# 로그

## 개요

**로그**(Log)는 시스템 애플리케이, 네트워크비 등에서 발생 다양한 이벤트를 시간 순서대로 기록한 데이터 파일을 의미합니다. 로그는 시스템 운영의 투명성과 안정성을 확보하기 위해 필수적인 요소로, 오류 진단, 보안 감사, 성능 분석, 규정 준수 등 다양한 목적에 활용됩니다. 특히 시스템운영 분야에서는 로그를 통해 시스템의 상태를 실시간으로 모니터링하고, 예기치 않은 장애나 보안 위협을 조기에 탐지할 수 있습니다.

로그는 단순한 텍스트 파일 형태부터 구조화된 JSON 형식, 데이터베이스 저장소까지 다양한 형태로 저장되며, 최근에는 로그 관리 및 분석을 위한 전용 도구(예: ELK 스택, Splunk, Graylog)가 널리 사용되고 있습니다.

---

## 로그의 목적과 중요성

### 1. 문제 진단 및 디버깅
시스템이나 애플리케이션에서 오류가 발생했을 때, 로그는 **가장 먼저 확인해야 할 자료**입니다. 예를 들어, 웹 서버에서 500 Internal Server Error가 발생하면, 해당 시점의 로그를 분석하여 어떤 모듈에서 예외가 발생했는지, 어떤 파라미터가 문제를 유발했는지를 파악할 수 있습니다.

### 2. 보안 감시 및 침입 탐지
로그는 보안 침해 사고를 탐지하는 데 핵심적인 역할을 합니다. 로그인 시도 실패, 비정상적인 접근 패턴, 관리자 권한 변경 등의 이벤트는 보안 로그에 기록되며, 이를 분석하면 해킹 시도나 내부 위협을 조기에 발견할 수 있습니다. 특히 **SIEM**(Security Information and Event Management) 시스템은 다양한 소스의 로그를 통합하여 실시간 위협 탐지를 수행합니다.

### 3. 규정 준수 및 감사
금융, 의료, 공공기관 등은 개인정보 보호법, GDPR, HIPAA 등의 규정을 준수해야 하며, 이때 로그는 감사 증거로 활용됩니다. 예를 들어, 누가 언제 어떤 데이터에 접근했는지를 기록함으로써 **감사 추적**(Audit Trail)을 제공합니다.

### 4. 성능 모니터링 및 트렌드 분석
로그는 시스템의 부하, 응답 시간, 자원 사용량 등을 기록함으로써 성능 분석에 활용됩니다. 장기적으로 로그 데이터를 분석하면 트래픽 증가 추세, 피크 시간대, 병목 지점 등을 파악할 수 있어, 인프라 확장 계획 수립에 도움을 줍니다.

---

## 로그의 종류

로그는 발생하는 시스템의 계층에 따라 다양한 유형으로 분류됩니다.

### 1. 시스템 로그 (System Log)
운영체제 수준에서 발생하는 이벤트를 기록합니다. 주로 `/var/log/` 디렉터리에 저장되며, 다음을 포함합니다:

- **부팅 로그**: 시스템 부팅 과정에서의 메시지
- **커널 로그**: 하드웨어 및 커널 관련 이벤트 (예: `dmesg`)
- **syslog**: 유닉스 계열 시스템에서 표준으로 사용되는 로깅 시스템

예시 (Linux syslog):
```log
Oct  5 14:23:01 server1 systemd[1]: Started User Manager for UID 1000.
```

### 2. 애플리케이션 로그 (Application Log)
특정 소프트웨어 또는 서비스에서 생성되는 로그입니다. 웹 서버(Nginx, Apache), 데이터베이스(MySQL, PostgreSQL), 애플리케이션 서버(Tomcat, Node.js) 등이 포함됩니다.

예시 (Nginx 접근 로그):
```log
192.168.1.100 - - [05/Oct/2023:14:25:30 +0900] "GET /index.html HTTP/1.1" 200 1234
```

### 3. 보안 로그 (Security Log)
인증, 권한 변경, 접근 시도 등의 보안 관련 이벤트를 기록합니다. 예를 들어, Linux의 `auth.log`는 SSH 로그인 시도를 기록하며, Windows의 보안 이벤트 로그는 계정 로그온 이벤트를 추적합니다.

### 4. 네트워크 로그 (Network Log)
방화벽, 라우터, IDS/IPS 등의 네트워크 장비에서 생성되는 로그로, 트래픽 흐름, 차단된 연결, DDoS 공격 탐지 등에 사용됩니다.

---

## 로그의 구조와 레벨

로그는 일반적으로 다음과 같은 구조를 가집니다:

```
[타임스탬프] [레벨] [소스] [메시지]
```

### 로그 레벨 (Log Level)
로그 메시지는 중요도에 따라 레벨로 구분됩니다. 일반적으로 사용되는 레벨은 다음과 같습니다:

| 레벨 | 설명 |
|------|------|
| `DEBUG` | 개발 및 디버깅용 상세 정보. 운영 환경에서 비활성화됨 |
| `INFO` | 일반적인 운영 정보 (예: 서비스 시작, 정상 요청 처리) |
| `WARN` | 잠재적인 문제 발생 (예: 자원 부족, 경고 상태) |
| `ERROR` | 오류 발생 (예: 예외 처리 실패, 요청 실패) |
| `FATAL` | 치명적인 오류로 인해 시스템이 중단될 수 있음 |

예시:
```log
2023-10-05T14:30:00Z INFO  [AuthService] User login successful: user123
2023-10-05T14:31:15Z ERROR [DBConnection] Failed to connect to database: timeout
```

---

## 로그 관리 전략

효과적인 로그 관리는 다음과 같은 요소를 포함해야 합니다:

### 1. 중앙 집중화 (Centralized Logging)
여러 서버나 서비스에서 생성된 로그를 중앙 서버로 수집하여 통합 관리합니다. 이는 **ELK 스택**(Elasticsearch, Logstash, Kibana), **Fluentd**, **Graylog** 등의 도구를 통해 구현됩니다.

### 2. 로그 보존 정책 (Retention Policy)
로그는 무제한 저장할 수 없으므로, 보존 기간을 정해야 합니다. 일반적으로 다음과 같은 기준을 적용합니다:

- 보안 로그: 6개월 ~ 1년 이상
- 운영 로그: 30일 ~ 90일
- 디버그 로그: 실시간 분석 후 삭제

### 3. 로그 보안
로그 자체가 민감한 정보를 포함할 수 있으므로, 무단 접근을 방지하기 위해 다음과 같은 조치가 필요합니다:

- 로그 파일에 대한 접근 권한 제한
- 로그 전송 시 TLS 암호화
- 로그 무결성 검사 (예: 디지털 서명)

### 4. 로그 분석 및 시각화
수집된 로그는 단순 저장을 넘어 **분석 및 시각화**를 통해 유의미한 인사이트를 도출해야 합니다. Kibana, Grafana 등의 도구를 사용하면 실시간 대시보드를 구성할 수 있습니다.

---

## 관련 기술 및 도구

| 도구 | 설명 |
|------|------|
| **rsyslog / syslog-ng** | Linux 시스템에서 syslog를 처리하는 데이몬 |
| **ELK Stack** | 로그 수집, 저장, 검색, 시각화를 위한 오픈소스 솔루션 |
| **Fluentd** | 로그 수집 및 전송을 위한 통합 로그 수집기 |
| **Prometheus + Loki** | 메트릭과 로그를 통합하여 모니터링하는 시스템 |
| **Splunk** | 상용 로그 분석 플랫폼, 고급 검색 및 AI 기반 분석 기능 제공 |

---

## 참고 자료

- [The Twelve-Factor App - Logs](https://12factor.net/logs)
- [ELK Stack 공식 문서](https://www.elastic.co/guide/index.html)
- [Syslog Protocol (RFC 5424)](https://tools.ietf.org/html/rfc5424)

---

로그는 단순한 기록을 넘어, 시스템의 건강성을 진단하는 '의료 기록'과도 같습니다. 잘 설계되고 관리된 로깅 체계는 장애 대응 시간을 단축하고, 보안 사고를 예방하며, 서비스 신뢰성을 높이는 데 핵심적인 역할을 합니다. 시스템 운영자라면 로그의 중요성을 인지하고, 체계적인 로그 관리 전략을 수립해야 합니다.