스플렁크 빅데이터 분석 고객 사례
스플렁크는 모든 데이터를 인덱싱하여 데이터 가공 및 분석을 통해 전체 인프라의 인사이트를 도출하는 빅데이터 분석 엔진입니다. 스플렁크 데이터 분석 엔진은 다양한 용도로 활용할 수 있습니다. 보안위협 분석, 비즈니스 분석, 소셜미디어 분석 등, 다양한 분야에 활용할 수 있으며, 활용성이 높고 처리능력이 우수합니다.
스플렁크는 데이터 인덱싱, 검색 및 조사, 운용지식 기반의 확장, 모니터링 및 알람 기능, 리포트 및 분석까지 가능합니다.
이를 통해서 애플리케이션 관리, 시스템 운용관리, 보안 및 컴플라이언스, 여러 특화 산업 및 데이터 분석 분야에 활용할 수 있습니다.
스플렁크 데이터 분석 엔진을 통한 통합로그 시스템 개선사례를 통해 도입 방법과 구조, 그리고 스플렁크 비즈니스 분석을 통한 효과를 설명하겠습니다.
고객 사례 - 기업에서 기존에 사용하던 통합 로그 관리시스템 변경
OO생명에서는 Envision 이라는 통합 로그 관리시스템을 통해서 애플리케이션 및 시스템 인프라에서 발생하는 로그 저장, 통합관리시스템을 구현하여 시스템 및 금융데이터를 효율적으로 사용하는 것이 목적이였습니다. 하지만 일부 기능과 성능에서 문제점이 많았습니다. 이를 스플렁크(Splunk)를 통해서 개선하는 작업을 사례를 통해 보여드리겠습니다.
Envision 통합로그 관리 시스템의 목적 |
EnVision 통합로그 관리시스템 현황 |
- 시스템별, 애플리케이션별 발생로그 통합관리 - 사고발생 추적 및 원인 분석 - 사고 징후 모니터링 - 법규 보안 규정 대응 - 실시간 분석으로 문제에 대한 의사결정 지원 |
- 기존 시스템연계보다 한 차원 높은 서비스 정보 미제공 - 운영자가 사용할 가치 있는 정보 부재 - 사용의 필요성을 느끼지 못함 - 시스템 유지보수 지원이 없음 - 변경 및 추가요구사항 반영이 용이하지 않음 |
Envision 시스템 구성도를 보면 데이터가 암호화되어 인덱싱, 저장되고 DB변환 후 검색되어 데이터 실시간 검색, 분석에 부적합하며, 처리 가능한 이벤트는 최대 2,000byte로 크기가 제한되기 때문에, 별도의 처리작업이 필요하며 통합 로그 관리에 제약사항이 있었습니다.
[RSA - enVision - LS Series 구성]
[현 시스템 문제점 파악]
하지만, enVision 솔루션의 기능적 한계는 명확하였습니다. 특히 기능적인 측면에서 고객의 요구사항에 즉각적으로 대응하지 못하였고 사용할 만한 정보를 얻을 수 없었기 때문에 통합로그의 활용도는 매우 떨어지는 상황이였습니다.
기능적 한계점 |
EnVision |
처리 가능 이벤트 크기 |
처리 가능 이벤트 크기 (최대 2,000 Byte) |
검색의 편의성 |
수립 로그 검색이 제한적임 |
실시간 데이터 및 대용량 데이터 분석 가능 |
암호화 인덱싱, DB변환후 검색으로 인해 실시간 대용량 분석시 속도가 부적합함 |
리포팅 및 대쉬보드 기능 |
고객의 직접 적용 어려움, 조잡한 구성 |
한글지원 |
미제공 |
[스플렁크를 통한 시스템 개선 내용]
OO생명 통합로그 관리 시스템을 전체 통합 로그 관리 시스템 범위 중에서 각 파트별 일부 업무의 기능 구현만을 범위로하여서 스플렁크(Splunk) 도입으로 기존 시스템의 부족한 부분을 보완하였습니다.
[애플리케이션 영역] - 각종 업무 영역의 로그 관리
◎ 일부 업무 로그를 대상으로 기존 화면의 검색 및 조사 기능 구현
- 특정사번 및 특정 대상기간의 전체 로그를 조회
- 특정지점 IP 대역 사용자 조회
- 특정 사번에 대한 로그들 중 IP대역이 상이한 로그 조회 (다중 IP사용자 조회)
- 특정증권번호 사용자 사번 및 로그 조회
◎ 12대 서버, 14대 업무, 18종 로그 대상
- 특정기간에 대한 로그를 대상으로 하였으며, 운영계와의 실시간 연계를 추후 작업 예정
[인프라 영역] - 각종 서버 및 장비 로그 관리
◎ Operation System : 기간계 (euchap-s, euchap-sd)
◎ Root 권한 및 환경 제약상 금번 POC 범위 제외
- 채널계 WAS
- 네트워크 : SYSLOG (TCP / IP 연계)
- DMBS : Oracle Alert 로그, DB Safer
[스플렁크를 통한 시스템 개선 결과]
# Before <기존 enVison 시스템 화면>
- 기존 RSA enVision 시스템에서 사용하는 조회 조건의 화면 및 결과 화면
# After <스플렁크(Splunk) 업무 Application>
- 기존 RSA enVision시스템에서 사용하는 조회 및 결과 화면을 스플렁크에서 구현하였습니다.
- 특정사번 및 특정대상기간의 전체 로그를 조회 가능합니다.
- 특정 지점의 IP대역을 이용하여 해당지점의 소속직원이 아닌 사번이 있는지 조회할 수 있습니다.
- 특정 사번에 대한 로그들 중 IP대역이 상이한 로그를 조회할 수 있습니다. (다중 IP사용자 조회)
- 특정 증권번호 사용자 사번 및 로그 조회가 가능합니다.
- 기존 RSA enVision 시스템 조회화면 외에 고객의 요구사항에 맞추어 다양한 업무별 화면 구성이 가능합니다.
위와 같이, OO생명의 기존 enVision 솔루션의 활용도 측면에서 부족한 부분을 5개월 간의 스플렁크(Splunk) 기반의 로그 분석 시스템으로 성공적으로 변경하였습니다.
스플렁크(Splunk) 솔루션 제품에 대한 문의 및 컨설팅은 아래의 아이마켓코리아 IT솔루션 담당자에게 연락주시면 친절하게 상담해드립니다.
(주) 아이마켓코리아
윤 용 비
주임 │ IT 솔루션 영업팀
TEL : +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
