Logtide 0.6.0: PII 마스킹, 키보드 단축키 & 이상 탐지

Source: Dev.to

GDPR‑준수 PII 마스킹이나 키보드 기반 탐색을 기다려오셨다면, 이번 릴리스가 바로 여러분을 위한 것입니다. 0.6.0 버전에서는 인제스트 시점에 작동하는 엔터프라이즈급 프라이버시 제어, 파워 유저를 위한 포괄적인 키보드 단축키, 그리고 고정된 임계값이 아닌 통계적 편차를 감지하는 이상 탐지 기능을 제공합니다.

처음 오신 분들을 위해: Logtide는 Datadog, Splunk, ELK의 오픈‑소스 대안입니다. 프라이버시를 최우선으로 하며, 자체 호스팅이 가능하고, 내장된 SIEM 기능과 GDPR 준수를 기본으로 제공합니다. PostgreSQL + TimescaleDB 기반으로 구축되었습니다.

• 🌐 Cloud: (무료 티어 이용 가능)
• 💻 GitHub: (330+ ⭐)
• 📦 Docker Hub: 3,500+ pulls

🔒 프라이버시 문제

로그 관리에 대해 말하자면: 귀하의 로그에는 PII가 포함되어 있습니다. 인증 로그에 있는 이메일 주소, 결제 오류에 나타나는 신용카드 번호, 어디에나 있는 IP 주소, 디버깅 중 실수로 기록된 API 키 등.

대부분의 플랫폼은 다음 중 하나를 선택합니다:

• 모든 데이터를 저장하고 보안 팀이 질문하지 않기를 기대함
• “엔터프라이즈” PII 마스킹을 유료 애드온으로 제공함
• 데이터를 전송하기 전에 마스킹하도록 요구함 (부담을 코드 쪽으로 전가)

Logtide 0.6.0은 데이터가 디스크에 기록되기 전에 인제션 단계에서 PII를 마스킹합니다 — 설계 단계에서 GDPR을 준수하며, 사후 처리로 하지 않습니다.

Source: …

✨ 새로운 기능

1. 수집 시 PII 마스킹

비활성화 시 비용 0 (≈ 0.001 ms 캐시 적중). 활성화하면 다음을 보호합니다:

• 내장 패턴: 이메일, 신용카드, 주민등록번호, 전화번호, IP 주소, API 키
• 스마트 필드 스캔: password, token, secret, authorization 필드를 자동 마스킹
• 사용자 정의 정규식 규칙: 조직‑레벨 또는 프로젝트‑레벨 패턴을 정의하여 필요에 맞게 사용

세 가지 마스킹 전략

설정 UI: /dashboard/settings/pii-masking (실시간 테스트 패널). 내장 규칙은 기본적으로 비활성화되어 있으며(옵트인), 사용자 정의 규칙은 safe-regex2 로 검증되어 ReDoS 공격을 방지합니다.

성능 – 핫‑패스 최적화로 1 000‑로그 배치당 약 6 000개의 객체 할당을 제거했습니다. 간단 문자열에 대한 조기 종료, 컴파일된 정규식 재사용, 5분 TTL의 인‑메모리 규칙 캐시가 적용되었습니다.

2. 파워 유저를 위한 키보드 단축키

마우스를 사용하지 않고 GitHub‑스타일 탐색:

• 명령 팔레트 – Ctrl/Cmd+K: 페이지와 동작을 퍼지 검색
• 도움말 모달 – ?: 플랫폼에 맞는 키를 포함한 전체 단축키 레퍼런스
• 시퀀스 네비게이션 (두 키 조합)

• 검색 네비게이션
  • / – 검색 입력에 포커스
  • J/K – 시각적 하이라이트와 함께 로그 탐색
  • Enter – 선택된 로그 확장/축소
  • R – 결과 새로 고침

입력‑인식 억제 기능으로 텍스트 영역이나 검색 상자에 입력 중일 때는 단축키가 작동하지 않도록 합니다.

3. 변화율 알림 (이상 탐지)

고정 임계값은 한계가 있습니다. 트래픽 패턴은 매일 변합니다. 오후 2시의 “정상”이 새벽 2시에는 정상적이지 않을 수 있습니다.

베이스라인 기반 알림은 로그 양이 과거 패턴과 차이가 날 때 트리거됩니다.

네 가지 베이스라인 방법

1. same_time_yesterday
2. same_day_last_week
3. rolling_7d_avg (기본값)
4. percentile_p95

스팸 방지 내장 – 지속 체크(기본 5 분), 쿨다운 기간(60 분), 최소 베이스라인 보호.

• 이메일 제목 – [Anomaly] — 3x above baseline (정적 임계값은 [Alert])
• Webhook 페이로드 – baseline_metadata와 event_type: "anomaly" 포함

스마트 기본값: 3배 편차 배수, 10분 베이스라인 윈도우, 5분 지속 체크.

4. 호스트 보안 탐지 팩

MITRE ATT&CK에 매핑된 15개의 사전 구축 규칙을 제공, 모두 호스트 기반 보안 모니터링용:

• Antivirus & Malware Pack – ClamAV FOUND 패턴, AV 스캔 실패, 웹쉘
• Rootkit Detection Pack – rkhunter/chkrootkit 패턴, 숨김 프로세스, 커널 모듈
• File Integrity Monitoring Pack – /etc/passwd 변경, SSH 설정 수정, cron 변조

모든 규칙은 logsource.product: linux 를 사용하고 복합 조건을 적용해 오탐을 최소화합니다.

5. 관리자 대시보드 개편

플랫폼 수준 가시성을 위한 전면 재설계:

• 대시보드 홈 – 4개의 상태 카드, 24 시간 활동 차트, 8개의 통계 카드, 상위 조직/프로젝트
• 시스템 상태 페이지 – DB/Redis 진단, TimescaleDB 압축 통계, 연속 집계(staleness) 상태
• 느린 쿼리 모니터링 – 현재 실행 중인 쿼리(pg_stat_activity)와 히스토리 상 가장 느린 쿼리

6. 타임라인 이벤트 마커

로그 타임라인 차트에 알림이나 보안 탐지가 발생한 시점을 시각적으로 표시합니다. 알림은 빨간 원, 탐지는 보라색 원으로 표시되며, 툴팁에 규칙 이름과 로그 수가 표시됩니다.

7. 버전 업데이트 알림

GitHub 릴리스를 확인해 새로운 버전이 있으면 관리자 대시보드 배너에 표시합니다. 6시간 캐시, semver 비교, 설정 가능한 릴리스 채널(stable / beta).

🐛 주요 수정 사항

• Client errors returning 500 instead of 4xx – 18+ API routes now correctly return 400 Bad Request with validation details.
• 4xx errors logged as ERROR – now logged as warn; 5xx remain error.
• Charts not resizing on sidebar toggle – replaced window.resize with ResizeObserver.
• Notification click navigating to wrong org – now auto‑switches organization before navigating.
• Sigma API missing MITRE fields – now includes tags, mitreTactics, mitreTechniques.
• Email logo not rendering – switched from .svg to .png for Outlook/Gmail compatibility.

📦 업그레이드

docker compose pull
docker compose up -d

(위 명령을 docker-compose.yml 파일이 있는 디렉터리에서 실행하면 최신 이미지를 가져오고 스택을 재시작합니다.)

e up -d

전체 화면 제어

• 전체 화면 모드 진입
• 전체 화면 모드 종료

새 마이그레이션 (시작 시 자동 실행)

다음은 무엇인가요?

버전 0.7.x는 컴플라이언스 및 고급 상관관계를 중심으로 계획됩니다:

• 로그 접근 감사 로그 – #94
  메타‑로깅: 누가 언제 어떤 로그에 접근했는지, 그리고 그 이유(컴플라이언스에 필수).

• 서비스 의존성 그래프 – #40
  트레이스 데이터를 기반으로 마이크로서비스 간 통신 패턴을 시각화.

• OpenTelemetry 메트릭 수집 – #4
  네이티브 OTLP 메트릭 지원(관측성 삼위일체 완성: 로그, 트레이스, 메트릭).

참고: 0.6.0의 모든 기능은 GitHub 커뮤니티 피드백에서 나왔습니다. 이슈와 토론을 계속해서 이어 주세요!

Logtide 사용해 보기

• 클라우드:
• 셀프‑호스팅:
• 문서:

전체 변경 로그

v0.5.0 → v0.6.0