 SNMP, RMON, ICMP, Syslog의 주요 내용들을 아래 표를 통해 한눈에 살펴보겠습니다.
。。。。。。。。。。。。
지금까지 네트워크 정보 수집을 위한 다양한 프로토콜의 종류와 특징에 대해서 알아보았습니다. 효과적인 네트워크 관리를 위해서 혁신적인 기술들이 많이 개발되고 있는데요, 이를 활용해서 성공적으로 네트워크를 운영하시기를 바라겠습니다!
#네트워크 프로토콜
#SNMP
#RMON
#ICMP
#Syslog
임형섭
프리세일즈팀
안정적이고 효과적인 비즈니스 운영을 위한 고객 맞춤형 IT 인프라 모니터링 시스템을 제안합니다.
필진 글 더보기
목록으로
추천 콘텐츠
이전 슬라이드 보기
SIEM을 도입해야 하는 5가지 이유
SIEM을 도입해야 하는 5가지 이유
IT 산업의 발전에 따라 다양한 장비와 시스템에서 매일 엄청난 양의 로그가 만들어지고 있습니다. 보안 장비, 서버, 미들웨어 등에서 생성되는 로그들이 대표적입니다. 이러한 로그들을 모두 취합하여 관리하게 되면, 1년 동안 저장되는 데이터는 테라바이트(TB) 단위의 디스크 용량이 필요한데요. 이는 인프라 관리에 있어 큰 부담이 될 수 있겠죠. 이때 통합 로그 관리 시스템인 SIEM(Security Information and Event Management)이 해결책이 될 수 있습니다. 그렇다면 SIEM은 무엇일까요? SIEM은 보안 정보 관리(SIM, Security Information Management)와 보안 이벤트 관리(SEM, Security Event Management)의 이점을 결합한 로그 관리 도구입니다. 즉 수집한 로그를 통해 정보를 분석하여 보안상 위협이 되는 이벤트를 실시간으로 감지하는 솔루션이라고 할 수 있죠. 그래서 이번 시간에는 SIEM이 왜 필요한지, 그리고 어떤 특장점이 있는지 알아보도록 하겠습니다. │SIEM, 왜 필요할까? SIEM이 필요한 가장 큰 이유는 빅데이터 처리와 보안적 측면에서 설명할 수 있습니다. 빅데이터 로그는 보안 사고가 발생한 근거를 찾아내는 중요한 증거 자료로 활용됩니다. 예를 들어 대형 온라인 쇼핑몰에서는 수많은 거래가 이루어지며 해커의 침입 시도가 발생할 수 있는데요. 이러한 기록이나 비정상적인 접근을 실시간으로 감지하여 문제가 생기기 전에 미리 대응할 수 있습니다. 이처럼 보안 위협에 효과적으로 대응하려면, 수집한 로그 데이터에 대한 체계적인 분석이 필요합니다. 관리되지 않은 로그는 IT 시스템의 장애나 문제 발생 시 원인을 찾아내기 어렵기 때문이죠. 따라서 로그 분석을 위해 로그를 정규화하여 저장하고, 효율적으로 관리하기 위한 로그 압축 보관 툴이 필요합니다. 또한 시스템 로그와 애플리케이션 로그 등 각 IT 인프라에서 발생하는 수많은 로그들은 빅데이터의 영역에 속합니다. 따라서 이를 중앙집중적으로 처리하여 효과적으로 분석하고 관리하는 도구가 필요하죠. │SIEM의 주요구성 SIEM은 네트워크 범위의 로그를 수집하고, 저장하며, 분석하는 기능을 갖고 있는데요. SIEM의 구성도 그림을 통해 좀 더 자세히 살펴보겠습니다. 로그 수집 SIEM은 서버, 네트워크, 보안장비, 클라우드 등 다양한 IT 인프라에서 발생하는 로그 데이터를 Syslog나 SNMP 등을 이용해 로그와 이벤트를 모아 Collector에 수집합니다. 이를 위해 직접 대상 장비에 Agent/Agentless 방식을 활용하거나, 클라우드의 경우 API 연동을 통해 다양한 방식으로 로그를 수집하죠. 실시간으로 발생되는 로그 수집은 물론, 방화벽/IDS/IPS 등 다양한 보안 장비에 대한 로그 데이터 수집이 필요합니다. 로그 저장 로그 수집뿐만 아니라 로그 저장 역시 중요합니다. 주로 ELK Stack을 활용하거나 수집 로그에 대한 분산 처리/저장 엔진을 활용하여, 로그를 저장하게 되는데요. 주로 관계형 데이터베이스에 자제적으로 저장하는 경우가 많습니다. 인덱싱 속도와 효율을 높이기 위해 ELK Stack을 활용하여, 로그를 저장하는 것 역시 좋은 대안이 될 수 있죠. 로그 분석 로그를 수집하고 저장한 다음 단계는 로그를 분석하는 것입니다. 이때 중요한 과정이 '파싱(Parsing)'입니다. 파싱은 비정형 로그 데이터를 쿼리가 가능한 구조화된 형태로 변환하는 과정입니다. 쉽게 말해, 파싱은 비정형 로그 데이터를 자르고 인덱스를 추가하여(key-value 형식으로) 보다 쉽게 식별할 수 있습니다. 이처럼 파싱을 통해 로그를 유형별로 분류하고, 정규화 및 표준화 작업을 거쳐, 분석에 필요한 정제된 로그를 추출합니다. 이렇나 정제된 로그는 분석 과정에서 매우 유용하게 사용됩니다. 시각화 및 리포팅 수집된 로그의 핵심 지표와 요약 이벤트를 설정하여, 시각화해서 볼 수 있습니다. 또한 사용자 정의 기반의 대시보드를 통해, 다양한 컴포넌트를 활용한 로그 데이터의 시각화와 리포팅 기능 역시 제공해야 합니다. │SIEM 도입 시 얻을 수 있는 5가지 앞에서도 SIEM에 대한 이점을 잠깐 언급했지만, 사실 이밖에도 여러 특장점이 있는데요. 그 중 대표적으로 5가지를 소개해 드릴게요. 첫째, 보안 수준의 강화 기존의 ESM(Enterprise Security Management)과는 다르게 SIEM은, 많은 양의 로그 데이터를 상관 분석하여 보안 위협을 찾아낼 수 있습니다. 기업 내 정보시스템의 보안 이벤트를 관리해서, 내부와 외부를 가리지 않고 기업 전반의 통합 보안 관리가 가능해지죠. 둘째, 통합 로그 관리 [그림] Zenius SIEM : 요약뷰 다양한 레거시 인프라와 클라우드에서 발생하는 로그를 하나의 플랫폼으로 일원화하여, 로그 관리가 훨씬 쉬워집니다. 장기간 데이터를 저장하고 모든 인프라에서 발생하는 로그를 파싱하여 관리하면, 관리 포인트를 한 곳으로 모을 수 있어 기업에서는 비용과 시간을 크게 절약할 수 있습니다. 셋째, 인덱싱을 통한 로그 검색 [그림] Zenius SIEM : 호스트 및 로그유형 트리 검색 기능 호스트 및 로그 유형 별로 검색어와 조건을 설정해서 로그를 검색할 수 있습니다. 특정 시간대나 특정 검색어를 통해, 대용량의 로그 중 일부만을 추출하여 분석할 수 있어 로그 분석이 훨씬 용이해집니다. 넷째, 보안 감시 설정 및 상관 분석 [그림] Zenius SIEM : 상관분석 감시설정 수집된 다양한 로그들의 상관관계를 분석하면 더 가치 있고 유의미한 이벤트를 확인할 수 있습니다. 예를 들어 방화벽 접속 로그에서 유해 IP나 등록되지 않은 IP로의 접근을 이벤트로 설정하면, 유해 IP를 실시간으로 확인할 수 있습니다. 또한 보안 위협 상황과 거래 이상 탐지 등 시나리오 기반으로 이벤트를 정의하고 자동으로 탐지할 수 있는 상관 분석 기능도 사용할 수 있습니다. 다섯째, 컴플라이언스 준수를 위한 측면 최근 몇 년간 기업들이 고객의 개인정보를 더 잘 보호하도록 법이 강화되었습니다. 특히 해킹과 개인정보 침해 사건이 늘어나면서 기업들이 보안을 철저히 해야 할 필요성이 커졌는데요. SIEM을 이용하면 이러한 보안 요구사항을 충족하는 데 큰 도움이 됩니다. KISA에서 권고하는 정보보호 및 개인정보보호 관리체계(ISMS-P)에서는 서버, 보안 시스템 등에 대한 사용자 접속 기록과 시스템 로그를 6개월 이상 저장하고, 이를 안전하게 관리해야 한다고 명시하고 있습니다. 또한 개인정보보호법과 정보통신망법에 따르면 로그는 1년 이상 보관해야 하고, 위조나 변조를 막기 위해 물리적인 서버에 저장하고 정기적으로 백업을 해야 하죠. 하지만 SIEM 시스템을 도입하면 이러한 법적 요구사항을 쉽게 준수할 수 있습니다. 따라서, 기업은 고객의 개인정보를 안전하게 보호하고, 침해사고 발생 시 빠르게 대응할 수 있습니다. 이번 시간에는 SIEM이 왜 중요하고, 어떤 특장점이 있는지 자세히 알아보았습니다. 요즘 기업에서는 보안 관련 요소들을 각각 관리하는 것이 쉽지 않습니다. 특히 규모가 큰 기업이나 보안이 중요한 공공기관의 경우에는 통합 관리 시스템이 꼭 필요하죠. 따라서, Zenius SIEM과 같은 솔루션을 통해 로그 관리를 안정적이고 효율적으로 해보는 건 어떨까요? ?더보기 Zenius SIEM으로 로그 관리하기
2024.07.29
서버 모니터링 솔루션의 필수조건과 최신 트렌드
서버 모니터링 솔루션의 필수조건과 최신 트렌드
안정적인 IT 서비스 운영을 위해서 서버 모니터링 솔루션을 도입, 운영하는 경우가 많습니다. 디지털 전환과 클라우드 컴퓨팅의 확산, IoT와 AI 기술의 발전으로 인해서 더욱 다양한 IT 서비스가 운용되고 그를 뒷받침할 서버 시스템의 수도 점증하면서 서버 모니터링 솔루션의 중요성은 더욱 높아질 것으로 예상됩니다. │서버 모니터링 솔루션이 갖춰야 할 필수조건은? 서버 모니터링 솔루션 활용의 가장 큰 목적은 서버의 성능, 안정성을 실시간으로 파악해서 이상 상황이나 장애를 사전에 예방하거나 빠르게 대응하는 것입니다. 그리고 이 목적을 이루기 위해서는 아래와 같은 조건을 반드시 갖추고 있어야 합니다. · 실시간 모니터링 서버의 성능, 가용성, 보안 상태를 실시간으로 모니터링할 수 있는 기능은 서버 모니터링 솔루션의 핵심 요소입니다. 실시간 모니터링을 통해 관리자는 서버의 현재 상태를 즉시 파악하고, 시스템에서 발생하는 문제를 조기에 발견할 수 있습니다. 예를 들어, CPU 사용률이 급격히 증가하거나 네트워크 트래픽이 비정상적으로 많아지는 경우, 실시간 모니터링을 통해 문제를 즉시 감지하고 대응할 수 있습니다. 이를 통해 다운타임을 최소화하고, 서비스를 중단없이 제공할 수 있습니다. · 광범위한 성능 데이터 수집 서버 모니터링 솔루션은 다양한 성능 지표를 수집할 수 있어야 합니다. 여기에는 CPU 사용률, 메모리 사용량, 디스크 I/O, 네트워크 트래픽 등의 하드웨어관련 데이터뿐만 아니라 애플리케이션과 관련한 데이터도 포함됩니다. 예를 들어, 데이터베이스 쿼리 응답 시간, 웹 서버의 요청 처리 시간 등 애플리케이션의 성능을 상세히 분석할 수 있는 데이터가 여기에 포함됩니다. 이러한 데이터를 통해 시스템의 전반적인 상태를 정확히 파악하고, 서버의 병목 현상을 식별하며 성능을 최적화할 수 있습니다. · 경고 및 알림 기능 서버 모니터링 솔루션은 설정된 임계 값을 초과하거나 이상 징후가 발견되었을 때 즉시 관리자에게 알림을 보내는 기능을 갖춰야 합니다. 이메일, SMS, 푸시 알림 등 다양한 경고 수단을 지원하여, 문제가 발생했을 때 신속하게 대응할 수 있도록 해야 합니다. 예를 들어, 서버의 디스크 사용량이 90%를 초과하거나 네트워크 지연 시간이 급격히 증가할 때, 서버 모니터링 시스템의 경고 알림을 통해 관리자는 즉시 문제를 인지하고 조치를 취할 수 있습니다. 이를 통해 심각한 장애로 발전하기 전에 문제를 해결할 수 있습니다. · 확장성과 유연성 기업의 성장에 따라 추가되는 서버와 애플리케이션을 신속히 모니터링할 수 있도록 확장성이 있어야 합니다. 이는 특히 클라우드 환경에서 중요합니다. 클라우드 인프라를 사용 중인 기업이 수시로 서버를 추가하거나 제거하는 상황이 빈번하게 발생하기 때문입니다. 또한, 대규모 환경에서도 안정적으로 작동하며, 여러 데이터 센터와 클라우드 리전에서 발생하는 데이터도 효율적으로 처리할 수 있어야 합니다. · 대시보드 및 시각화 도구 서버의 상태를 직관적으로 이해할 수 있도록 다양한 대시보드와 시각화 도구를 제공해야 합니다. 이는 관리자가 시스템 상태를 한눈에 파악하고, 문제의 원인과 영향을 빠르게 분석할 수 있게 합니다. 예를 들어, 실시간 대시보드를 통해 서버의 현재 상태를 모니터링하고, 트렌드 분석을 통해 장기적인 성능 변화를 파악할 수 있습니다. 세부적이고 다양한 차트와 그래프는 데이터를 시각적으로 표현하여, 복잡한 데이터를 쉽게 이해하고 분석할 수 있도록 도와줍니다. 대시보드 및 시각화도구 예시(Zenius SMS) · 로그 관리 및 분석 서버와 애플리케이션 로그를 수집하고 분석할 수 있는 기능은 문제의 근본 원인을 파악하고 보안 위협을 탐지하는 데 필수적입니다. 로그 데이터는 실시간 모니터링과 보완되어, 시스템 이벤트의 연속성과 이슈 발생의 맥락을 이해하는 데 도움을 줍니다. 예를 들어, 서버의 로그를 통해 특정 시간에 발생한 오류를 분석하고, 이를 통해 시스템의 취약점을 식별하고 개선할 수 있습니다. 또한, 로그 데이터를 기반으로 보안 위협을 탐지하고 대응할 수 있습니다. · 자동화된 대응 서버 모니터링 솔루션은 문제가 발생했을 때 자동으로 대응하는 기능을 제공해야 합니다. 예를 들어, 서버 재부팅, 서비스 재시작, 자원 확장 등의 자동화된 조치를 지원하여, 인적 오류를 줄이고 문제 해결 시간을 단축할 수 있습니다. 이러한 자동화된 대응은 설정된 조건에 따라 다양한 조치를 자동으로 수행하여, 관리자의 개입 없이도 문제를 해결할 수 있도록 합니다. 이는 시스템의 안정성과 신뢰성을 높이는 데 기여합니다. · 유연한 통합 서버 모니터링 솔루션은 다른 IT 관리 도구와 쉽게 통합할 수 있어야 합니다. 예를 들어, CI(지속적 통합)/CD(지속적 배포) 프로세스, ITSM(Information Technology Service Management), 클라우드나 마이크로 서비스 아키텍처 관리 솔루션 등과의 연동이 필요합니다. 이는 모니터링 데이터의 활용 범위를 넓히고, 전체 IT 환경의 효율성을 높이는 데 도움을 줍니다. 또한 서버 뿐 아니라 네트워크, DB, 애플리케이션 모니터링 툴과의 통합도 가능해야 합니다. · 보안 서버 모니터링 솔루션을 통해 비정상적인 활동을 실시간으로 감지하여 보안위협을 예방할 수 있어야 합니다. 이와 동시에 서버 모니터링 솔루션 자체의 보안도 중요합니다. 데이터 암호화, 접근 제어, 감사 로그 등의 보안 기능을 갖추고 있어야 합니다. 이를 통해 모니터링 시스템이 외부 위협으로 부터 안전하게 운영될 수 있습니다. 이와 더불어 각 사용자의 필요에 맞추어 세부적인 기능을 조정할 수 있는 기능과 지속적인 원활한 업그레이드와 기술 지원도 서버 모니터링 솔루션이 갖춰야할 중요한 조건입니다. │서버 모니터링 솔루션의 최신 트렌드는? 서버 모니터링 솔루션은 기술의 발전과 변화하는 비즈니스 요구에 발맞추어 빠르게 진화하고 있습니다. 대표적인 최근의 변화와 트렌드를 알아보겠습니다. · 클라우드 네이티브 기반 모니터링 클라우드 네이티브 기반의 서버 모니터링 솔루션은 클라우드 인프라의 복잡성과 변화하는 특성을 효과적으로 관리할 수 있습니다. 클라우드 서비스 제공업체의 API와 통합되어 인프라 상태를 실시간으로 파악하고 자동으로 조정할 수 있어, 서비스 중단을 최소화하고 사용자 경험을 높여주기 때문에, 많은 기업이 클라우드 네이티브 기반의 서버 모니터링 솔루션을 채택하고 있습니다. · 인공지능 및 머신러닝 기반 모니터링 인공지능과 머신러닝 기술이 서버 모니터링 솔루션에 적용되고 있습니다. 이를 통해 대용량 로그 데이터를 빠르게 분석하여 문제의 근본 원인을 빠르게 파악하고 자동으로 대응할 수 있습니다. 서버 모니터링 솔루션은 AI와 ML을 기반으로 정확하고 자동화된 예측과 분석, 대응이 가능한 효과적이고 신뢰도 높은 IT 인프라 관리 솔루션으로 발전하고 있습니다. · 마이크로서비스 아키텍처(MSA) 환경 모니터링 MSA 환경에서의 서버 모니터링 솔루션은 분산 시스템 내 각 마이크로서비스를 개별적으로 모니터링하고, 실시간 데이터 수집 및 분석을 통해 문제를 즉시 발견 및 대응하며, 자동화된 경고 시스템으로 빠른 문제 해결을 지원하고 있습니다. 또한 Docker와 Kubernetes 같은 컨테이너 및 오케스트레이션 도구와의 통합도 중요한 트렌드로 자리잡고 있습니다. · 자동화된 대응 및 자가 치유 문제가 발생했을 때 자동으로 대응하는 시스템이 도입되고 있습니다. 예를 들어, 서버가 과부하 상태일 때 자동으로 서버를 확장하거나, 특정 오류가 발생했을 때 자동으로 재부팅하는 등의 기능이 포함됩니다. 이러한 자동화된 대응은 시스템의 가용성과 안정성을 높이는 데 기여합니다. 또한 자가 치유 기능은 시스템이 자동으로 문제를 감지하고 수정하는 능력을 갖추게 하여, 관리자의 개입 없이도 안정적인 운영을 가능하게 합니다. · 통합 모니터링 다양한 모니터링 툴과 시스템을 통합하여 중앙 집중형 대시보드에서 모든 인프라와 애플리케이션을 모니터링하는 것이 중요해지고 있습니다. 따라서 통합된 뷰를 통한 모니터링의 효율성이 높아지고 있습니다. 예를 들어 관리자는 다양한 모니터링 솔루션에서 수집된 데이터를 통합된 대시보드에서 한눈에 확인할 수 있습니다. 이러한 대시보드는 문제 발생 시 원인을 신속히 파악하고, 적합한 조치를 취할 수 있도록 도와줍니다. · 비용 및 자원 최적화 비용 및 자원 최적화는 지속해서 서버 모니터링 솔루션의 핵심 요소로 꼽히고 있습니다. 따라서 서버 모니터링 솔루션은 서버 자원의 사용 패턴을 분석하고, 불필요한 자원 낭비를 줄이며, 자원을 효율적으로 배분할 수 있는 기능에 중점을 맞춰서 발전하고 있습니다. · 보안 중심 모니터링 보안 위협이 증가함에 따라 보안 중심의 모니터링이 중요해지고 있습니다. 따라서 서버 모니터링 솔루션 자체의 기능을 강화하거나, SIEM(Security Information and Event Management)과 같은 보안전문 솔루션과의 연동을 통해 보안 로그와 이벤트 데이터를 분석하여 잠재적인 보안 위협에 빠르게 대처하는 사례가 늘고 있습니다. 이와 같이 서버 모니터링 솔루션은 클라우드나 마이크로 시스템 아키텍처와 같은 시스템의 환경의 변화에 따라, 인공지능과 같은 기술적 진화에 따라, 또한 보안이나 비용절감과 같은 사용자들의 니즈의 변화에 따라 다양한 방향으로 진화, 발전하고 있습니다. 고객 서버 시스템 환경이나 서비스의 특성이나 고객의 특정 니즈에 따라 최신 트랜드를 잘 반영한 솔루션을 선택하여 서버 시스템의 운용 효율과, IT 서비스의 안정성을 제고하는 것이 IT 운용 부서의 주요 과제 중의 하나가 되고 있습니다.
2024.08.05
리눅스와 윈도우의 시스템 로그를 효과적으로 모니터링하는 법
리눅스와 윈도우의 시스템 로그를 효과적으로 모니터링하는 법
대부분의 운영체제(OS)와 프로그램은 시스템 상태를 기록하기 위해 다양한 로그를 생성합니다. 이 로그들은 시스템의 장애를 감지하고, 예측하며, 침입을 탐지하고, 서비스가 정상적으로 작동하는지를 확인할 수 있습니다. 그렇다면 모든 운영체제가 동일한 방식으로 로그를 남길까요? 정답은 NO!입니다. 우리가 주로 사용하는 리눅스(Linux)와 윈도우(Window) 운영체제는 로그 관리 방식이 서로 다릅니다. 리눅스는 여러 위치에 로그를 분산해 저장하는 반면, 윈도우는 이벤트 로그라는 중앙 집중화된 방식으로 관리합니다. 따라서 이번 글에서는 각 운영체제의 로그 체계가 어떻게 구성되어 있는지, 이러한 로그들이 왜 중요하고, 효과적으로 모니터링하는 방법은 무엇인지 살펴보도록 하겠습니다. 1. 리눅스 로그 종류 리눅스의 주요 로그는 /var/log 디렉토리에 저장되며, 파일 형태 또는 바이너리(이진법) 형태로 기록됩니다. 이 로그 파일들은 특정 상황을 기록하고, 장애 발생 시 필요한 정보를 제공합니다. 리눅스 로그는 크게 시스템 로그, 부팅 로그, 보안 로그로 분류하여 관리합니다. 시스템 로그는 syslog나 rsyslog에 의해 관리되며, 설정에 따라 특정 항목을 제외한 대부분의 시스템 이벤트가 기록됩니다. 시스템 로그에는 메모리 부족으로 인한 성능 저하나 애플리케이션 종료와 같은 자원 문제뿐 아니라, 네트워크 연결 오류로 인해 네트워크 인터페이스 카드(NIC)에서 발생한 문제, 프로그램이 시스템 내 잘못된 경로나 리소스에 접근하려 할 때의 오류가 포함됩니다. 문제가 발생했을 때 가장 먼저 확인하는 로그 파일로, 문제 원인 분석과 해결에 중요한 역할을 합니다. 서버에는 운영 체제(OS) 외에도 데이터베이스(DB), 웹 애플리케이션 서버(WAS) 등 다양한 애플리케이션이 실행됩니다. 이때 시스템 자원 문제는 애플리케이션 성능을 저하시킬 수 있고, 반대로 애플리케이션 오류가 시스템에 영향을 주기도 합니다. 시스템 로그는 이러한 상호작용을 파악하고 장애를 조기에 진단하는 데 필요한 데이터를 제공합니다. 부팅 로그는 서버가 시작될 때 발생하는 주요 이벤트를 기록하여 시스템이 정상적으로 초기화되었는지 확인하는 데 사용됩니다. 이 로그는 커널 업데이트나 BIOS 펌웨어 변경으로 서버를 재부팅하거나 설정이 변경될 때 유용한 자료가 됩니다. 부팅 로그는 주로 두 파일로 구성되는데요. boot.log는 각 서비스가 정상적으로 시작되었는지 기록하고, dmesg는 커널이 기록한 하드웨어 상태와 초기 설정 정보를 포함합니다. 이를 통해 서버가 정상적으로 부팅되지 않거나 서비스가 제대로 작동하지 않을 때 문제의 원인을 파악할 수 있습니다. 보안 로그는 서버에 접근한 기록과 인증 정보를 담고 있습니다. 예를 들어 telnet, SSH, FTP 등을 통해 서버에 로그인할 때마다 어떤 방식을 접속했는지 secure 로그 파일에 기록됩니다. 보안 로그는 특히 해킹 시도나 비정상적인 접근이 발생했을 때 중요한 자료가 되며, 반복적인 로그인 실패와 같은 의심스러운 활동을 추적하는 데 사용됩니다. 시스템 로그와 보안 로그는 로그 레벨에 따라 로깅의 내용이 달라집니다. 로그 레벨이 높아지면 더 많은 정보가 기록되지만, 그만큼 불필요한 내용까지 출력되기 때문에 상황에 맞게 조절해야 합니다. 특히 ERR 등급 이하의 로그는 시스템이나 프로그램의 정상 작동에 영향을 줄 수 있는 항목이기 때문에, 이러한 이벤트가 발생하면 빠르게 대응하는 것이 필요합니다. 2. 윈도우 로그 종류 윈도우 로그는 이벤트 로그 형식으로 중앙 집중화되어 관리됩니다. 시스템 로그가 한 곳에서 관리되기 때문에 문제가 발생했을 때 접근이 용이합니다. 이벤트 로그는 [시작] → [제어] → [관리 도구] → [이벤트 뷰어] 또는 eventvwr 명령어로 쉽게 확인할 수 있습니다. 윈도우의 이벤트 로그는 시스템, 보안, 애플리케이션, 설치 이렇게 네 가지 카테고리로 통합되어 관리됩니다. 각 이벤트에는 고유한 ID가 부여되어 있어, 문제 발생 시 검색 기능을 통해 빠르게 조회할 수 있습니다. 프로그램이 충돌하여 종료되거나 하드웨어 장애 같은 시스템 문제가 발생하면 이벤트 로그에 오류로 기록되며, 이러한 오류 이벤트가 발생하면 신속한 대응이 필요합니다. 3. 효율적으로 시스템 로그 모니터링하는 법 리눅스와 윈도우가 서로 다른 방식으로 시스템 로그를 관리함에 따라, 각각의 로그 시스템의 상태를 실시간으로 파악하고 문제 발생 시 신속하게 대응할 수 있어야 합니다. 하지만 서버의 개수가 많아질수록 이러한 로그들을 24시간 내내 모니터링 하기란 쉽지 않습니다. 특히 예상치 못한 상황에서 빠르게 대응하려면 효율적인 모니터링 솔루션이 필수입니다. 로그 모니터링이 가능한 Zenius SMS은 시스템 로그의 잠재적인 문제를 사전에 감지하고, 문제가 발생했을 때 즉각적인 알림을 통해 서비스가 안정적으로 운영될 수 있도록 지원합니다. 모니터링이 필요한 로그 파일 경로와 특정 장애 문자열을 설정하면, 커널로그뿐만 아니라 운영 중인 다양한 서비스 로그까지 모니터링할 수 있습니다. 다음 내용을 통해 좀 더 자세한 기능을 살펴보겠습니다. 3-1. 로그 감시 (일반 정규식) Zenius SMS는 기본적으로 일반 정규식을 사용하여 특정 장애 문자열이 포함된 로그 항목을 간단히 감지할 수 있습니다. 예를 들어 'error'와 같은 특정 단어를 설정해두면, 해당 단어가 포함된 로그가 발생할 때마다 자동으로 탐지하여 관련 이벤트로 기록됩니다. 이러한 기능은 간단한 오류 모니터링에 적합하며, 빠르게 문제 상황을 파악할 때 유용합니다. 3-2. 로그 감시 (확장 정규식) Zenius SMS는 보다 정교한 모니터링이 필요한 상황을 위해 확장 정규식 기능도 지원합니다. 특정 패턴이나 조건을 설정하여 로그 이벤트를 세밀하게 감지할 수 있습니다. 예를 들어 변수 문자열을 활용하거나 특정 컨테이너가 'running' 상태가 아닐 때만 탐지하거나, 특정 서비스 이름과 오류 메시지가 함께 포함된 경우만 감지하는 등의 설정이 가능합니다. 이러한 기능은 복잡한 시스템 환경에서 더욱 세부적인 조건을 감지하고 대응하는 데 유리합니다. 윈도우의 이벤트 로그의 중요도에 따라 서버에 직접 접속하지 않고도 실시간으로 확인할 수 있습니다. 또한 '내보내기' 기능을 통해 특정 로그 이벤트의 이력을 별도로 저장하고 관리할 수 있습니다. 3-3. 윈도우 이벤트 로그 감시 Zenius SMS는 윈도우 이벤트 로그에서 특정 내용이나 이벤트 ID를 지정하여 선택적인 모니터링이 가능합니다. 발생 횟수, 유효 기간, 구분(예:시스템), 종류(예:정보) 등의 다양한 조건과 이벤트 ID를 설정하여, 설정된 조건에 맞는 이벤트만 필터링할 수 있습니다. 이를 통해 중요한 이벤트에 집중하여 효율적으로 로그를 관리할 수 있습니다. 3-4. 로그 파일 모니터링 로그 파일은 단순히 장애 문자열을 감지하는 용도뿐만 아니라, 파일 내 특정 값을 추출해 수치 데이터로 관리할 수 있는 다양한 기능을 제공합니다. Zenius SMS 모니터링 솔루션은 이러한 로그 파일에서 추출한 데이터를 차트 형태로 시각화하여 실시간 모니터링이 가능합니다. 로그 감시 설정에서 특정 값에 변수를 지정하면, 로그 파일에서 추출한 count 값이나 현재 상태를 실시간으로 추적할 수 있습니다. 이러한 기능을 통해 서버 상태뿐 아니라, 데이터베이스(DB) 결과 값이나 웹 애플리케이션 서버(WAS) 상태 등도 한눈에 파악할 수 있습니다. 서버 환경이 점차 복잡해질수록 시스템 로그 모니터링의 중요성은 더욱 커지고 있습니다. 특히 리눅스(Linux)와 윈도우(Window) 등 운영체제에서 발생하는 로그 파일을 실시간으로 모니터링하고, 문제가 발생하면 즉각 대응할 수 있는 체계는 안정적인 서비스 운영에 필수입니다. Zenius SMS와 같은 솔루션은 정규식 기반의 로그 감지, 실시간 알림, 데이터 시각화 기능을 통해 잠재적인 문제를 신속하게 파악할 수 있도록 지원합니다. 이러한 기능을 갖춘 솔루션을 통해 서버 상태를 명확히 파악하고, 예기치 않은 상황에서도 안정적인 서비스를 운영해 보시길 바랍니다!
2024.11.05
[Zenius Case#1] 내일까지 서버관리 현황 부탁할게요!
[Zenius Case#1] 내일까지 서버관리 현황 부탁할게요!
퇴근을 준비하는 어느 날, 부장님이 갑자기 요청합니다. “내일까지 서버관리 전반 현황 보고해야 되니 준비 부탁할게! 그럼 고생하고 낼 보자고” 어떤 내용들로 자료를 준비해야 하는 걸까요? 이번에는 Zenius SMS를 활용한 서버관리현황 파악에 대해 살펴보겠습니다. 서버관리 현황 파악의 포인트 1. 얼마나 많은 대상을 관리하고 있으며 종류는 어떤 것이 있는가? 2. 관리가 필요한 주요 성능지표 항목은 어떤 것이 있는가? 3. 주요 성능지표 관련해 현재 상태는 어떠한가? 4. 이슈가 존재하는 서버의 현황과 어떤 이슈를 가지고 있는가? 5. 어떻게 필요한 자료를 쉽고 빨리 확보해 보고할 것인가? 6. 향후 지속적으로 제공 가능한 범위인가?(내일까지 해야 하는데….) 7. 추가적인 요청사항에 대한 대응이 가능한가? 상기 사항들 모두 중요하지만, 그 중에서도 “지속적으로 제공 및 관리가 가능한가?”라는 부분에 집중해야 합니다. 아무리 훌륭한 자료라도 자료구성을 위해 과도한 공수가 발생하는 자료는 사실상 향후 지속적인 관리측면에서 실효성을 상실하게 돼 1회성 보고자료로 끝나게 되는게 현실입니다. 실제 업무에 필요한 자료는 지속적인 관리가 가능해야만 합니다. Zenius로 1분 만에 서버현황 보고자료 정리하기 Step 1. 기본 데이터 취득(10초) Step 2. 현황정보 정리(10초) 저희가 운영하는 대상은Total 12대입니다. OS 별로 Linux 6, Solaris 1, AIX 1, HPUX 1, Window 3 관리 운영 중에 있습니다. Step 3. 주요 성능지표의 상태정리(20초) 먼저 서버(OS) 측면의 주요 성능지표에 대해 알아보도록 하겠습니다. 정보시스템 성능관리 지침에서는 서버 성능관리의 목적을 아래와 같이 정의하고 있습니다. 서버 성능관리의 목적 “서버 성능관리 업무는 최적의 용량을 적시에 확보하기 위한 용량계획의 시점을 제공하고 성능 관련 문제를 사전에 예방함으로써, 사용자의 시스템 활용도 및 만족도를 향상시키기 위하여 수행된다.” 또한 정보시스템 성능관리 지침에서 서버의 주요 성능관리 구성요소는 아래와 같이 정의하고 있습니다. 구성요소 내용 CPU 총 CPU사용률, 시스템 모드 사용률, 사용자 모드 사용률, Run Queue, Pri Queue, 사용자수 등 메모리 총 메모리 사용률, 시스템 및 버퍼 캐쉬, Page In/Out, Swap 공간 사용률 등 디스크 Disk 사용률, Disk I/O Busy, Disk Queue 프로세스 CPU를 집중적으로 사용하는 프로세스, Zombie 프로세스 커널 커널 파라미터 설정을 통한 자원의 적절한 분배 파일시스템 파일시스템 IO Rate, 파일시스템 공간 사용률 네트워크 I/O In 패킷률, Out 패킷률, Collision률, Error률 해당 성능관리 구성요소 중 실제 시스템운영 시 체크가 필요한 몇 개 항목에 대해 간단히 정의하고 넘어가겠습니다. CPU 사용률(%) 서버의 성능을 의미하는 척도로 사용되는 항목으로 CPU의 사용률이 일정 이상을 넘어가면 서비스에 영향을 주기 시작합니다. 순간적으로 급격히 높아질 수 있기 때문에 일반적으로 임계값과 지속시간을 함께 지정해 감시합니다. *여기서 CPU란? Central Processing Unit의 약자로 명령을 해독하고 산술논리연산이나 데이터 처리를 실행하는 장치입니다. Memory 사용률(%) 메모리의 사용량이 너무 빨리 소모되거나 또는 지속적으로 사용량이 떨어지지 않는다면 조치가 필요한 부분입니다. *여기서 Memory란? 기억소자를 지칭하는 것으로 보다 빠른 처리를 위한 프로그램 또는 데이터를 저장하거나 계산된 결과를 임시 또는 반영구적으로 보관하는 기억장치입니다. Disk I/O Busy Rate(%) Disk의 경우 데이터 처리 속도가 메모리나 CPU에 비해 너무 느리기 때문에 Disk I/O Busy Rate의 경우 일정 임계치 이상 지속되는 경우 과다한 입출력이 발생시킴을 의미하며 시스템 성능에 영향을 줄 수 있습니다. *여기서 Disk I/O란? Disk의 입출력 양을 의미합니다. 이제 기본 취득 데이터 기준 주요 성능지표를 정리해 보겠습니다. CPU 사용률(%) 저희가 운영하는 서버 중 CPU 사용률은 다음과 같으며, CPU 사용률이 가장 높은 대상은 Cent7x64 장비입니다. 전일 기준 Peak 치가 59% 정도이며 현재 36%정도의 사용률을 보입니다. Memory 사용률(%) Memory 사용률 현황은 다음과 같으며, Memory 사용률이 가장 높은 대상은 Solaris11 장비 입니다. 전일 기준 Peak 치가 97% 정도이며 현재도 96%정도의 사용률을 보입니다. 해당 장비의 경우 상세분석 진행 예정입니다. Disk I/O Busy Rate(%) Disk I/O Busy Rate 기준으로 모니터링이 필요한 대상은 다음과 같으며 현재 전반 양호한 상태입니다. 가장 높은 대상은 Zenius6.1 장비입니다. 현재 37% 정도를 보이고 있으며 한시적 증가로 요소가 존재하는 상태입니다. 저장장치 사용률(%) 저장장치 사용률의 경우 시스템 전체의 사용률보다는 파티션 별 사용률 관점에서 정리가 필요합니다. 95% 이상 사용중인 파티션 영역이 존재하고, AIX72-ORA, Suse11-x64, Solaris11 장비의 경우 현재 조치 진행 중이며 용량증설 계획도 함께 고려하고 있습니다. Step 4. 이슈사항 정리(20초) 전체관리대상 중 긴급 1건, 위험 4건, 주위 4건의 이슈가 발생해 있는 상태이며 등급 별 상세내역은 다음과 같습니다. 이슈 발생 후 지속시간 2일 이상 지속중인 항목들은 단기 조치 불가 항목으로 조치방안에 대해 논의중인 항목입니다. 이상으로 Zenius를 활용해 1분만에 서버현황 보고자료를 구성해봤습니다. 그럼 이제 다음과 같이 보고를 진행했을 때 추가적으로 유입될 수 있는 요청사항을 Zenius SMS를 활용해 대응해보겠습니다. Zenius SMS를 활용해 추가 요청사항 대응하기 Q. CPU 사용률 높은 장비의 CPU 추이는 어떤가요? 전반 추이와 전일 대비 사용률을 확인해볼 필요가 있습니다. A. 해당장비의 CPU 사용률 추이는 다음과 같으며 전일대비 비교 했을 때 거의 유사한 범위내에 사용률 추이를 보여주고 있습니다. 3단계의 임계라인 기준으로 감시를 수행하고 있습니다. Q. 특정 파티션의 파일시스템 사용률이 높은 장비의 타 파티션의 사용률은 얼마나 되나요? 저장장치 사용률 추이도 함께 검토가 필요해보입니다. A. /nshome40 96% 이외 /home 파티션도 사용률이 90% 이상인 상태입니다. 사용률 추이를 확인했을 때 급격한 증가는 발생하지 않는 상태입니다.
2022.09.02
다음 슬라이드 보기
