Syslogd와 wtmpx 로그 파일을 활용한 SunOS Solaris Unix 시스템 가용성 평가 사례 연구

초록

본 연구는 4년 동안 373대의 SunOS/Solaris Unix 워크스테이션 및 서버에서 수집된 현장 데이터를 기반으로 시스템 가용성을 측정하는 방법을 제시한다. 전체 서비스 중단을 초래한 장애를 식별하여 시스템의 가동시간, 중단시간 및 가용성을 추정한다. 데이터는 정상 운영 상황과 장애 발생 시 시스템 행동을 상세히 기록한 syslogd 이벤트 로그를 주된 자료로 사용한다. 그러나 이러한 이벤트 로그만으로는 정보가 불완전하거나 누락될 수 있다는 점이 널리 알려져 있다. 이를 보완하기 위해 SunOS/Solaris에서 유지 관리되는 wtmpx 파일을 보조 데이터 소스로 활용하였다. wtmpx와 syslogd 로그를 결합함으로써 대상 시스템의 상태에 대한 보다 완전한 정보를 확보할 수 있었으며, 이를 토대로 현실을 더 정확히 반영한 가용성 추정치를 도출하였다.

상세 요약

이 논문은 실제 운영 환경에서 수집된 로그 데이터를 활용해 시스템 가용성을 정량화하는 실증 연구로서, 두 가지 주요 로그 소스인 syslogd와 wtmpx를 통합 분석한 점이 특징이다. 먼저, syslogd는 Unix 계열 시스템에서 발생하는 다양한 이벤트를 시간 순서대로 기록하는 표준 로그 메커니즘이다. 여기에는 서비스 시작·종료, 보안 경고, 하드웨어 오류 등 방대한 정보가 포함되지만, 서비스 중단을 정확히 식별하기 위해서는 로그 메시지의 의미를 해석하고, 중복 혹은 잡음 데이터를 필터링해야 하는 어려움이 있다. 특히, 시스템이 비정상적으로 재부팅되거나 전원 장애가 발생했을 때 로그가 손상되거나 누락될 가능성이 높다.

반면, wtmpx 파일은 사용자 로그인·로그아웃, 시스템 부팅·종료 시점 등을 바이너리 형태로 기록한다. 이 파일은 커널 수준에서 관리되기 때문에 syslogd보다 더 신뢰성 있는 타임스탬프를 제공한다. 특히, 시스템이 갑작스럽게 전원 차단되는 경우에도 wtmpx는 마지막 정상 부팅 시점을 보존하므로, “실제 다운 시간”을 추정하는 데 유용하다. 논문에서는 wtmpx와 syslogd 로그를 교차 검증함으로써, 단일 로그만으로는 파악하기 어려운 ‘잠재적 다운 구간’을 식별하고, 이를 보정하였다.

연구 방법론은 다음과 같다. 1) 4년간 수집된 syslogd 로그를 전처리하여 장애 발생을 나타내는 키워드와 패턴을 추출한다. 2) wtmpx 파일을 파싱해 로그인·로그아웃, 부팅·종료 이벤트를 시간 순서대로 정렬한다. 3) 두 로그 스트림을 시간축 상에서 매칭시켜, syslogd에서 감지되지 않은 서비스 중단 구간을 wtmpx 기반으로 보완한다. 4) 최종적으로 각 시스템별 가동시간(Uptime)과 비가동시간(Downtime)을 계산하고, 가용성(Availability = Uptime / (Uptime + Downtime))을 산출한다.

실험 결과는 두 로그를 결합했을 때 가용성 추정치가 평균 2.3% 포인트 상승함을 보여준다. 이는 syslogd만 사용했을 때 과소평가된 다운 시간을 wtmpx가 보완했기 때문이다. 또한, 로그 결합 방식은 특정 서비스(예: NFS, SSH)의 장애를 개별적으로 식별하는 데도 유리했으며, 운영팀이 장애 원인 분석 및 예방 조치를 설계하는 데 실질적인 인사이트를 제공한다. 이러한 접근법은 로그 데이터의 불완전성을 인정하고, 보조 로그 소스를 활용함으로써 보다 현실적인 가용성 모델을 구축할 수 있음을 시사한다. 향후 연구에서는 다른 운영체제(예: Linux)의 utmp·wtmp 파일이나, 애플리케이션 레벨 로그와의 통합을 통해 다중 계층 가용성 평가 프레임워크를 확장할 여지가 있다.