기술

Ubuntu 24.04: rsyslog로 중요한 로그를 원격으로 보내 ‘증거’를 남기기(기초)

2026년 03월 23일 👁 71회 수정: 2026.06.03

대상 OS: Ubuntu Server 24.04 LTS

원격 로그는 침해 대응에서 증거 보존을 돕습니다. 서버가 침해되면 로컬 로그는 삭제/변조될 수 있으므로, 중요한 로그는 별도 서버(로그 수집기)로 전송해 “원본에 가까운 흔적”을 남기는 게 안전합니다.

0) 설계에서 먼저 정할 것(최소 3가지)

전송 방식: UDP(@) vs TCP(@@) — 가능하면 TCP 권장(유실 감소)
보안: 내부망이라도 가능하면 TLS 고려(단, 여기서는 기초로 TCP 예시)
범위: “전부(*.*)”는 편하지만 데이터 과다/민감정보 위험 → 최소부터(예: auth/authpriv, sshd, sudo, 커널)

1) (클라이언트) rsyslog 설치

sudo apt update
sudo apt install -y rsyslog

2) (클라이언트) 원격 전송 설정(예시: TCP)

아래 예시는 “일단 증거를 남기기” 목적의 기초 설정입니다. 환경에 맞게 전송 범위를 좁히는 것을 권장합니다.

# 예시: 모든 facility/priority를 TCP로 전송(@@)
# LOG_SERVER_IP는 로그 수집기 서버 IP로 교체
sudo tee /etc/rsyslog.d/50-remote.conf >/dev/null



    
    
                
            ← 이전 글
            Ubuntu 24.04: sshd_config에서 꼭 확인하는 12개 옵션(운영 체크리스트)
        
        
                
            다음 글 →
            Rocky Linux 9: 컨테이너 이미지 보안의 최소 단위(태그 고정/스캔/권한)
        
            

    
        ← 블로그 목록




    
        © 2006-2026 root.so & jaehun.org. All rights reserved.