[보안_GPT] Syslog란?

🔥 1. Syslog란?

정의:
Syslog는 시스템, 장치, 애플리케이션에서 발생한 로그 메시지를 표준 형식으로 수집하고 전송하는 프로토콜이야.

즉:

👉 “서버, 네트워크 장치, 보안 장비에서 발생한 로그를 한 곳으로 모으고, 관리자가 쉽게 확인할 수 있도록 해주는 표준 방법”

• 네트워크 장치(Cisco, Juniper), 서버(Linux, Windows), 보안 장비(Firewall, IPS, WAF) 등에서 사용
• 보안관제(SIEM) 연계에 필수적

---

🔹 2. Syslog 구성 요소

1️⃣ Syslog 메시지(Message)

• 로그의 실제 내용
• 구조: <Priority> Timestamp Hostname Tag Message
  • 예: <34> Nov 14 13:30 server1 sshd[1234]: Accepted password for user

2️⃣ Syslog 서버(Syslog Server / Collector)

• 로그 수집, 저장, 분류
• 중앙 관리 및 분석용

3️⃣ Syslog 클라이언트(Syslog Client / Agent)

• 로그를 생성하고 Syslog 서버로 전송
• 장치 자체 또는 에이전트 소프트웨어

---

🔹 3. Syslog 메시지 형식

1️⃣ Priority (PRI)

• 로그의 중요도와 시설(Facility) 정보 포함
• 중요도(Level): Emergency(0) ~ Debug(7)

2️⃣ Header

• Timestamp, Hostname

3️⃣ Message

• Tag(프로세스 이름) + 실제 로그 내용

---

🔹 4. Syslog 전송 방식

1️⃣ UDP (기본, 514 포트)

• 가볍지만 신뢰성 낮음, 패킷 손실 가능

2️⃣ TCP

• 연결 기반, 신뢰성 높음

3️⃣ TLS 적용 가능

• 암호화 전송 → 보안 강화

---

🔹 5. Syslog 활용 사례

• 보안관제(SIEM 연동): 방화벽, IPS, WAF 로그 수집
• 시스템 모니터링: 서버 이벤트, 에러 로그 관리
• 규제 준수: 감사용 로그 저장
• 네트워크 트러블슈팅: 장애 원인 분석

---

🎯 한 문장 요약

Syslog = 서버, 네트워크 장치, 애플리케이션에서 발생한 로그를 표준 형식으로 수집·전송하여 중앙에서 관리하고 분석할 수 있도록 하는 프로토콜