【網(wǎng)絡(luò )轉載】
日志采集方式 SNMP TRAP 和 Syslog 的區別
日志文件能夠詳細記錄系統每天發(fā)生的各種各樣的事件�����,對網(wǎng)絡(luò )安全起著(zhù)非常的重要作用����。網(wǎng)絡(luò )中心有大量安全設備��,將所有的安全設備逐個(gè)查看是非常費時(shí)費力的���。另外���,由于安全設備的緩存器以先進(jìn)先出的隊列模式處理日志記錄��,保存時(shí)間不長(cháng)的記錄將被刷新��,一些重要的日志記錄有可能被覆蓋���。因此在日常網(wǎng)絡(luò )安全管理中應該建立起一套有效的日志數據采集方法����,將所有安全設備的日志記錄匯總��,便于管理和查詢(xún)�����,從中提取出有用的日志信息供網(wǎng)絡(luò )安全管理方面使用����,及時(shí)發(fā)現有關(guān)安全設備在運行過(guò)程中出現的安全問(wèn)題�,以便更好地保證網(wǎng)絡(luò )正常運行��。
采集技術(shù)比較
網(wǎng)絡(luò )管理中常用來(lái)采集日志數據的方式包括文本方式采集�、SNMP Trap方式采集和syslog方式采集��,另外����,其他采集方式��,如Telnet 采集(遠程控制命令采集)�、串口采集等�。我們如何選用比較合適的技術(shù)方式進(jìn)行日志數據采集是必須首先考慮的��,下面對當前主要的日志數據采集技術(shù)進(jìn)行簡(jiǎn)單分析��。
1) 文本方式
在統一安全管理系統中以文本方式采集日志數據主要是指郵件或FTP方式��。郵件方式是指在安全設備內設定報警或通知條件���,當符合條件的事件發(fā)生時(shí)����,相關(guān)情況被一一記錄下來(lái)����,然后在某一時(shí)間由安全設備或系統主動(dòng)地將這些日志信息以郵件形式發(fā)給郵件接受者�,屬于被動(dòng)采集日志數據方式���。其中的日志信息通常是以文本方式傳送�,傳送的信息量相對少且需專(zhuān)業(yè)人員才能看懂�。而FTP方式必須事先開(kāi)
發(fā)特定的采集程序進(jìn)行日志數據采集��,每次連接都是完整下載整個(gè)日志文本文件,網(wǎng)絡(luò )傳輸數據量可能非常大����,屬于主動(dòng)采集日志數據方式��。
隨著(zhù)網(wǎng)絡(luò )高速的發(fā)展�,網(wǎng)絡(luò )內部以百兆�、千兆甚至萬(wàn)兆互聯(lián)��,即使采取功能強大的計算機來(lái)處理日志數據包的采集工作�,相對來(lái)說(shuō)以上兩種方式速度和效率也是不盡人意�。因此��,文本方式只能在采集日志數據范圍小���、速度比較慢的網(wǎng)絡(luò )中使用��,一般在網(wǎng)絡(luò )安全管理中不被主要采用���。
2) SNMP trap方式
建立在簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議SNMP上的網(wǎng)絡(luò )管理���,SNMP TRAP是基于SNMP MIB的�����,因為SNMP MIB 是定義了這個(gè)設備都有哪些信息可以被收集���,哪些trap的觸發(fā)條件可以被定義���,只有符合TRAP觸發(fā)條件的事件才被發(fā)送出去�����。人們通常使用 SNMP Trap機制進(jìn)行日志數據采集����。生成Trap消息的事件(如系統重啟)由Trap代理內部定義���,而不是通用格式定義�����。由于Trap機制是基于事件驅動(dòng)的�,代理只有在監聽(tīng)到故障時(shí)才通知管理系統����,非故障信息不會(huì )通知給管理系統�。對于該方式的日志數據采集只能在SNMP下進(jìn)行�����,生成的消息格式單獨定義����,對于不支持SNMP設備通用性不是很強�。
網(wǎng)絡(luò )設備的部分故障日志信息���,如環(huán)境���、SNMP訪(fǎng)問(wèn)失效等信息由SNMP Trap進(jìn)行報告�,通過(guò)對 SNMP 數據報文中 Trap字段值的解釋就可以獲得一條網(wǎng)絡(luò )設備的重要信息���,由此可見(jiàn)管理進(jìn)程必須能夠全面正確地解釋網(wǎng)絡(luò )上各種設備所發(fā)送的Trap數據���,這樣才能完成對網(wǎng)絡(luò )設備的信息監控和數據采集�。
但是由于網(wǎng)絡(luò )結構和網(wǎng)絡(luò )技術(shù)的多樣性�,以及不同廠(chǎng)商管理其網(wǎng)絡(luò )設備的手段不同�,要求網(wǎng)絡(luò )管理系統不但對公有Trap能夠正確解釋?zhuān)獙Σ煌瑥S(chǎng)商網(wǎng)絡(luò )設備的私有部分非常了解��,這樣才能正確解析不同廠(chǎng)商網(wǎng)絡(luò )設備所發(fā)送的私有Trap�,這也需要跟廠(chǎng)商緊密合作��,進(jìn)行聯(lián)合技術(shù)開(kāi)發(fā)��,從而保證對私有 Trap 完整正確的解析和應用��。此原因導致該種方式面對不同廠(chǎng)商的產(chǎn)品采集日志數據方式需單獨進(jìn)行編程處理��,且要全面解釋所有日志信息才能有效地采集到日志數據�����。 由此可見(jiàn)��,該采集在日常日志數據采集中通用性不強���。
3) syslog方式
已成為工業(yè)標準協(xié)議的系統日志(syslog)協(xié)議是在加里佛尼亞大學(xué)伯克立軟件分布研究中心(BSD)的TCP/IP 系統實(shí)施中開(kāi)發(fā)的�����,目前��,可用它記錄設備的日志�����。在路由器����、交換機����、服務(wù)器等網(wǎng)絡(luò )設備中�,syslog記錄著(zhù)系統中的任何事件����,管理者可以通過(guò)查看系統記錄���,隨時(shí)掌握系統狀況�����。它能夠接收遠程系統的日志記錄��,在一個(gè)日志中按時(shí)間順序處理包含多個(gè)系統的記錄,并以文件形式存盤(pán)�����。同時(shí)不需要連接多個(gè)系統��,就可以在一個(gè)位置查看所有的記錄�。syslog使用UDP作為傳輸協(xié)議���,通過(guò)目的端口514(也可以是其他定義的端口號), 將所有安全設備的日志管理配置發(fā)送到安裝了syslog軟件系統的日志服務(wù)器���,syslog日志服務(wù)器自動(dòng)接收日志數據并寫(xiě)到日志文件中�����。
另外�,選用以syslog方式采集日志數據非常方便���,且具有下述原因:
第一����,Syslog 協(xié)議廣泛應用在編程上����,許多日志函數都已采納syslog協(xié)議��,syslog用于許多保護措施中�����??梢酝ㄟ^(guò)它記錄任何事件����。通過(guò)系統調用記錄用戶(hù)自行開(kāi)發(fā)的應用程序的運行狀況���。研究和開(kāi)發(fā)一些系統程序是日志系統的重點(diǎn)之一�����,例如網(wǎng)絡(luò )設備日志功能將網(wǎng)絡(luò )應用程序的重要行為向 syslog接口呼叫并記錄為日志����,大部分內部系統工具(如郵件和打印系統)都是如此生成信息的����,許多新增的程序(如tcpwrappers和SSH)也是如此工作的���。通過(guò)syslogd(負責大部分系統事件的守護進(jìn)程)����,將系統事件可以寫(xiě)到一個(gè)文件或設備中���,或給用戶(hù)發(fā)送一個(gè)信息����。它能記錄本地事件或通過(guò)網(wǎng)絡(luò )記錄到遠端設備上的事件��。
第二�����,當今網(wǎng)絡(luò )設備普遍支持syslog協(xié)議��。幾乎所有的網(wǎng)絡(luò )設備都可以通過(guò)syslog協(xié)議����,將日志信息以用戶(hù)數據報協(xié)議(UDP)方式傳送到遠端服務(wù)器��,遠端接收日志服務(wù)器必須通過(guò)syslogd監聽(tīng)UDP 端口514���,并根據syslog.conf配置文件中的配置處理本機���,接收訪(fǎng)問(wèn)系統的日志信息�,把指定的事件寫(xiě)入特定文件中���,供后臺數據庫管理和響應之用����。意味著(zhù)可以讓任何事件都登錄到一臺或多臺服務(wù)器上����,以備后臺數據庫用off-line(離線(xiàn)) 方法分析遠端設備的事件����。
第三��,Syslog 協(xié)議和進(jìn)程的最基本原則就是簡(jiǎn)單�����,在協(xié)議的發(fā)送者和接收者之間不要求嚴格的相互協(xié)調�����。事實(shí)上�����,syslog信息的傳遞可以在接收器沒(méi)有被配置甚至沒(méi)有接收器的情況下開(kāi)始����。反之��,在沒(méi)有清晰配置或定義的情況下�,接收器也可以接收到信息��。
|
