採集技術比較
網絡管理中常用來採集日誌數據的方式包括文本方式採集、SNMP Trap方式採集和syslog方式採集,另外,其他採集方式,如Telnet 採集(遠程控制命令採集)、串口採集等。我們如何選用比較合適的技術方式進行日誌數據採集是必須首先考慮的,下面對當前主要的日誌數據採集技術進行簡單分 析。
網絡管理中常用來採集日誌數據的方式包括文本方式採集、SNMP Trap方式採集和syslog方式採集,另外,其他採集方式,如Telnet 採集(遠程控制命令採集)、串口採集等。我們如何選用比較合適的技術方式進行日誌數據採集是必須首先考慮的,下面對當前主要的日誌數據採集技術進行簡單分 析。
文本方式
在統一安全管理系統中以文本方式採集日誌數據主要是指郵件或FTP方式。郵件 方式是指在安全設備內設定報警或通知條件,當符合條件的事件發生時,相關情況被一一記錄下來,然後在某一時間由安全設備或系統主動地將這些日誌信息以郵件 形式發給郵件接受者,屬於被動採集日誌數據方式。其中的日誌信息通常是以文本方式傳送,傳送的信息量相對少且需專業人員才能看懂。而FTP方式必須事先開 發特定的採集程序進行日誌數據採集,每次連接都是完整下載整個日誌文本文件,網絡傳輸數據量可能非常大,屬於主動採集日誌數據方式。
在統一安全管理系統中以文本方式採集日誌數據主要是指郵件或FTP方式。郵件 方式是指在安全設備內設定報警或通知條件,當符合條件的事件發生時,相關情況被一一記錄下來,然後在某一時間由安全設備或系統主動地將這些日誌信息以郵件 形式發給郵件接受者,屬於被動採集日誌數據方式。其中的日誌信息通常是以文本方式傳送,傳送的信息量相對少且需專業人員才能看懂。而FTP方式必須事先開 發特定的採集程序進行日誌數據採集,每次連接都是完整下載整個日誌文本文件,網絡傳輸數據量可能非常大,屬於主動採集日誌數據方式。
隨着網絡高速的發展,網絡內部以百兆、千兆甚至萬兆互聯,即使採取功能強大的計算機來處理日誌數據包的採集工作,相對來說以上兩種方式速度和效率也是不盡人意。因此,文本方式只能在採集日誌數據範圍小、速度比較慢的網絡中使用,一般在網絡安全管理中不被主要採用。
SNMP trap方式
建立在簡單網絡管理協議SNMP上的網絡管理,SNMP TRAP是基於SNMP MIB的,因爲SNMP MIB 是定義了這個設備都有哪些信息可以被收集,哪些trap的觸發條件可以被定義,只有符合TRAP觸發條件的事件才被髮送出去。人們通常使用 SNMP Trap 機制進行日誌數據採集。生成Trap消息的事件(如系統重啓)由Trap代理內部定義,而不是通用格式定義。由於Trap機制是基於事件驅動的,代理只有在監聽到故障時才通知管理系統,非故障信息不會通知給管理系統。對於該方式的日誌數據採集只能在SNMP下進行,生成的消息格式單獨定義,對於不支持 SNMP設備通用性不是很強。
建立在簡單網絡管理協議SNMP上的網絡管理,SNMP TRAP是基於SNMP MIB的,因爲SNMP MIB 是定義了這個設備都有哪些信息可以被收集,哪些trap的觸發條件可以被定義,只有符合TRAP觸發條件的事件才被髮送出去。人們通常使用 SNMP Trap 機制進行日誌數據採集。生成Trap消息的事件(如系統重啓)由Trap代理內部定義,而不是通用格式定義。由於Trap機制是基於事件驅動的,代理只有在監聽到故障時才通知管理系統,非故障信息不會通知給管理系統。對於該方式的日誌數據採集只能在SNMP下進行,生成的消息格式單獨定義,對於不支持 SNMP設備通用性不是很強。
網絡設備的部分故障日誌信息,如環境、SNMP訪問失效等信息由SNMP Trap進行報告,通過對 SNMP 數據報文中 Trap 字段值的解釋就可以獲得一條網絡設備的重要信息,由此可見管理進程必須能夠全面正確地解釋網絡上各種設備所發送的Trap數據,這樣才能完成對網絡設備的 信息監控和數據採集。
但是由於網絡結構和網絡技術的多樣性,以及不同廠商管理其網絡設備的手段不同,要求網絡管理系統不但對公有 Trap能夠正確解釋,更要對不同廠商網絡設備的私有部分非常瞭解,這樣才能正確解析不同廠商網絡設備所發送的私有 Trap,這也需要跟廠商緊密合作,進行聯合技術開發,從而保證對私有 Trap 完整正確的解析和應用。此原因導致該種方式面對不同廠商的產品採集日誌數據方式需單獨進行編程處理,且要全面解釋所有日誌信息纔能有效地採集到日誌數據。 由此可見,該採集在日常日誌數據採集中通用性不強。
syslog方式
已成爲工業標準協議的系統日誌 (syslog)協議是在加里佛尼亞大學伯克立軟件分佈研究中心(BSD)的TCP/IP 系統實施中開發的,目前,可用它記錄設備的日誌。在路由器、交換機、服務器等網絡設備中,syslog記錄着系統中的任何事件,管理者可以通過查看系統記 錄,隨時掌握系統狀況。它能夠接收遠程系統的日誌記錄,在一個日誌中按時間順序處理包含多個系統的記錄,並以文件形式存盤。同時不需要連接多個系統,就可 以在一個位置查看所有的記錄。syslog使用UDP作爲傳輸協議,通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日誌管理配置發送 到安裝了syslog軟件系統的日誌服務器,syslog日誌服務器自動接收日誌數據並寫到日誌文件中。
已成爲工業標準協議的系統日誌 (syslog)協議是在加里佛尼亞大學伯克立軟件分佈研究中心(BSD)的TCP/IP 系統實施中開發的,目前,可用它記錄設備的日誌。在路由器、交換機、服務器等網絡設備中,syslog記錄着系統中的任何事件,管理者可以通過查看系統記 錄,隨時掌握系統狀況。它能夠接收遠程系統的日誌記錄,在一個日誌中按時間順序處理包含多個系統的記錄,並以文件形式存盤。同時不需要連接多個系統,就可 以在一個位置查看所有的記錄。syslog使用UDP作爲傳輸協議,通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日誌管理配置發送 到安裝了syslog軟件系統的日誌服務器,syslog日誌服務器自動接收日誌數據並寫到日誌文件中。
另外,選用以syslog方式採集日誌數據非常方便,且具有下述原因:
第一,Syslog 協議廣泛應用在編程上,許多日誌函數都已採納 syslog協議,syslog用於許多保護措施中。可以通過它記錄任何事件。通過系統調用記錄用戶自行開發的應用程序的運行狀況。研究和開發一些系統程 序是日誌系統的重點之一,例如網絡設備日誌功能將網絡應用程序的重要行爲向 syslog 接口呼叫並記錄爲日誌,大部分內部系統工具(如郵件和打印系統)都是如此生成信息的,許多新增的程序(如tcpwrappers和SSH)也是如此工作 的。通過syslogd(負責大部分系統事 件的守護進程),將系統事件可以寫到一個文件或設備中,或給用戶發送一個信息。它能記錄本地事件或通過網絡記錄到遠端設備上的事件。
第二,當今網絡設備普遍支持syslog協議。幾乎所有的網絡設備都可以通過syslog協議,將日誌信息以用戶數據報協議(UDP)方式傳送 到遠端服務器,遠端接收日誌服務器必須通過syslogd監聽UDP 端口514,並根據 syslog.conf配置文件中的配置處理本機,接收訪問系統的日誌信息,把指定的事件寫入特定文件中,供後臺數據庫管理和響應之用。意味着可以讓任何 事件都登錄到一臺或多臺服務器上,以備後臺數據庫用off-line(離線) 方法分析遠端設備的事件。
第三,Syslog 協議和進程的最基本原則就是簡單,在協議的發送者和接收者之間不要求嚴格的相互協調。事實上,syslog信息的傳遞可以在接收器沒有被配置甚至沒有接收器的情況下開始。反之,在沒有清晰配置或定義的情況下,接收器也可以接收到信息。