KR100937329B1 - Method and system for sampling log - Google Patents

Method and system for sampling log Download PDF

Info

Publication number
KR100937329B1
KR100937329B1 KR1020070116823A KR20070116823A KR100937329B1 KR 100937329 B1 KR100937329 B1 KR 100937329B1 KR 1020070116823 A KR1020070116823 A KR 1020070116823A KR 20070116823 A KR20070116823 A KR 20070116823A KR 100937329 B1 KR100937329 B1 KR 100937329B1
Authority
KR
South Korea
Prior art keywords
log
logs
time
generation
elapsed
Prior art date
Application number
KR1020070116823A
Other languages
Korean (ko)
Other versions
KR20090050410A (en
Inventor
성준경
박규태
이용균
Original Assignee
주식회사 케이티
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티, 주식회사 이글루시큐리티 filed Critical 주식회사 케이티
Priority to KR1020070116823A priority Critical patent/KR100937329B1/en
Publication of KR20090050410A publication Critical patent/KR20090050410A/en
Application granted granted Critical
Publication of KR100937329B1 publication Critical patent/KR100937329B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Abstract

본 발명은 로그 샘플링 방법 및 시스템에 관한 것이다. 본 발명의 이벤트 발생에 따라 로그를 생성하여 로그 분석 시스템으로 전송하는 로그 생성 시스템에서의 로그 샘플링 방법은 상기 로그의 생성 시점으로부터 소정 시간 경과 여부를 판단하는 제 1 단계와, 상기 제 1 단계에서의 판단 결과, 상기 로그의 생성 시점으로부터 상기 소정 시간이 경과된 경우에는 상기 소정 시간이 경과된 로그를 처리 대상에서 제외하는 제 2 단계를 포함한다. 이를 통해 로그의 분석이 지연되는 것을 막고, CPU의 리소스 부하를 감소시킬 수 있다. 따라서 실시간으로 대용량의 로그를 분석하는 것이 가능해지고, 이는 보안 시스템 관리 등에서 유용하게 활용될 수 있다.The present invention relates to a log sampling method and system. A log sampling method in a log generation system for generating a log according to an event occurrence of the present invention and transmitting the log to a log analysis system includes: a first step of determining whether a predetermined time has elapsed from the time of generating the log, and As a result of the determination, if the predetermined time has elapsed from the time of generation of the log, a second step of excluding the log having elapsed from the predetermined time from the object of processing. This prevents delays in log analysis and reduces CPU resource load. Therefore, it is possible to analyze a large amount of logs in real time, which can be usefully used in security system management.

로그, 샘플링 Log, sampling

Description

로그 샘플링 방법 및 시스템{METHOD AND SYSTEM FOR SAMPLING LOG}Log sampling method and system {METHOD AND SYSTEM FOR SAMPLING LOG}

본 발명은 로그 샘플링 방법 및 시스템에 관한 것으로서, 로그 생성 시점별로 로그의 개수를 제한하거나, 지연된 로그를 처리 대상에서 제외하거나, CPU 리소스의 부하량(CPU 사용량)에 따라 로그를 샘플링하는 방법 및 시스템을 제안하기 위한 것이다. The present invention relates to a log sampling method and system, and to a method and system for limiting the number of logs for each log generation time, excluding a delayed log from processing, or sampling a log according to a CPU resource load (CPU usage). It is to offer.

로그(log)는 온라인 시스템에서 메시지를 주고받는 상황을 기록하는 실행부 기록을 의미하는 것으로서, 시스템 로그(system log)와 같은 주요 파일의 장기 보관, 관리 작업, 및 사용량 측정 등에 사용된다. 특히, 네트워크 접속 이벤트 발생에 따라 생성된 로그는 접속 내용을 기록하므로, 보안 시스템 관리 등에서 활용이 가능하다.A log is an execution record that records a situation of sending and receiving a message in an online system. The log is used for long-term archiving, management work, and usage measurement of a main file such as a system log. In particular, the log generated according to the network connection event occurs to record the connection, so it can be utilized in security system management.

예를 들어, 네트워크의 방화벽에서 네트워크로의 접근 권한을 부여하고, 접근을 제한하는 과정에서 로그가 활용될 수 있다. 방화벽은 허가받지 않은 자가 외부망으로부터 내부 망으로 접속하는 것을 차단하는 소프트웨어 또는 하드웨어로서, 내부 네트워크의 자원을 보호하기 위해 접근 제어 목록(access control list: ACL)에 따라 허가되지 않은 접속을 차단하는 네트워크 보안 장비의 일종이다. 방화벽은 네트워크 접속 이벤트 발생에 따라 접속 내용을 기록하는 로그를 생성하고, 생성된 로그를 분석하여 다양한 용도로 사용한다. 로그의 분석을 통해 침해 사고 발생하는 경우 책임 소재 입증에 중요한 자료로 사용할 수 있으며, 불법적인 접근 시도 등의 경로를 파악하여 차후의 보안 정책 수립 자료로도 사용할 수 있다. 또한, 로그의 실시간 분석을 통해 불법적인 접근 시도 등에 대하여 즉각적인 조치를 취할 수 있다.For example, the log may be used in the process of granting access to the network from the network firewall and restricting access. A firewall is a piece of software or hardware that blocks unauthorized people from connecting to the internal network from the outside network. A firewall is a network that blocks unauthorized access according to an access control list (ACL) to protect the resources of the internal network. It is a kind of security equipment. The firewall generates logs to record the connection contents according to the network connection event occurrence, and analyzes the generated logs and uses them for various purposes. The analysis of the log can be used as an important data to prove the responsibility of the breach in case of an infringement incident, and can also be used as a data for establishing a security policy after identifying a route such as an illegal access attempt. In addition, through real-time analysis of the log, you can take immediate action against illegal access attempts.

문제는 대용량 로그가 발생하는 경우, 로그의 전송 및 분석 과정에 의해 CPU 리소스 부하가 증가되고, 로그의 분석 과정이 지연된다는 것이다. 예를 들어, 대규모 ISP 환경 또는 인터넷 뱅킹 등에서는 동시간에 수천 명의 접속이 이루어질 수 있고, 이러한 접속 이벤트는 1초당 수천 개의 로그를 생성할 수 있다. 특히, 웜(worm) 또는 바이러스와 같은 악성 코드에 감염되거나 서비스 거부 공격과 같은 위급 상황이 발생하는 경우에는 평소의 수십 배에 달하는 수십만 개의 로그가 생성된다. 이러한 대용량의 로그를 전송하고, 분석하는 등은 과정은 CPU 리소스 부하를 증가시켜서 시스템의 고유 업무 서비스에 지장을 초래할 수 있다. 또한, 로그의 전송, 분석 등의 과정이 지연되므로 실시간 분석이 불가능해진다는 문제점이 발생한다.The problem is that when a large log is generated, the CPU resource load is increased by the log transmission and analysis process, and the log analysis process is delayed. For example, in a large ISP environment or Internet banking, thousands of connections can be made at the same time, and these connection events can generate thousands of logs per second. In particular, when an infection such as a worm or virus is infected or an emergency situation such as a denial of service attack occurs, hundreds of thousands of logs, which are several times as usual, are generated. Sending and analyzing such large logs can increase the CPU resource load and disrupt the system's own business services. In addition, there is a problem that the real-time analysis becomes impossible because the log transmission, analysis, and the like are delayed.

따라서, 대용량 로그의 생성 및 처리로 인한 CPU 리소스의 부하 가중을 막고, 로그 전송 및 분석 과정이 지연되는 것을 방지하는 로그 샘플링 방법 및 시스 템이 요구된다. Accordingly, there is a need for a log sampling method and system that prevents the load of CPU resources due to the generation and processing of large logs and prevents delays in log transmission and analysis.

따라서 본 발명은 이벤트 발생에 따라 생성된 로그중에서 분석하고자하는 로그파일을 샘플링하여, CPU 리소스 부하의 가중을 막고, 로그 전송 및 분석의 지연을 방지하는 로그 샘플링 방법 및 시스템을 제안하는 것을 목적으로 한다.Accordingly, an object of the present invention is to propose a log sampling method and system for sampling a log file to be analyzed in a log generated according to an event occurrence, preventing a heavy CPU resource load, and preventing a delay in log transmission and analysis. .

삭제delete

이러한 목적을 달성하기 위해 제안된 본 발명은 이벤트 발생에 따라 로그를 생성하여 로그 분석 시스템으로 전송하는 로그 생성 시스템에서의 로그 샘플링 방법에 있어서, 상기 로그의 생성 시점으로부터 소정 시간 경과 여부를 판단하는 제 1 단계와, 상기 제 1 단계에서의 판단 결과, 상기 로그의 생성 시점으로부터 상기 소정 시간이 경과된 경우에는 상기 소정 시간이 경과된 로그를 처리 대상에서 제외하는 제 2 단계를 포함하는 것을 다른 특징으로 한다.In order to achieve the above object, the present invention provides a log sampling method in a log generation system that generates a log according to an event occurrence and transmits the log to a log analysis system, wherein the log determination method determines whether a predetermined time has elapsed from the log generation time point. And a second step of excluding the log, in which the predetermined time has elapsed, from the object of processing when the predetermined time has elapsed from the time of generating the log as a result of the determination in the first step. do.

또한, 본 발명은 이벤트 발생에 따라 생성된 로그를, CPU 사용률에 따라 로그 분석 시스템으로 전송하는 로그 생성 시스템에서의 로그 샘플링 방법에 있어서, 해당 CPU 사용률을 확인하는 제 1 단계와, 상기 해당 CPU 사용률이 한계값 이상인 경우, 상기 생성된 로그 중에서 상기 분석 시스템으로 전송할 분석 대상 로그의 개수를 제한하는 제 2 단계와, 상기 제 2 단계에서 제한된 상기 로그를 상기 분석 시스템으로 전송하는 제 3 단계를 포함하는 것을 다른 특징으로 한다.According to another aspect of the present invention, there is provided a log sampling method in a log generation system that transmits a log generated according to an event to a log analysis system according to a CPU usage rate. And a second step of limiting the number of analysis target logs to be transmitted to the analysis system among the generated logs when the threshold value is greater than or equal to the threshold value, and a third step of transmitting the log restricted in the second step to the analysis system. It is another feature.

삭제delete

또한, 본 발명은 이벤트 발생에 따라 로그를 생성하여 로그 분석 시스템으로 전송하는 로그 생성 시스템에 있어서, 상기 이벤트 발생에 따라 로그를 생성하는 생성부와, 상기 로그의 생성 시점으로부터 소정 시간 경과 여부를 판단하고, 상기 판단 결과, 상기 로그의 생성 시점으로부터 상기 소정 시간이 경과된 경우에는 상 기 로그를 처리대상에서 제외하는 샘플링부를 포함하는 것을 다른 특징으로 한다.The present invention also provides a log generating system for generating a log according to an event occurrence and transmitting the log to a log analysis system, comprising: a generation unit generating a log according to the event occurrence, and determining whether a predetermined time has elapsed from the time of generating the log. In addition, as a result of the determination, if the predetermined time has elapsed from the time of generating the log, another feature is to include a sampling unit for excluding the log from the processing target.

또한, 본 발명은 이벤트 발생에 따라 생성된 로그를 CPU 사용률에 따라 로그 분석 시스템으로 전송하는 로그 생성 시스템에 있어서, 상기 이벤트 발생에 따라 상기 파일을 생성하는 생성부와, 해당 CPU 사용률을 확인하고, 상기 해당 CPU 사용률이 한계값 이상인 경우, 상기 생성된 로그 중에서 상기 분석 시스템으로 전송할 분석 대상 로그의 개수를 제한하는 샘플링부와, 상기 샘플링부에서 제한된 상기 로그를 상기 분석 시스템으로 전송하는 전송부를 포함하는 것을 다른 특징으로 한다.In addition, the present invention provides a log generating system for transmitting a log generated in accordance with the occurrence of the event to the log analysis system according to the CPU utilization rate, the generation unit for generating the file in response to the occurrence of the event, and checks the CPU utilization, When the CPU utilization rate is greater than or equal to the threshold value, and including a sampling unit for limiting the number of analysis target logs to be transmitted to the analysis system from the generated log, and a transmission unit for transmitting the log restricted by the sampling unit to the analysis system; It is another feature.

본 발명의 샘플링 방법 및 시스템에 의하면 처리 대상인 로그의 양을 줄일 수 있다. 로그를 로그 생성 시점별로 소정의 개수로 제한하거나, 처리가 지연된 로그를 처리 대상에서 제외하거나, 로그 생성 시스템에 할당된 CPU의 사용률에 따라 로그를 샘플링함으로써, 로그의 분석 지연을 막고, CPU의 리소스 부하를 감소시킬 수 있다. 따라서 대용량의 로그를 실시간 로그 분석하는 것이 가능해지고, 이는 보안 시스템 관리 등에서 유용하게 활용될 수 있다.According to the sampling method and system of the present invention, the amount of logs to be processed can be reduced. By limiting the log to a predetermined number for each log generation point, excluding the log that has been delayed from processing, or sampling the log according to the utilization of the CPU allocated to the log generation system, the log analysis delay is prevented and the CPU resources The load can be reduced. Therefore, it is possible to analyze a large amount of logs in real time log, which can be usefully used in security system management.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted.

본 발명은 로그 생성 시스템에서 이벤트 발생에 따라 로그를 생성하고, 로그 분석 시스템으로 전송하는 과정에서 로그를 샘플링하는 방법에 관한 것이다. 로그는 생성 즉시 분석 시스템으로 전송되어 분석되어야 하지만, 앞에서 설명한 바와 같이 대용량 로그가 생성되거나, CPU 사용률이 높은 경우에는 로그를 분석부로 전송하고, 분석하는 과정에서 지연이 발생한다. 따라서 본 발명에서는 로그 생성 시스템의 샘플링부에서 로그 분석 시스템으로 로그를 전송하기 이전에 샘플링 절차를 수행한다. 이와 관련한 바람직한 실시예는 이하 첨부된 도면을 참조하여 상세히 설명한다.The present invention relates to a method of generating a log according to an event occurrence in a log generation system and sampling a log in a process of transmitting the log to a log analysis system. Logs should be sent to the analysis system immediately after creation to be analyzed. However, as described above, when a large log is generated or CPU utilization is high, a log is sent to the analysis unit and a delay occurs in the analysis. Therefore, in the present invention, a sampling procedure is performed before the log is transmitted from the sampling unit of the log generation system to the log analysis system. Preferred embodiments in this regard will be described in detail with reference to the accompanying drawings.

도 1은 본 발명이 적용되는 로그 생성 시스템 및 로그 분석 시스템의 구성을 나타내는 도면이다. 도시된 바와 같이 로그 생성 시스템(110)은 로그 생성부(112), 로그 샘플링부(114), 로그 전송부(116)를 구비하고 있고, 로그 분석 시스템(150)은 로그 수집부(152), 로그 분석부(154)를 구비한다.1 is a diagram illustrating the configuration of a log generation system and a log analysis system to which the present invention is applied. As illustrated, the log generating system 110 includes a log generating unit 112, a log sampling unit 114, and a log transmitting unit 116. The log analyzing system 150 includes a log collecting unit 152, The log analyzer 154 is provided.

로그 생성 시스템(110)의 로그 생성부(112)는 이벤트 발생에 따라 로그를 생성한다. 동일한 시점에 다수의 이벤트가 발생하는 경우에는 그에 따라 다수의 로그가 생성된다. 따라서 생성 시점이 동일한 로그가 다수 개 존재할 수 있고, 로그의 생성 시점은 타임 스탬프(time-stamp)를 통해 확인할 수 있다. The log generator 112 of the log generation system 110 generates a log according to an event occurrence. If multiple events occur at the same time, multiple logs are generated accordingly. Therefore, a plurality of logs having the same generation point may exist, and the generation point of the log may be confirmed by a time stamp.

로그 샘플링부(114)는 생성된 로그 중에서 로그 분석 시스템으로 전송할 분 석 대상 로그를 로그의 생성 시점에 기반하여 선정할 수 있다. 또는 소정 시간 이상 지연된 로그를 폐기할 수 있고, CPU의 사용률에 따라 샘플링을 수행할 수 있다. 샘플링 방법은 도 3, 도 5 내지 도 7에서 상세히 설명한다.The log sampling unit 114 may select an analysis target log to be transmitted to the log analysis system from the generated logs based on the generation time of the log. Alternatively, a log delayed for more than a predetermined time may be discarded, and sampling may be performed according to the utilization of the CPU. The sampling method will be described in detail with reference to FIGS. 3 and 5 to 7.

로그 전송부(116)는 로그를 분석 시스템으로 전송한다. 이때 해당 CPU의 사용률을 고려하여 전송을 수행할 수 있다. 이와 관련된 내용은 도 4에서 상세히 설명한다.The log transmitter 116 transmits the log to the analysis system. At this time, the transmission may be performed in consideration of the utilization of the CPU. Related contents will be described in detail with reference to FIG. 4.

로그 분석 시스템(150)의 로그 수집부(152)는 로그 생성 시스템으로부터 로그를 수신한다. 로그 분석부(154)는 로그 수집부(152)에 의해 수집된 로그를 분석한다.The log collector 152 of the log analysis system 150 receives a log from the log generation system. The log analyzer 154 analyzes the logs collected by the log collector 152.

상술한 본 발명의 실시예에서는 로그 생성 시스템에서 로그가 생성, 샘플링 및 전송되고, 로그 분석 시스템에서는 로그를 수집, 분석하는 것으로 예시하였으나, 이는 하나의 실시예에 불과하다. 로그의 생성, 분석 등의 일련의 과정은 동일한 시스템 내에서 수행될 수 있으며, 시스템의 설계는 본 발명의 사상의 범위 내에서 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 수정 및 변경될 수 있다. 또한 본 발명에 의한 샘플링 방법은 로그의 샘플링 뿐만 아니라 모든 샘플링에 있어서 적용될 수 있다.In the above-described embodiment of the present invention, the log is generated, sampled, and transmitted in the log generation system, and the log analysis system is illustrated as collecting and analyzing the log, but this is only one embodiment. A series of processes such as log generation and analysis may be performed in the same system, and the design of the system may be modified and changed by those skilled in the art to which the present invention pertains within the spirit of the present invention. Can be. In addition, the sampling method according to the present invention can be applied not only to log sampling but also to all sampling.

도 2는 본 발명이 적용되는 로그 생성 시스템에서의 프로세스의 흐름을 나타내는 도면이다. 2 is a diagram illustrating a flow of processes in a log generation system to which the present invention is applied.

네트워크 접속 이벤트와 같은 이벤트가 발생하면(S210), 그에 따라 로그가 생성된다(S220). 생성된 로그는 샘플링 되고(S230), 샘플링 된 로그는 로그 분석 시스템으로 전송된다(S240). 이러한 일련의 과정은 로그 생성에 따라 반복 수행된다. 샘플링 단계는 생성된 로그에 대해 항상 적용될 수 있고, 로그의 전송 및 분석 과정에서 지연이 발생하는 경우에만 적용될 수도 있다. 다시 말해, 로그의 타임 스탬프를 통해 확인한 생성 시점으로부터 소정의 시간이 경과된 경우에만 샘플링 과정이 수행되도록 할 수 있다. 본 발명의 로그 샘플링 방법은 생성 시점에 기반하여 선정하는 방법, 지연된 로그를 처리 대상에서 제외하는 방법, CPU의 사용량에 따라 분석하고자하는 로그를 샘플링할 수 있다. 각각의 방법은 이하 도면을 참조하여 상세히 설명한다.When an event such as a network connection event occurs (S210), a log is generated accordingly (S220). The generated log is sampled (S230), and the sampled log is transmitted to the log analysis system (S240). This series of steps is repeated according to the log generation. The sampling step can always be applied to the generated log, or can only be applied if a delay occurs in the transmission and analysis of the log. In other words, the sampling process may be performed only when a predetermined time elapses from the generation time confirmed through the log time stamp. In the log sampling method of the present invention, a method of selecting based on a generation time, a method of excluding a delayed log from a processing target, and sampling a log to be analyzed according to CPU usage. Each method is described in detail with reference to the drawings below.

도 3은 본 발명의 로그 선정 방법의 흐름을 나타내는 도면으로서, 도 2의 로그 샘플링 단계(S230)를 상세히 설명한 것이다.3 is a view illustrating a flow of the log selection method according to the present invention, and the log sampling step S230 of FIG. 2 is described in detail.

종래의 선정 과정은 확률에 근거하여 수행된다. 예를 들어, 1:100으로 선정하는 경우에는 로그를 100개 마다 1개씩 선정한다. 이러한 방식은 로그의 생성 시점에 대한 고려 없이 확률적으로 선정하므로 모든 이벤트를 골고루 반영하여 로그를 선정하는 것이 불가능하다.The conventional selection process is performed based on the probability. For example, in the case of selecting 1: 100, one log is selected for every 100 logs. Since this method probabilistically selects without considering the generation time of the log, it is impossible to select the log by reflecting all events evenly.

따라서, 본 발명은 생성 시점을 고려하여 로그를 선정한다. 우선, 생성 시점별로 로그의 개수를 확인한다(S310). 확인 결과를 통해 로그의 개수가 로그의 생성 시점별로 기준값 이상인지 여부를 판단한다(S320). 판단 결과 로그의 개수가 생성 시점별로 기준값 이상인 경우에는 그 중 일부만을 선정하여 로그의 개수를 기준값으로 제한한다(S330). 여기서, 기준값은 운영자가 동일한 생성 시점을 갖는 다수개의 로그 중 몇 개를 선정할 것인지를 지정한 값을 의미한다. 기준값은 하나의 고정 된 수치로 지정될 수 있으며, 동일한 생성 시점을 갖는 로그 수의 일정 비율로 지정될 수도 있다. Therefore, the present invention selects a log in consideration of the generation time. First, the number of logs for each generation point is checked (S310). Through the check result, it is determined whether the number of logs is greater than or equal to a reference value for each log generation time (S320). As a result of the determination, when the number of logs is greater than or equal to the reference value by generation time, only a part of the logs is selected and the number of logs is limited to the reference value (S330). Here, the reference value refers to a value in which the operator designates how many of a plurality of logs having the same generation time point. The reference value may be specified as a fixed value, or may be specified as a percentage of the number of logs having the same generation point.

표 1은 종래의 선정 방법과 본 발명의 선정 방법에 의한 선정 결과를 비교하여 보여준다.Table 1 shows a comparison of the selection results by the conventional selection method and the selection method of the present invention.

생성시점Creation time tt t+1t + 1 t+2t + 2 생성된 로그의 수Number of logs generated 1000개1000 20000개20000 20개20 종래 기술에 의한 선정Selection by prior art 100개100 200개200 0개0 고정된 기준값에 의한 선정Selection by fixed reference value 100개100 100개100 20개20 일정 비율에 의한 선정Selection by a certain ratio 100개100 2000개2000 2개2

예를 들어, 본 발명의 선정 방법에 의해 동일한 생성 시점에 대하여는 100개의 로그만을 선정한다고 가정한다. 여기서 기준값은 100개가 된다. 샘플링부는 로그의 타임 스탬프를 통해 생성 시점을 확인한다. 생성시점 t에 생성된 로그가 1000개, 생성 시점 t+1에 생성된 로그가 20000개, 생성 시점t+2에 생성된 로그가 20개가 있으므로, 선정 방식은 다음과 같다. 우선 t에 생성된 로그는 100개만 선정되고 나머지 900개는 처리 대상에서 제외된다. 이때 100개의 선정은 생성 시점이 빠른 것을 기준으로 100개를 선정할 수 있고, 기타 다양한 방법에 의해 선정할 수 있다. t+1에 생성된 로그는 100개만 선정되고 나머지 19900개는 처리 대상에서 제외된다. t+2에 생성된 로그 20개는 전부 선정된다. 여기서, 선정되지 않은 로그는 저장부에 저장될 수도 있다.For example, it is assumed that only 100 logs are selected for the same generation time point by the selection method of the present invention. Here, the reference value is 100. The sampling unit checks the generation time through the log time stamp. Since there are 1000 logs generated at generation time t, 20000 logs generated at generation time t + 1, and 20 logs generated at generation time t + 2, the selection method is as follows. First, only 100 logs generated at t are selected and the remaining 900 are excluded from processing. At this time, the 100 selections may be selected based on the fact that the creation time is fast, and may be selected by various other methods. Only 100 logs generated at t + 1 are selected and the remaining 19900 are excluded from processing. All twenty logs generated at t + 2 are selected. Here, the unselected log may be stored in the storage unit.

본 발명의 선정 방법에 의해 동일한 생성 시점에 대하여는 10%의 로그만을 선정한다고 가정한다. 여기서 기준값은 10%가 된다. t에 생성된 로그 중 10%인 100개만 선정되고 나머지 900개는 처리 대상에서 제외된다. t+1에 생성된 로그는 2000개만 선정되고 나머지 18000개는 처리 대상에서 제외된다. t+2에 생성된 로그는 2개가 선정된다. 여기서, 선정되지 않은 로그는 저장부에 저장될 수도 있다.It is assumed that only 10% of logs are selected for the same generation time point by the selection method of the present invention. The reference value here is 10%. Only 100, 10% of the logs generated at t, are selected and the remaining 900 are excluded from processing. Only 2000 logs generated at t + 1 are selected and the remaining 18000 are excluded from processing. Two logs generated at t + 2 are selected. Here, the unselected log may be stored in the storage unit.

만약 동일한 경우에 종래의 선정 방식에 의해 1:10으로 선정한다면, t에 생성된 로그 100개, t+1에 생성된 로그 200개, t+2에 생성된 로그는 0개가 선정된다. 따라서 t+2에 발생한 이벤트에 대하여는 정보를 분석할 수 없다. If 1:10 is selected by the conventional selection method in the same case, 100 logs generated at t, 200 logs generated at t + 1, and 0 logs generated at t + 2 are selected. Therefore, we cannot analyze the information about the events occurring at t + 2.

동일한 시점에 발생한 로그는 유사한 기록을 가진다. 따라서, 대용량 로그가 발생한 경우에는 그 중에서 어떤 로그를 선정하여 분석하는지가 중요하다. 특히, 보안 시스템에서는 다양한 이벤트의 분석이 필요하다. 따라서 본 발명에 의한 생성 시점에 기반한 선정 방법은 로그 분석을 효율적으로 진행할 수 있도록 해준다.Logs that occur at the same time have similar records. Therefore, when a large log occurs, it is important to select which log to analyze. In particular, security systems require analysis of various events. Therefore, the selection method based on the creation time point according to the present invention enables efficient log analysis.

도 4는 본 발명의 로그 분석 시스템으로의 전송 방법의 흐름을 나타내는 도면으로서, 도 2의 로그 분석 시스템으로 전송하는 단계(S240)를 상세히 설명한다.4 is a diagram illustrating a flow of a transmission method to a log analysis system of the present invention, and the step (S240) of transmission to the log analysis system of FIG. 2 will be described in detail.

로그를 분석 시스템으로 전송하기에 앞서서, 로그 생성 시스템은 해당 CPU의 사용률을 확인하여, 한계값을 초과했는지 여부를 판단할 수 있다(S410). 해당 CPU 사용률이 지나치게 높으면, 전체 시스템(여기서, 전체 시스템은 로그 생성 시스템, 로그 분석 시스템을 포함하는 전체 시스템을 말함)이 본래의 기능을 수행하지 못할 수 있다. 여기서, 한계값은 전체 시스템이 본래의 기능을 수행하는데 있어서 부담을 주지 않을 정도의 로그 시스템에 할당된 CPU의 사용률을 의미할 수 있고, 전체 시스템의 CPU 사용률을 의미할 수 있다. 또는, 사용자에 의해 적절한 값으로 지정될 수 있다.Prior to transmitting the log to the analysis system, the log generation system may determine whether the limit value is exceeded by checking the utilization of the CPU (S410). If the CPU utilization is too high, the whole system (where the whole system refers to the whole system including the log generation system and the log analysis system) may not perform its original function. Here, the limit value may mean the utilization of the CPU allocated to the log system to the extent that the entire system does not burden the original function, and may mean the CPU utilization of the entire system. Alternatively, it may be assigned to an appropriate value by the user.

삭제delete

이를 통해, 로그의 생성 및 전송을 자동 조절할 수 있으므로, 최소의 CPU 리소스로 최대의 실시간성을 보장할 수 있다. 따라서, 본 발명은 많은 CPU 리소스를 사용하여 대량의 로그를 전송하는 경우, 실시간성은 떨어지지만 최소의 CPU 리소스 사용을 원하는 경우 등 모든 경우에 적용이 가능하다. Through this, log generation and transmission can be automatically controlled, so maximum real time can be guaranteed with minimum CPU resources. Therefore, the present invention can be applied to all cases, such as the case where a large amount of logs are transmitted using a large number of CPU resources, but the real-time properties are inferior but a minimum CPU resource is desired.

해당 CPU의 사용률이 한계값을 초과하는 경우 로그의 전송 단계는 소정 시간이 지난 이후에 수행한다(S430). 만약 해당 CPU의 사용률이 한계값을 초과하지 않는 경우에는 로그를 로그 분석 시스템으로 전송한다(S420). If the utilization rate of the CPU exceeds the threshold value, the step of transmitting the log is performed after a predetermined time (S430). If the utilization rate of the CPU does not exceed the limit value, the log is transmitted to the log analysis system (S420).

도 5는 본 발명의 전송이 지연된 로그를 처리 대상에서 제외하는 샘플링 방법의 흐름을 나타내는 도면이다.5 is a diagram illustrating a flow of a sampling method for excluding a log whose transmission is delayed according to the present invention from being processed.

로그의 타임 스탬프를 확인하여 로그가 생성된 생성 시점을 확인할 수 있다(S510). 타임 스탬프를 통해 확인된 생성 시점으로부터 소정의 시간이 경과되었는지 여부를 판단하고(S520), 판단 결과 소정의 시간이 경과된 경우 즉, 로그의 전송이 지연된 경우에는 로그를 처리 대상에서 제외한다(S530). 여기서, 소정의 시간은 로그 전송의 지연 여부를 판단하는 기준이 된다. 생성 시점으로부터 소정의 시간이 경과하였다면 이는 전송이 지연된 것으로 판단한다. 로그는 이벤트 발생에 따라 생성되므로 1초에 수천, 수만 개의 로그가 생성될 수 있다. 따라서, 보안 시스템 관리 등과 같이 로그의 실시간 분석이 요구되는 경우에는 상당 시간 전송이 지연된 로그를 분석하는 것은 의미가 없으므로 지연된 로그를 처리 대상에서 제외한다. 처리 대상에서 제외하는 것은 파일 포인터의 이동에 의해 수행될 수 있다. 로그는 생성 순서에 따라 순차적으로 처리되므로 파일 포인터를 가장 마지막 파일 다시 말해, 가장 최근에 생성된 파일로 이동함으로써 지연된 파일을 처리 대상에서 제외할 수 있다.The generation time point at which the log is generated may be checked by checking the time stamp of the log (S510). It is determined whether a predetermined time has elapsed from the generation time point identified through the time stamp (S520). If the predetermined time has elapsed, that is, when the transmission of the log is delayed, the log is excluded from the processing target (S530). ). Here, the predetermined time becomes a criterion for determining whether the log transmission is delayed or not. If a predetermined time elapses from the time of creation, it is determined that the transmission is delayed. Logs are generated based on event occurrences, which can generate thousands or tens of thousands of logs per second. Therefore, when real-time analysis of the log is required, such as security system management, it is not meaningful to analyze the log that has been delayed for a considerable time. Therefore, the delayed log is excluded from the processing. Excluding from processing may be performed by moving a file pointer. Since the log is processed sequentially according to the creation order, the delayed files can be excluded from processing by moving the file pointer to the last file, that is, the most recently created file.

예를 들어, 로그가 생성 시점으로부터 1분이 지난 경우에는 더 이상 의미없는 로그로 보아 처리 대상에서 제외하고자 하는 경우에는 지연 여부를 결정하는 소정의 시간을 1분으로 지정할 수 있다. 따라서 로그의 타임 스탬프 확인 결과, 생성 시점으로부터 이미 1분이 지난 경우에는 현재 분석 시스템으로 전송되지 못하고 적체되어 있는 로그 즉, 지연된 로그를 전부 처리 대상에서 제외한다. 이때 지연된 로그를 저장부에 저장하여 후에 분석 등의 목적으로 사용할 수 있다. For example, when one minute has elapsed since the log is generated, a predetermined time for determining whether or not to delay may be specified as one minute when it is considered to be a meaningless log and excluded from processing. Therefore, when the log has been checked for time stamps, if a minute has already passed since the time of creation, all the logs that have not been transmitted to the current analysis system, that is, the delayed logs, are excluded from processing. At this time, the delayed log can be stored in the storage and used later for analysis.

도 6은 본 발명의 전송이 지연된 로그를 샘플링하는 방법의 흐름을 나타내는 도면이다.6 is a diagram illustrating a flow of a method of sampling a log in which a transmission of the present invention is delayed.

분석 시스템으로의 전송이 지연되어 적체된 로그를 처리 대상에서 제외하고, 새로 생성된 로그에 대하여 도 3에서 설명한 선정 방법에 의한 샘플링 단계를 추가로 수행하는 절차를 나타낸다. 로그의 전송이 상당 시간 지연된 것은 현재 CPU의 리소스 부하 등에 부담이 있음을 의미한다. 따라서 지나치게 오랜 시간 지연된 로그는 처리 대상에서 제외할 뿐만 아니라, 새롭게 생성되는 로그에 대해서도 선정 방법에 의한 샘플링을 수행하는 방법이다.A procedure of additionally performing a sampling step according to the selection method described in FIG. 3 with respect to the newly generated log except the log accumulated due to delay in transmission to the analysis system is shown. A significant delay in log transfer means that there is a burden on the current CPU resource load. Therefore, the log that has been delayed for a long time is not only excluded from processing, but also a sampling method is performed on newly generated logs.

로그의 생성 시점을 확인하고(S610), 생성 시점으로부터 소정의 시간이 경과되었는지 여부를 판단한다(S620). 판단 결과, 로그의 전송이 지연된 경우에는 적체된 로그를 처리 대상에서 제외한다(S630). 판단 결과, 로그의 전송이 지연되지 않은 경우에는 생성 시점별로 로그의 개수를 확인한다(S640). 확인 결과를 통해 로그의 개수가 로그의 생성 시점별로 기준값 이상인지 여부를 판단한다(S650). 판단 결과 로그의 개수가 생성 시점별로 기준값 이상인 경우에는 그 중 일부만을 선정하여 로그의 개수를 기준값으로 제한하고(S660), 개수가 제한된 로그를 분석 시스템으로 전송한다(S670). 전송 단계는 CPU의 사용률에 따라 소정의 시간이 경과된 후에 수행될 수 있다.The generation point of the log is checked (S610), and it is determined whether a predetermined time has elapsed from the generation point (S620). If it is determined that the log transmission is delayed, the accumulated log is excluded from the processing target (S630). As a result of the determination, if the log transmission is not delayed, the number of logs for each generation time is checked (S640). Through the check result, it is determined whether the number of logs is greater than or equal to the reference value for each log generation time (S650). As a result of the determination, when the number of logs is greater than or equal to the reference value for each generation time, only a part of the logs are selected and the number of logs is limited to the reference value (S660), and the limited number of logs are transmitted to the analysis system (S670). The transmitting step may be performed after a predetermined time has elapsed according to the utilization rate of the CPU.

도 7은 본 발명의 CPU 사용률에 따른 샘플링 방법의 흐름을 나타내는 도면이다.7 is a diagram illustrating a flow of a sampling method according to the CPU utilization rate of the present invention.

이벤트 발생에 따라 생성된 로그의 분석 결과는 네트워크의 접속 내용 확인, 불법적인 접근 시도 저지 등의 다양한 용도로 활용이 가능하다. 그러나, 로그의 전송 및 분석을 위해 지나치게 많은 양의 CPU 리소스가 할당되는 것은, 전체 시스템 본래의 기능 수행을 저해할 수 있다. The analysis result of the log generated according to the occurrence of the event can be used for various purposes such as checking network access contents and preventing illegal access attempts. However, allocating an excessive amount of CPU resources for log transmission and analysis may hinder the performance of the entire system.

따라서, 본 발명의 CPU 사용률에 따른 샘플링 방법은 해당 CPU 사용률을 먼저 확인하고(S710), 한계값을 초과하였는지 여부를 판단한다(S720). 여기서, 한계값은 로그 생성 시스템에 할당된 CPU 사용률이 전체 시스템 본래의 기능 수행하는데 지장을 주지 않을 정도인 경우의 값을 의미할 수 있다. 판단 결과, 한계값을 초과하지 않은 경우에는 로그를 분석 시스템으로 전송한다(S740). 판단 결과, 한계값을 초과한 경우에는 분석 대상 로그의 수를 제한한다. 제한은 앞에서 설명한 생성 시점을 기반으로 한 선정 방법, 또는 지연된 로그를 처리 대상에서 제외하는 방법에 의하여 수행될 수 있다. 제한된 로그는 분석 시스템으로 전송된다(S740). Therefore, the sampling method according to the CPU utilization rate of the present invention first checks the CPU utilization rate (S710), and determines whether or not the threshold value is exceeded (S720). Here, the limit value may mean a value when the CPU utilization allocated to the log generating system does not interfere with the performance of the entire system. As a result of the determination, if the limit value is not exceeded, the log is transmitted to the analysis system (S740). As a result of the determination, if the limit value is exceeded, the number of logs to be analyzed is limited. The restriction may be performed by a selection method based on the generation time described above, or a method of excluding a delayed log from processing. The restricted log is transmitted to the analysis system (S740).

도 8은 본 발명의 일 실시예에 의한 접속 이벤트 발생에 따른 로그 발생 및 샘플링 방법의 흐름을 나타내는 도면이다. 8 is a flowchart illustrating a log generation and sampling method according to an access event generation according to an embodiment of the present invention.

방화벽은 로그를 사용하여 접속 내용을 기록하고, 이를 다양한 용도로 사용할 수 있다. 이때 네트워크에 접속하는 자가 많아지면 대용량 로그가 생성되어 전송, 분석 등의 절차가 지연될 수 있다. 따라서 이러한 대용량 로그의 실시간 처리를 위해 본 발명의 로그 샘플링 방법 및 시스템을 사용할 수 있다.Firewalls use logs to record their connections and can be used for a variety of purposes. At this time, if more users access the network, a large capacity log is generated, which may delay the process of transmission and analysis. Therefore, the log sampling method and system of the present invention can be used for real-time processing of such a large log.

유저가 네트워크에 접속하면(S810) 접속 이벤트가 발생하고(S815), 접속 이벤트에 따라 접속 내용을 기록하는 이벤트 로그가 생성된다(S820). 로그의 타임 스탬프 확인을 통해(S830) 로그 전송 지연이 있는지 여부를 판단한다. 이때 로그 전송 지연 여부를 판단하는 시간을 제 1 한계 시간으로 본다. 만약 판단 결과 제 1 한계 시간을 초과하지 않은 경우에는 아직 로그 전송이 지연되지 않은 것으로 판단하고, CPU 사용률을 확인한다(S880). 만약 CPU 사용률이 한계값을 초과하였다면, 소정 시간 대기한다(S890). 로그 전송으로 인한 시스템의 부하를 막기 않기 위한 것이다. 만약 CPU 사용률이 한계값을 초과하지 않았다면 바로 이벤트 로그를 분석 시스템으로 전송한다(S895).When the user connects to the network (S810), a connection event occurs (S815), and an event log for recording the connection contents according to the connection event is generated (S820). By checking the time stamp of the log (S830), it is determined whether there is a log transmission delay. At this time, the time for determining whether the log transmission is delayed is regarded as the first limit time. If it is determined that the first limit time has not been exceeded, it is determined that the log transmission has not been delayed yet and the CPU utilization rate is checked (S880). If the CPU usage exceeds the threshold, wait a predetermined time (S890). This is to prevent the load on the system due to log transfer. If the CPU utilization does not exceed the limit, the event log is immediately transmitted to the analysis system (S895).

타임 스탬프 확인 결과 로그 전송의 지연이 있다고 판단된 경우(S840) 다시 말해, 로그가 생성 시점으로부터 제 1 한계 시간을 경과했다고 판단하는 경우에는 로그의 처리 여부를 결정한다. 이때 로그의 처리 여부를 판단하는 시간을 제 2 한계 시간으로 본다. 지나치게 장시간 전송이 지연된 로그의 분석이 의미가 없는 경우에는 해당 로그를 처리하지 않기 위한 것이다. 따라서, 제 2 한계 시간을 초과한 경우에는 지연된 로그를 처리 대상에서 제외한다(S860). 파일 포인터를 EOF(end of file) 다시 말해, 가장 최근에 생성된 로그로 이동한다. 따라서 전송이 지연되어 적체되어 있는 로그를 처리 대상에서 제외시킨다. 만약 로그가 약간의 지연은 있지만 처리할 필요가 있는 경우 다시 말해, 제1 한계 시간은 초과하였지만 아직 제 2 시간을 도과하지 않은 경우에는 로그를 샘플링하여 전송이 지연된 로그 중 일부만을 처리한다. When it is determined that there is a delay in log transmission as a result of the time stamp check (S840) In other words, when it is determined that the log has passed the first limit time from the time of creation, it is determined whether the log is processed. At this time, the time for determining whether the log is processed is regarded as the second limit time. If the analysis of a log that is delayed for too long a transmission is not meaningful, the log is not processed. Therefore, when the second limit time is exceeded, the delayed log is excluded from the processing target (S860). Move the file pointer to the end of file (EOF), that is, the most recently created log. Therefore, the log which is stuck due to transmission delay is excluded from processing. If the log has some delay but needs to be processed, that is, if the first time limit is exceeded but the second time has not yet exceeded the second time, the log is sampled to process only a part of the log whose transmission is delayed.

예를 들어, 제 1 한계 시간을 10초로 제 2 한계 시간을 1분으로 설정할 수 있다. 이 경우 10초는 지연 여부 판단 기준이고, 1분은 처리 여부 판단 기준이다. 따라서, 생성 시점으로부터 10초 이내의 로그는 지연이 되지 않은 것이므로 정상적으로 처리한다. 10초에서 1분 사이의 로그는 약간의 지연은 있으나 그 정도가 심하지 않으므로 일단은 처리 대상 로그로 보고 샘플링 과정을 거친다. 1분이 초과된 로그는 지나치게 장시간 전송이 지연되었다고 판단하여 처리대상에서 제외한다. For example, the first limit time may be set to 10 seconds, and the second limit time may be set to 1 minute. In this case, 10 seconds is a determination criterion for delay, and 1 minute is a determination criterion for processing. Therefore, the log within 10 seconds from the time of creation is not delayed, so it is processed normally. The log between 10 seconds and 1 minute has a slight delay, but it is not so severe that the log is first processed and sampled. Logs exceeding 1 minute are considered to be delayed for too long and are excluded from processing.

도 1은 본 발명이 적용되는 로그 생성 시스템 및 로그 분석 시스템의 구성도.1 is a block diagram of a log generation system and log analysis system to which the present invention is applied.

도 2는 본 발명이 적용되는 로그 생성 시스템에서의 프로세스의 흐름도.2 is a flowchart of a process in a log generation system to which the present invention is applied.

도 3은 본 발명의 로그 선정 방법의 흐름도.3 is a flow chart of the log selection method of the present invention.

도 4는 본 발명의 로그 분석 시스템으로의 전송 방법의 흐름도.4 is a flowchart of a transmission method to a log analysis system of the present invention.

도 5는 본 발명의 전송이 지연된 로그를 처리 대상에서 제외하는 샘플링 방법의 흐름도.5 is a flowchart of a sampling method for excluding a log whose transmission is delayed according to the present invention from being processed.

도 6은 본 발명의 전송이 지연된 로그를 샘플링하는 방법의 흐름도.6 is a flow chart of a method for sampling a log of delayed transmission of the present invention.

도 7은 본 발명의 CPU 사용률에 따른 샘플링 방법의 흐름도.7 is a flowchart of a sampling method according to the CPU utilization rate of the present invention.

도 8은 본 발명의 일 실시예에 의한 접속 이벤트 발생에 따른 로그 발생 및 샘플링 방법의 흐름도.8 is a flowchart illustrating a log generation and sampling method according to an access event occurrence according to an embodiment of the present invention.

Claims (15)

삭제delete 삭제delete 삭제delete 이벤트 발생에 따라 로그를 생성하여 로그 분석 시스템으로 전송하는 로그 생성 시스템에서의 로그 샘플링 방법에 있어서,In the log sampling method in the log generation system for generating a log according to the occurrence of the event and transmitting to the log analysis system, 상기 로그의 생성 시점으로부터 소정 시간 경과 여부를 판단하는 제 1 단계; 및A first step of determining whether a predetermined time has elapsed from the time of generating the log; And 상기 제 1 단계에서의 판단 결과, 상기 로그의 생성 시점으로부터 상기 소정 시간이 경과된 경우에는 상기 소정 시간이 경과된 로그를 처리 대상에서 제외하는 제 2 단계As a result of the determination in the first step, when the predetermined time has elapsed from the time of generating the log, the second step of excluding the log after the predetermined time has not been processed 를 포함하는 것을 특징으로 하는 로그 샘플링 방법.Log sampling method comprising a. 제 4 항에 있어서,The method of claim 4, wherein 상기 제 1 단계에서의 판단 결과,As a result of the determination in the first step, 로그의 생성 시점으로부터 소정 시간이 경과되지 않은 경우에는,If a predetermined time has not elapsed since the log generation time, 상기 생성된 로그 중에서 상기 분석 시스템으로 전송할 분석 대상 로그를 선정하기 위해, 상기 생성된 로그의 개수가 상기 로그의 생성 시점별로 기준값 이상인지 여부를 판단하는 제 3 단계;A third step of determining whether the number of generated logs is equal to or greater than a reference value for each generation time of the logs in order to select an analysis target log to be transmitted from the generated logs to the analysis system; 상기 제 3 단계에서의 판단 결과, 상기 로그의 개수가 상기 생성 시점별로 상기 기준값 이상인 경우에는 상기 생성 시점별로 상기 로그의 개수를 상기 기준값으로 제한하는 제 4 단계; 및A fourth step of limiting the number of logs to the reference value for each generation time when the number of logs is greater than or equal to the reference value for each generation time as a result of the determination in the third step; And 상기 제 4 단계에서 제한된 상기 로그를 상기 분석 시스템으로 전송하는 제 5 단계A fifth step of transmitting the log restricted in the fourth step to the analysis system 를 더 포함하는 것을 특징으로 하는 로그 샘플링 방법.Log sampling method characterized in that it further comprises. 제 5 항에 있어서,The method of claim 5, wherein 상기 제 5 단계는, The fifth step, 해당 CPU 사용률이 소정 기준값 이상인 경우 소정 시간 이후에 수행하는 것을If the CPU utilization is more than the predetermined reference value, the operation is performed after the predetermined time. 특징으로 하는 로그 샘플링 방법.Characteristic log sampling method. 이벤트 발생에 따라 생성된 로그를, CPU 사용률에 따라 로그 분석 시스템으로 전송하는 로그 생성 시스템에서의 로그 샘플링 방법에 있어서,In the log sampling method in the log generation system for transmitting the log generated according to the event occurrence to the log analysis system according to the CPU utilization, 해당 CPU 사용률을 확인하는 제 1 단계;A first step of checking a corresponding CPU utilization rate; 상기 확인된 해당 CPU 사용률이 한계값 이상인 경우, 로그의 생성 시점으로부터 소정 시간 경과 여부를 판단하는 제 2 단계; 및 A second step of determining whether a predetermined time has elapsed from a log generation time when the identified CPU usage rate is greater than or equal to a threshold value; And 상기 제 2 단계에서의 판단 결과, 상기 로그의 생성시점으로부터 소정 시간이 경과된 경우에는 상기 소정 시간이 경과된 로그를 처리 대상에서 제외하는 제 3 단계As a result of the determination in the second step, when the predetermined time has elapsed from the time of generating the log, the third step of excluding the log after the predetermined time has not been processed 를 포함하는 것을 특징으로 하는 로그 샘플링 방법.Log sampling method comprising a. 제 7 항에 있어서,The method of claim 7, wherein 제 2 단계에서의 판단 결과, As a result of the judgment at the second stage, 로그의 생성 시점으로부터 소정 시간이 경과되지 않은 경우에는,If a predetermined time has not elapsed since the log generation time, 상기 생성된 로그 중에서 상기 분석 시스템으로 전송할 분석 대상 로그를 선정하기 위해, 상기 생성된 로그의 개수가 상기 로그의 생성 시점별로 기준값 이상인지 여부를 판단하는 제 4 단계;A fourth step of determining whether the number of generated logs is equal to or greater than a reference value for each generation time of the logs in order to select an analysis target log to be transmitted from the generated logs to the analysis system; 상기 제 4 단계에서의 판단 결과, 상기 로그의 개수가 상기 생성 시점별로 상기 기준값 이상인 경우에는 상기 생성 시점별로 상기 로그의 개수를 상기 기준값으로 제한하는 제 5 단계; 및A fifth step of limiting the number of logs to the reference value for each generation point when the number of logs is greater than or equal to the reference value for each generation point as a result of the determination in the fourth step; And 상기 제 5 단계에 의해 생성 시점별로 갯수가 제한된 상기 로그를 상기 분석 시스템으로 전송하는 제 6 단계A sixth step of transmitting the log of which the number of generation points by the fifth step is limited to the analysis system; 를 더 포함하는 것을 특징으로 하는 로그 샘플링 방법.Log sampling method characterized in that it further comprises. 제 8 항에 있어서,The method of claim 8, 상기 기준값은,The reference value is, 고정된 수치 또는 동일한 생성 시점을 갖는 로그 수의 일정 비율인A fixed percentage or a percentage of the number of logs with the same generation 로그 샘플링 방법.Log sampling method. 제 8 항에 있어서,The method of claim 8, 상기 제 6 단계는The sixth step 해당 CPU 사용률이 한계값 이상인 경우 소정 시간 이후에 수행하는 것을If the CPU utilization is above the threshold, 특징으로 하는 로그 샘플링 방법.Characteristic log sampling method. 삭제delete 이벤트 발생에 따라 로그를 생성하여 로그 분석 시스템으로 전송하는 로그 생성 시스템에 있어서,In the log generation system for generating a log according to the occurrence of the event and transmitting to the log analysis system, 상기 이벤트 발생에 따라 로그를 생성하는 생성부; 및A generation unit generating a log according to the event occurrence; And 상기 로그의 생성 시점으로부터 소정 시간 경과 여부를 판단하고, 상기 판단 결과, 상기 로그의 생성 시점으로부터 상기 소정 시간이 경과된 경우에는 상기 소정 시간이 경과된 로그를 처리 대상에서 제외하는 샘플링부It is determined whether or not a predetermined time has elapsed from the time of generating the log, and as a result of the determination, when the predetermined time has elapsed from the time of generating the log, a sampling unit which excludes the log whose time has elapsed from the processing target. 를 포함하는 것을 특징으로 하는 로그 생성 시스템.Log generation system comprising a. 이벤트 발생에 따라 생성된 로그를, CPU 사용률에 따라 로그 분석 시스템으로 전송하는 로그 생성 시스템에 있어서,In the log generation system for transmitting the log generated according to the event occurrence to the log analysis system according to the CPU utilization, 상기 이벤트 발생에 따라 상기 로그를 생성하는 생성부;A generating unit generating the log according to the event occurrence; 해당 CPU 사용률을 확인하고, 상기 확인된 해당 CPU 사용률이 한계값 이상인 경우, 상기 로그의 생성 시점으로부터 소정 시간 경과된 로그는 처리 대상에서 제외하여 상기 분석 시스템으로 전송할 분석 대상 로그의 개수를 제한하는 샘플링부; 및Checking the CPU utilization rate, and if the identified CPU utilization rate is greater than or equal to the threshold value, the sampling that limits the number of analysis target logs to be transmitted to the analysis system by excluding a log that has elapsed a predetermined time since the log generation time is not processed. part; And 상기 샘플링부에 의해 갯수가 제한된 상기 로그를 상기 분석 시스템으로 전송하는 전송부를A transmission unit for transmitting the log of which the number is limited by the sampling unit to the analysis system 포함하는 것을 특징으로 하는 로그 생성 시스템.Log generation system comprising a. 제 13 항에 있어서,The method of claim 13, 상기 샘플링부는The sampling unit 상기 로그의 생성 시점으로부터 소정 시간 경과되지 않은 로그는,Logs that have not elapsed for a predetermined time since the log is generated, 생성 시점별로 생성된 로그의 개수가 기준값 이상인지 여부를 판단하고, 상기 판단 결과, 상기 로그의 개수가 상기 생성 시점별로 상기 기준값 이상인 경우에는 상기 생성 시점별로 상기 로그의 개수를 상기 기준값으로 제한하는 것을 It is determined whether the number of logs generated by each generation time is greater than or equal to the reference value. If the number of logs is greater than or equal to the reference value by generation time, limiting the number of logs by the generation time to the reference value is determined. 특징으로 하는 로그 생성 시스템.Characterized in the log generation system. 제 14 항에 있어서,The method of claim 14, 상기 기준값은,The reference value is, 고정된 수치 또는 동일한 생성 시점을 갖는 로그 수의 일정 비율인A fixed percentage or a percentage of the number of logs with the same generation 로그 생성 시스템.Log generation system.
KR1020070116823A 2007-11-15 2007-11-15 Method and system for sampling log KR100937329B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070116823A KR100937329B1 (en) 2007-11-15 2007-11-15 Method and system for sampling log

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070116823A KR100937329B1 (en) 2007-11-15 2007-11-15 Method and system for sampling log

Publications (2)

Publication Number Publication Date
KR20090050410A KR20090050410A (en) 2009-05-20
KR100937329B1 true KR100937329B1 (en) 2010-01-18

Family

ID=40858866

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070116823A KR100937329B1 (en) 2007-11-15 2007-11-15 Method and system for sampling log

Country Status (1)

Country Link
KR (1) KR100937329B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100984639B1 (en) * 2010-04-29 2010-10-01 김경훈 Automatic security assessment system and its implementation method
KR101718599B1 (en) * 2015-01-19 2017-03-21 주식회사 엘지씨엔에스 System for analyzing social media data and method for analyzing social media data using the same

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050046373A (en) * 2003-11-14 2005-05-18 엘지엔시스(주) Method and system for managing log-file
JP2005196675A (en) 2004-01-09 2005-07-21 Kddi Corp Log analysis device, method and program
KR100514082B1 (en) 2003-04-17 2005-09-09 서울통신기술 주식회사 server system for log information management and method thereof
KR20060059093A (en) * 2004-11-26 2006-06-01 삼성전자주식회사 Apparatus and method of self-diagnostics for network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100514082B1 (en) 2003-04-17 2005-09-09 서울통신기술 주식회사 server system for log information management and method thereof
KR20050046373A (en) * 2003-11-14 2005-05-18 엘지엔시스(주) Method and system for managing log-file
JP2005196675A (en) 2004-01-09 2005-07-21 Kddi Corp Log analysis device, method and program
KR20060059093A (en) * 2004-11-26 2006-06-01 삼성전자주식회사 Apparatus and method of self-diagnostics for network

Also Published As

Publication number Publication date
KR20090050410A (en) 2009-05-20

Similar Documents

Publication Publication Date Title
EP3099024B1 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US20200052983A1 (en) Data leakage protection in cloud applications
US9560067B2 (en) Correlation based security risk identification
US10691814B2 (en) Method and system for improving security and reliability in a networked application environment
RU2488880C1 (en) System and method of adaptive optimisation of inspection of data flow sent in network for availability of threats
Maier et al. Enriching network security analysis with time travel
US20020184362A1 (en) System and method for extending server security through monitored load management
US20080244742A1 (en) Detecting adversaries by correlating detected malware with web access logs
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
JP2001217834A (en) System for tracking access chain, network system, method and recording medium
KR102160950B1 (en) Data Distribution System and Its Method for Security Vulnerability Inspection
CN110737639A (en) Audit log method, device, computer equipment and storage medium
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
US20230412591A1 (en) Traffic processing method and protection system
KR100937329B1 (en) Method and system for sampling log
US8612523B1 (en) Methods and apparatus for detecting botnet attacks
JP5969618B2 (en) Security system and security monitoring method
US10491625B2 (en) Retrieving network packets corresponding to detected abnormal application activity
EP3205068B1 (en) Method for dynamic adjustment of a level of verbosity of a component of a communications network
KR101954620B1 (en) Apparatus and method for analyzing of network traffic
CN109714228B (en) Global monitoring system for equipment and workers
KR101224994B1 (en) System for analyzing of botnet detection information and method thereof
CN114189383B (en) Method, apparatus, electronic device, medium and computer program product for blocking
CN117082147B (en) Application network access control method, system, device and medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
N231 Notification of change of applicant
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140102

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150105

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160104

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 11