Cisco 스위치와 PRTG Syslog 연동 방법
들어가며
네트워크 장비를 운영하다 보면 단순히 장비의 CPU, 메모리, 트래픽 사용량만 모니터링하는 것으로는 장애를 완벽하게 파악하기 어렵다. 실제 장애 발생 시에는 장비에서 생성되는 로그(Log)를 확인해야 정확한 원인을 분석할 수 있다.
예를 들어 스위치 포트가 Down되었거나, STP Topology Change가 발생했거나, Port Security 위반이 발생했거나, 사용자가 비인가 장비를 연결했을 경우 대부분 Syslog 형태로 이벤트가 기록된다.
Cisco 스위치는 이러한 이벤트를 Syslog 서버로 전송할 수 있으며, PRTG Network Monitor에서는 Syslog Receiver Sensor를 통해 로그를 수집하고 모니터링할 수 있다.
특히 중소기업이나 공공기관에서는 별도의 SIEM 솔루션 없이도 PRTG를 활용하여 Cisco 스위치의 Syslog를 통합 관리하는 경우가 많다.
이번 글에서는 Cisco 스위치와 PRTG Syslog 연동 방법, Syslog 동작 원리, 설정 방법, 검증 절차 및 실무 활용 사례까지 자세히 알아보겠다.
Syslog란 무엇인가?
Syslog는 네트워크 장비, 서버, 방화벽, 무선 컨트롤러 등이 생성하는 이벤트 로그를 중앙 서버로 전송하는 표준 프로토콜이다.
예를 들어 Cisco 스위치에서 다음과 같은 이벤트가 발생했다고 가정해 보자.
인터페이스 Down
인터페이스 Up
STP 변경
포트 보안 위반
사용자 로그인
설정 변경이러한 이벤트는 Syslog 메시지 형태로 생성된다.
예시
%LINK-3-UPDOWN:
Interface GigabitEthernet1/0/10,
changed state to down또는
%LINEPROTO-5-UPDOWN:
Line protocol on Interface
GigabitEthernet1/0/10,
changed state to up이 로그를 중앙 서버인 PRTG로 전송하여 실시간 모니터링할 수 있다.
PRTG Syslog 연동이 필요한 이유
많은 관리자들이 SNMP만 설정하고 운영하는 경우가 있다.
하지만 SNMP는 상태 정보 확인에 적합할 뿐 이벤트 원인 분석에는 한계가 있다.
예를 들어
포트 Down 발생SNMP
포트 Down 확인 가능하지만
왜 Down 되었는지는 알 수 없다.
반면 Syslog는
포트 Down
포트 Up
Port Security 위반
STP 변경
사용자 로그인등 상세 원인을 확인할 수 있다.
Cisco Syslog 동작 원리
기본 구조는 다음과 같다.
Cisco Switch
│
UDP 514
│
PRTG ServerCisco 스위치에서 생성된 로그가 UDP 514 포트를 이용하여 PRTG 서버로 전송된다.
로그 흐름 예시
포트 Down 발생
↓
Syslog 생성
↓
PRTG 전송
↓
Sensor 수신
↓
알림 발생Syslog Severity 이해하기
Cisco 장비는 Severity Level을 사용한다.
낮은 숫자일수록 중요도가 높다.
Level설명
| 0 | Emergency |
| 1 | Alert |
| 2 | Critical |
| 3 | Error |
| 4 | Warning |
| 5 | Notification |
| 6 | Informational |
| 7 | Debugging |
실무에서는 주로 다음을 사용한다.
logging trap informational또는
logging trap warningsPRTG Syslog Receiver Sensor 생성
PRTG 서버에서 먼저 Syslog 수신 센서를 생성해야 한다.
메뉴
Devices
↓
Local Probe
↓
Add Sensor
↓
Syslog Receiver선택
생성 후 확인
UDP Port
514기본값 사용
Windows 방화벽에서 UDP 514 허용도 확인해야 한다.
Cisco 스위치 Syslog 기본 설정
Syslog 서버 등록
PRTG 서버 IP
192.168.10.100가정
설정
configure terminal
logging host 192.168.10.100로그 전송 활성화
logging onSeverity 설정
logging trap informational또는
logging trap warnings설정 저장
write memorySyslog Source Interface 설정
실무에서 매우 중요하다.
예시
Management VLAN
Vlan100
IP
192.168.100.10설정
logging source-interface vlan 100장점
고정 IP 사용
라우팅 안정성 확보
로그 추적 용이Syslog Timestamp 설정
로그 분석 시 필수 설정이다.
현재 시간 표시
service timestamps log datetime msec예시
Jun 24 09:30:15.123밀리초까지 확인 가능
Syslog Facility 설정
일부 환경에서는 Facility 지정이 필요하다.
설정
logging facility local7일반적으로 기본값 사용 가능
Syslog 설정 확인 방법
현재 설정 확인
show running-config | include logging예시
logging host 192.168.10.100
logging trap informational
logging source-interface vlan100상태 확인
show logging출력 예시
Syslog logging: enabled테스트 로그 생성 방법
가장 쉬운 방법
interface gi1/0/10
shutdown
no shutdownSyslog 생성
LINK-3-UPDOWNPRTG에서 확인 가능
또는
configure terminal
hostname TEST-SW설정 변경 로그 발생
PRTG에서 Syslog 확인 방법
Sensor 선택
Syslog Receiver Sensor↓
Messages탭 확인
예시
LINK-3-UPDOWN
LINEPROTO-5-UPDOWN
CONFIG_I실시간으로 로그 확인 가능
Syslog가 수신되지 않는 경우
네트워크 연결 확인
Ping 테스트
ping 192.168.10.100UDP 514 확인
PRTG 서버 방화벽 확인
UDP 514 허용Source Interface 확인
show run | include source-interfaceSyslog 설정 확인
show logging라우팅 확인
show ip route실무 활용 사례
포트 장애 모니터링
예시
LINK-3-UPDOWN발생 시
PRTG 알림 발송
Port Security 위반 감지
로그
PSECURE_VIOLATION확인 가능
STP 변경 감지
로그
SPANTREE확인
관리자 설정 변경 추적
로그
CONFIG_I수집 가능
장비 재부팅 확인
로그
SYS-5-RESTART확인 가능
Cisco 스위치 Syslog 권장 설정
실무 예제
configure terminal
service timestamps log datetime msec
logging on
logging host 192.168.10.100
logging source-interface vlan100
logging trap informational
logging facility local7
end
write memory운영 시 주의사항
Debug 레벨 사용 주의
logging trap debugging설정 시
과도한 로그 발생가능
로그 저장 공간 확인
PRTG 서버 저장 공간 관리 필요
시간 동기화 필수
NTP 설정 권장
ntp server 192.168.10.1Management VLAN 사용 권장
운영 트래픽과 분리
구축 후 점검 체크리스트
□ PRTG Syslog Receiver 생성
□ UDP 514 허용 확인
□ Cisco Syslog 활성화
□ Syslog 서버 등록
□ Source Interface 설정
□ Timestamp 설정
□ Severity 설정
□ Ping 테스트 수행
□ 테스트 로그 생성
□ PRTG 로그 수신 확인
□ NTP 동기화 확인
□ 설정 저장 확인마무리
Cisco 스위치와 PRTG Syslog 연동은 단순한 로그 수집 기능을 넘어 네트워크 운영 효율성을 크게 향상시키는 중요한 구성 요소이다. SNMP가 장비의 상태를 보여준다면 Syslog는 장애의 원인과 이벤트 이력을 제공한다.
특히 포트 Down, STP 변경, Port Security 위반, 관리자 설정 변경, 장비 재부팅과 같은 이벤트를 실시간으로 수집할 수 있어 장애 대응 시간을 크게 단축할 수 있다.
실무에서는 SNMP 모니터링과 Syslog 수집을 함께 구성하는 것이 일반적이며, PRTG의 Syslog Receiver Sensor를 활용하면 별도의 로그 서버 없이도 손쉽게 Cisco 장비 로그를 통합 관리할 수 있다. 따라서 Cisco 스위치를 운영하는 환경이라면 Syslog 연동은 필수적인 모니터링 구성 중 하나라고 할 수 있다.