採集技術比較
網絡管理中常用來採集日誌數據的方式包括文本方式採集、SNMP Trap方式採集和syslog方式採集,另外,其他採集方式,如Telnet 採集(遠程控制命令採集)、串口採集等。我們如何選用比較合適的技術方式進行日誌數據採集是必須首先考慮的,下面對當前主要的日誌數據採集技術進行簡單分 析。
文本方式
在統一安全管理系統中以文本方式採集日誌數據主要是指郵件或FTP方式。郵件方式是指 在安全設備內設定報警或通知條件,當符合條件的事件發生時,相關情況被一一記錄下來,然後在某一時間由安全設備或系統主動地將這些日誌信息以郵件形式發給 郵件接受者,屬於被動採集日誌數據方式。其中的日誌信息通常是以文本方式傳送,傳送的信息量相對少且需專業人員才能看懂。而FTP方式必須事先開發特定的 採集程序進行日誌數據採集,每次連接都是完整下載整個日誌文本文件,網絡傳輸數據量可能非常大,屬於主動採集日誌數據方式。
隨着網絡高速的發展,網絡內部以百兆、千兆甚至萬兆互聯,即使採取功能強大的計算機來處理日誌數據包的採集工作,相對來說以上兩種方式速度和效率也是不盡人意。因此,文本方式只能在採集日誌數據範圍小、速度比較慢的網絡中使用,一般在網絡安全管理中不被主要採用。
SNMP trap方式
建立在簡單網絡管理協議SNMP上的網絡管理,人們通常使用SNMP Trap 機制進行日誌數據採集。生成Trap消息的事件(如系統重啓)由Trap代理內部定義,而不是通用格式定義。由於Trap機制是基於事件驅動的,代理只有 在監聽到故障時才通知管理系統,非故障信息不會通知給管理系統。對於該方式的日誌數據採集只能在SNMP下進行,生成的消息格式單獨定義,對於不支持 SNMP設備通用性不是很強。
網絡設備的部分故障日誌信息,如環境、SNMP訪問失效等信息由SNMP Trap進行報告,通過對 SNMP 數據報文中 Trap 字段值的解釋就可以獲得一條網絡設備的重要信息,由此可見管理進程必須能夠全面正確地解釋網絡上各種設備所發送的Trap數據,這樣才能完成對網絡設備的 信息監控和數據採集。
但是由於網絡結構和網絡技術的多樣性,以及不同廠商管理其網絡設備的手段不同,要求網絡管理系統不但對公有 Trap能夠正確解釋,更要對不同廠商網絡設備的私有部分非常瞭解,這樣才能正確解析不同廠商網絡設備所發送的私有 Trap,這也需要跟廠商緊密合作,進行聯合技術開發,從而保證對私有 Trap 完整正確的解析和應用。此原因導致該種方式面對不同廠商的產品採集日誌數據方式需單獨進行編程處理,且要全面解釋所有日誌信息纔能有效地採集到日誌數據。 由此可見,該採集在日常日誌數據採集中通用性不強。
syslog方式
已成爲工業標準協議的系統日誌(syslog)協議是在加里佛尼亞大學伯克立 軟件分佈研究中心(BSD)的TCP/IP 系統實施中開發的,目前,可用它記錄設備的日誌。在路由器、交換機、服務器等網絡設備中,syslog記錄着系統中的任何事件,管理者可以通過查看系統記 錄,隨時掌握系統狀況。它能夠接收遠程系統的日誌記錄,在一個日誌中按時間順序處理包含多個系統的記錄,並以文件形式存盤。同時不需要連接多個系統,就可 以在一個位置查看所有的記錄。syslog使用UDP作爲傳輸協議,通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日誌管理配置發送 到安裝了syslog軟件系統的日誌服務器,syslog日誌服務器自動接收日誌數據並寫到日誌文件中。
網絡管理中常用來採集日誌數據的方式包括文本方式採集、SNMP Trap方式採集和syslog方式採集,另外,其他採集方式,如Telnet 採集(遠程控制命令採集)、串口採集等。我們如何選用比較合適的技術方式進行日誌數據採集是必須首先考慮的,下面對當前主要的日誌數據採集技術進行簡單分 析。
文本方式
在統一安全管理系統中以文本方式採集日誌數據主要是指郵件或FTP方式。郵件方式是指 在安全設備內設定報警或通知條件,當符合條件的事件發生時,相關情況被一一記錄下來,然後在某一時間由安全設備或系統主動地將這些日誌信息以郵件形式發給 郵件接受者,屬於被動採集日誌數據方式。其中的日誌信息通常是以文本方式傳送,傳送的信息量相對少且需專業人員才能看懂。而FTP方式必須事先開發特定的 採集程序進行日誌數據採集,每次連接都是完整下載整個日誌文本文件,網絡傳輸數據量可能非常大,屬於主動採集日誌數據方式。
隨着網絡高速的發展,網絡內部以百兆、千兆甚至萬兆互聯,即使採取功能強大的計算機來處理日誌數據包的採集工作,相對來說以上兩種方式速度和效率也是不盡人意。因此,文本方式只能在採集日誌數據範圍小、速度比較慢的網絡中使用,一般在網絡安全管理中不被主要採用。
SNMP trap方式
建立在簡單網絡管理協議SNMP上的網絡管理,人們通常使用SNMP Trap 機制進行日誌數據採集。生成Trap消息的事件(如系統重啓)由Trap代理內部定義,而不是通用格式定義。由於Trap機制是基於事件驅動的,代理只有 在監聽到故障時才通知管理系統,非故障信息不會通知給管理系統。對於該方式的日誌數據採集只能在SNMP下進行,生成的消息格式單獨定義,對於不支持 SNMP設備通用性不是很強。
網絡設備的部分故障日誌信息,如環境、SNMP訪問失效等信息由SNMP Trap進行報告,通過對 SNMP 數據報文中 Trap 字段值的解釋就可以獲得一條網絡設備的重要信息,由此可見管理進程必須能夠全面正確地解釋網絡上各種設備所發送的Trap數據,這樣才能完成對網絡設備的 信息監控和數據採集。
但是由於網絡結構和網絡技術的多樣性,以及不同廠商管理其網絡設備的手段不同,要求網絡管理系統不但對公有 Trap能夠正確解釋,更要對不同廠商網絡設備的私有部分非常瞭解,這樣才能正確解析不同廠商網絡設備所發送的私有 Trap,這也需要跟廠商緊密合作,進行聯合技術開發,從而保證對私有 Trap 完整正確的解析和應用。此原因導致該種方式面對不同廠商的產品採集日誌數據方式需單獨進行編程處理,且要全面解釋所有日誌信息纔能有效地採集到日誌數據。 由此可見,該採集在日常日誌數據採集中通用性不強。
syslog方式
已成爲工業標準協議的系統日誌(syslog)協議是在加里佛尼亞大學伯克立 軟件分佈研究中心(BSD)的TCP/IP 系統實施中開發的,目前,可用它記錄設備的日誌。在路由器、交換機、服務器等網絡設備中,syslog記錄着系統中的任何事件,管理者可以通過查看系統記 錄,隨時掌握系統狀況。它能夠接收遠程系統的日誌記錄,在一個日誌中按時間順序處理包含多個系統的記錄,並以文件形式存盤。同時不需要連接多個系統,就可 以在一個位置查看所有的記錄。syslog使用UDP作爲傳輸協議,通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日誌管理配置發送 到安裝了syslog軟件系統的日誌服務器,syslog日誌服務器自動接收日誌數據並寫到日誌文件中。