QueryPie audit 로그와 syslog 갯수가 왜 다른가요?

소개

이 가이드는 QueryPie Audit 로그와 Splunk에 수집된 syslog 간의 로그 건수 차이가 발생하는 원인을 이해하는 데 도움을 드립니다.

• 대상 독자: QueryPie 관리자 및 Splunk 로그 모니터링 담당자

• 예상 소요 시간: 5-10분

로그 정합성 차이의 원인 요약

1. 로그 생성 메커니즘 차이: QueryPie는 SQL 실행 완료 시점에 1건의 Audit 로그를 생성하지만, syslog는 SQL 실행 시작과 완료 시점에 각각 1건씩 총 2건의 로그를 생성합니다.

2. 검색 조건 차이: 로그 조회 시 적용된 필터링 조건(기간, 사용자, SQL 구문 등)이 다를 경우 결과 건수가 다를 수 있습니다.

3. 로그 전송 실패: 네트워크 문제나 시스템 부하로 인해 syslog 전송이 실패하는 경우가 있을 수 있습니다.

QueryPie Audit 로그와 Syslog 로그의 관계 이해하기

QueryPie Audit 로그 특성

• 생성 시점: SQL 쿼리 실행이 완료된 시점에 1건 생성

• 포함 정보: 실행 SQL, 실행 시간, 조회된 row 수, 사용자 정보 등

• 저장 위치: QueryPie 내부 데이터베이스

Syslog 로그 특성

• 생성 시점:

  • SQL 쿼리 실행 시작 시점: 1건 생성

  • SQL 쿼리 실행 완료 시점: 1건 생성 (실행 결과 포함)

• 포함 정보:

  • 실행 시작 로그: primaryKey, SQL 쿼리 텍스트, 사용자 정보

  • 실행 완료 로그: primaryKey, 실행 시간, 결과 row 수 등

• 저장 위치: Splunk와 같은 외부 로그 수집 시스템

핵심 차이점 ⚠️

동일한 SQL 실행에 대해 QueryPie는 1건, Syslog는 2건의 로그가 생성됩니다. 이로 인해 단순 건수 비교 시 Syslog 건수가 QueryPie Audit 로그 건수의 약 2배가 되는 것이 정상적인 패턴입니다.