[FortiAnalyzer] 1줄 = 1세션이 아니다? 장기 세션 (2분 이상) 로그 기록 주기 완벽 정리

[FortiAnalyzer] 1줄 = 1세션이 아니다? 장기 세션 (2분 이상) 로그 기록 주기 완벽 정리

개요: 로그 분석 시 흔히 하는 오해

방화벽 운영이나 트러블슈팅 시 FortiAnalyzer(포티애널라이저)에서 리포트를 추출해 로그를 분석하는 경우가 많습니다. 이때 많은 분들이 "로그 1줄 = 1개의 고유 세션"이라고 생각하는 오류를 범하곤 합니다. 저 역시 실무에서 로그를 교차 검증하다가 이 부분에서 혼동을 겪었던 경험이 있습니다.

 

원인: 2분 이상 지속되는 통신의 로그 기록 방식

결론부터 말씀드리면, FortiGate와 FortiAnalyzer 환경에서 트래픽 로그는 단순히 세션의 시작과 종료 시점에만 남는 것이 아닙니다.
2분 이상 지속되는 긴 통신(세션)의 경우, 방화벽은 해당 세션을 유지하면서 2분마다 주기적으로 중간 로그(Interim Log)를 기록하여 FAZ로 전송합니다.

왜 이렇게 디자인되었을까?

대용량 파일 다운로드나 지속적인 스트리밍처럼 세션이 길게 유지되는 경우, 세션이 완전히 종료될 때까지 기다렸다가 로그를 남기면 실시간 대역폭(Bandwidth) 사용량이나 현재 통신 상태를 모니터링하기 어렵기 때문입니다.

 

 

실무 주의사항 및 팁 (Pro Tip)

• 세션 ID(Session ID) 확인 필수: 로그 리포트에서 여러 줄이 출력되었다고 해서 무조건 다른 세션이라고 판단하면 안 됩니다. 반드시 Session ID 필드를 확인하여 동일한 세션 ID를 가진 로그인지 그룹화해서 분석해야 합니다.
• 트래픽 합산 시 주의: 특정 IP의 총 사용 트래픽을 계산할 때, 단순히 엑셀에서 모든 줄의 트래픽을 합산(Sum)해 버리면 2분마다 기록된 중복 세션의 누적 트래픽까지 뻥튀기되어 계산될 수 있습니다.

 

 

💡 [실무 예시] 트래픽 단순 합산 시 발생하는 끔찍한(?) 결과

예를 들어, 어떤 사용자가 6분 동안 1GB짜리 단일 파일을 다운로드했다고 가정해 보겠습니다. (Session ID: 12345)
• 1번째 로그 (2분 경과, 중간 로그): 트래픽 300MB 기록
• 2번째 로그 (4분 경과, 중간 로그): 트래픽 700MB 기록 (누적)
• 3번째 로그 (6분 경과, 종료 로그): 트래픽 1000MB 기록 (최종 누적)
엑셀로 리포트를 뽑아서 이 3줄의 트래픽을 단순히 SUM 함수로 더해버리면 어떻게 될까요?

❌ 잘못된 분석 (단순 합산): 300MB + 700MB + 1000MB = 총 2000MB (2GB)
✅ 올바른 분석: 동일한 Session ID(12345)로 묶은 뒤, 마지막 종료 시점의 누적 값인 1000MB (1GB)만 인정

고작 6분짜리 통신도 실제보다 2배나 뻥튀기되는데, 만약 1시간 내내 연결된 세션(로그 30줄 생성)의 트래픽을 단순 합산한다면... 상상만 해도 끔찍한 트래픽 통계 오류가 발생하겠죠? 보고서 올리기 전에 세션 ID 기준 중복 제거는 선택이 아닌 필수입니다!

 

 

마무리

단순해 보이는 로그 1줄에도 벤더사의 아키텍처 철학이 담겨 있습니다. FortiAnalyzer에서 리포트 추출 후 데이터를 가공하실 때, 이 '2분 주기 기록' 특성을 반드시 염두에 두고 정확한 세션 및 트래픽 분석을 하시길 바랍니다.