Log Collector Agent
KYRA MDR Log Collector Agent는 사설 네트워크 환경에서 보안 텔레메트리를 안전하게 수집하고 전달해야 하는 조직을 위해 설계된 경량 온프레미스 에이전트입니다.
문제 정의
엔터프라이즈 및 규제 대상 고객(방위산업체, 의료기관, 금융기관)은 다음과 같은 방화벽 또는 폐쇄망 환경에서 운영됩니다:
- 원시 로그를 클라우드로 직접 전달할 수 없음
- 클라우드에서 인바운드 포트를 열 수 없음
- 원시 보안 텔레메트리를 외부로 보내기 전에 필터링해야 함
Log Collector는 고객 네트워크 내부에서 보안 프록시로 실행되어 플랫폼에 필요한 데이터만 수집, 필터링, 정규화하고 전달함으로써 이 문제를 해결합니다.
주요 기능
- 경량 설치: 최소한의 리소스 사용으로 단일 바이너리 배포 (유휴 시 ~30 MB RAM)
- 보안 전송: 상호 TLS 인증을 사용한 아웃바운드 전용 HTTPS 연결
- 다중 데이터 소스: 방화벽, EDR 에이전트, syslog 소스, Windows Event Log, 파일 기반 로그 수집
- 스마트 필터링: PII 마스킹, 필드 수준 편집, 구성 가능한 필터링 규칙
- 디스크 버퍼링: 네트워크 중단 시 데이터 손실을 방지하는 로컬 버퍼
- 자동 복구: 백프레셔 처리를 포함한 자동 재연결 및 재시도
- Zero-Copy 파싱: 최소한의 메모리 할당으로 고성능 로그 파싱
지원 데이터 소스
| 소스 유형 | 입력 방식 | 예시 |
|---|---|---|
| Syslog | TCP/UDP 리스너 | 방화벽, 라우터, Linux 시스템 |
| Windows Events | Windows Event Log API | Security, System, Application 채널 |
| EDR | 채널 구독 | CrowdStrike, SentinelOne, Microsoft Defender |
| 파일 기반 | 파일 감시 | 애플리케이션 로그, 감사 추적 |
| 네트워크 트래픽 | TAP/SPAN 인터페이스 | NDR 기능 참조 |
배포
시스템 요구 사항
| 요구 사항 | 최소 | 권장 |
|---|---|---|
| CPU | 2 코어 | 4 코어 |
| RAM | 256 MB | 512 MB |
| 디스크 | 1 GB (버퍼) | 10 GB (버퍼) |
| OS | Linux (x86_64, ARM64), Windows Server 2016+ | Linux 권장 |
| 네트워크 | 아웃바운드 HTTPS (포트 443) | 전용 네트워크 인터페이스 |
설치
Collector는 대화형 설치 프로그램이 포함된 단일 바이너리로 배포됩니다:
- 플랫폼에 맞는 collector 바이너리를 다운로드합니다
- 설치 마법사를 실행합니다 — gateway URL과 라이선스 키를 입력합니다
- 데이터 소스를 구성합니다 (syslog, Windows Events, EDR 채널, 파일 경로)
- 설치 프로그램이 TLS 인증서를 프로비저닝하고, 서비스를 구성하며, 수집을 시작합니다
구성
Collector는 다음 섹션으로 구성된 YAML 구성 파일을 사용합니다:
- Gateway: 플랫폼 엔드포인트 URL 및 인증 자격 증명
- Inputs: 데이터 소스 정의 (syslog 리스너, Windows 채널, 파일 경로)
- Filters: PII 마스킹 규칙, 필드 편집, 이벤트 필터링
- Buffer: 로컬 디스크 버퍼 크기 및 보존 설정
- Transport: 연결 매개변수, 재시도 정책, 압축 설정
보안
- 아웃바운드 전용: 인바운드 포트 불필요 — collector가 모든 연결을 시작
- 상호 TLS: collector와 플랫폼 간 인증서 기반 인증
- PII 보호: 데이터가 네트워크를 떠나기 전에 민감한 필드의 구성 가능한 마스킹 및 편집
- 무결성 검증: 변조 감지를 위한 원시 로그의 암호화 해시
- 자동 업데이트: 서명 검증을 통한 보안 업데이트 메커니즘
쿼터 & 백프레셔
Collector는 쿼터를 인식하며, 테넌트의 수집 쿼터에 따라 동작을 조정합니다:
| 사용 수준 | Collector 동작 |
|---|---|
| 쿼터의 75% 미만 | 전체 전송 속도 |
| 75% - 90% | 전송 속도 감소 |
| 90% - 100% | 중요 이벤트만 전송 |
| 쿼터 초과 (하드 캡) | 로컬에 버퍼링, 전송 중단 |
| 쿼터 초과 (초과 허용) | 전송 속도 감소, 초과 요금 적용 |
Collector는 쿼터 적용 또는 네트워크 중단 시 이벤트를 로컬에 버퍼링하고, 용량이 확보되면 자동으로 전달을 재개합니다.
관리
플랫폼은 배포된 collector에 대한 원격 관리 기능을 제공합니다:
- 상태 모니터링: 실시간 상태 보고 (정상, 저하, 오프라인)
- 원격 구성: 수동 접근 없이 구성 업데이트 푸시
- 진단: 문제 해결을 위해 collector에서 진단 데이터 요청
- Fleet 개요: 모든 배포된 collector의 상태 및 메트릭이 포함된 대시보드 뷰