日誌採集方式 SNMP TRAP 和 Syslog 的區別

日誌文件可以詳細記錄系統天天發生的各類各樣的事件，對網絡安全起着很是的重要做用。網絡中心有大量安全 設備，將全部的安全設備逐個查看是很是費時費力的。另外，因爲安全設備的緩存器以先進先出的隊列模式處理日誌記錄，保存時間不長的記錄將被刷新，一些重要 的日誌記錄有可能被覆蓋。所以在平常網絡安全管理中應該創建起一套有效的日誌數據採集方法，將全部安全設備的日誌記錄彙總，便於管理和查詢，從中提取出有 用的日誌信息供網絡安全管理方面使用，及時發現有關安全設備在運行過程當中出現的安全問題，以便更好地保證網絡正常運行。

　　 採集技術比較

　　網絡管理中經常使用來採集日誌數據的方式包括文本方式採集、SNMP Trap方式採集和syslog方式採集，另外，其餘採集方式，如Telnet 採集(遠程控制命令採集)、串口採集等。咱們如何選用比較合適的技術方式進行日誌數據採集是必須首先考慮的，下面對當前主要的日誌數據採集技術進行簡單分 析。

　　 文本方式

　　在統一安全管理系統中以文本方式採集日誌數據主要是指郵件或FTP方式。郵件 方式是指在安全設備內設定報警或通知條件，當符合條件的事件發生時，相關狀況被一一記錄下來，而後在某一時間由安全設備或系統主動地將這些日誌信息以郵件 形式發給郵件接受者，屬於被動採集日誌數據方式。其中的日誌信息一般是以文本方式傳送，傳送的信息量相對少且需專業人員才能看懂。而FTP方式必須事先開 發特定的採集程序進行日誌數據採集，每次鏈接都是完整下載整個日誌文本文件,網絡傳輸數據量可能很是大，屬於主動採集日誌數據方式。

　　隨着網絡高速的發展，網絡內部以百兆、千兆甚至萬兆互聯，即便採起功能強大的計算機來處理日誌數據包的採集工做，相對來講以上兩種方式速度和效率也是不盡人意。所以，文本方式只能在採集日誌數據範圍小、速度比較慢的網絡中使用，通常在網絡安全管理中不被主要採用。

　　 SNMP trap方式

　　創建在簡單網絡管理協議SNMP上的網絡管理， SNMP TRAP是基於SNMP MIB的，由於SNMP MIB 是定義了這個設備都有哪些信息能夠被收集，哪些trap的觸發條件能夠被定義，只有符合TRAP觸發條件的事件才被髮送出去。人們一般使用 SNMP Trap 機制進行日誌數據採集。生成Trap消息的事件(如系統重啓)由Trap代理內部定義，而不是通用格式定義。因爲Trap機制是基於事件驅動的，代理只有在監聽到故障時才通知管理系統，非故障信息不會通知給管理系統。對於該方式的日誌數據採集只能在SNMP下進行，生成的消息格式單獨定義，對於不支持 SNMP設備通用性不是很強。

　　網絡設備的部分故障日誌信息，如環境、SNMP訪問失效等信息由SNMP Trap進行報告，經過對 SNMP 數據報文中 Trap 字段值的解釋就能夠得到一條網絡設備的重要信息，因而可知管理進程必須可以全面正確地解釋網絡上各類設備所發送的Trap數據，這樣才能完成對網絡設備的 信息監控和數據採集。

　　可是因爲網絡結構和網絡技術的多樣性，以及不一樣廠商管理其網絡設備的手段不一樣，要求網絡管理系統不但對公有 Trap可以正確解釋，更要對不一樣廠商網絡設備的私有部分很是瞭解，這樣才能正確解析不一樣廠商網絡設備所發送的私有 Trap，這也須要跟廠商緊密合做，進行聯合技術開發，從而保證對私有 Trap 完整正確的解析和應用。此緣由致使該種方式面對不一樣廠商的產品採集日誌數據方式需單獨進行編程處理，且要全面解釋全部日誌信息纔能有效地採集到日誌數據。 因而可知，該採集在平常日誌數據採集中通用性不強。

　　 syslog方式

　　已成爲工業標準協議的系統日誌 (syslog)協議是在加里佛尼亞大學伯克立軟件分佈研究中心(BSD)的TCP/IP 系統實施中開發的，目前，可用它記錄設備的日誌。在路由器、交換機、服務器等網絡設備中，syslog記錄着系統中的任何事件，管理者能夠經過查看系統記 錄，隨時掌握系統情況。它可以接收遠程系統的日誌記錄，在一個日誌中按時間順序處理包含多個系統的記錄,並以文件形式存盤。同時不須要鏈接多個系統，就可 以在一個位置查看全部的記錄。syslog使用UDP做爲傳輸協議，經過目的端口514(也能夠是其餘定義的端口號),將全部安全設備的日誌管理配置發送 到安裝了syslog軟件系統的日誌服務器，syslog日誌服務器自動接收日誌數據並寫到日誌文件中。

　　另外，選用以syslog方式採集日誌數據很是方便，且具備下述緣由：

　　第一，Syslog 協議普遍應用在編程上，許多日誌函數都已採納 syslog協議，syslog用於許多保護措施中。能夠經過它記錄任何事件。經過系統調用記錄用戶自行開發的應用程序的運行情況。研究和開發一些系統程 序是日誌系統的重點之一，例如網絡設備日誌功能將網絡應用程序的重要行爲向 syslog 接口呼叫並記錄爲日誌，大部份內部系統工具(如郵件和打印系統)都是如今生成信息的，許多新增的程序(如tcpwrappers和SSH)也是如此工做 的。經過syslogd(負責大部分系統事 件的守護進程)，將系統事件能夠寫到一個文件或設備中，或給用戶發送一個信息。它能記錄本地事件或經過網絡記錄到遠端設備上的事件。

　　第二，當今網絡設備廣泛支持syslog協議。幾乎全部的網絡設備均可以經過syslog協議，將日誌信息以用戶數據報協議(UDP)方式傳送 到遠端服務器，遠端接收日誌服務器必須經過syslogd監聽UDP 端口514，並根據 syslog.conf配置文件中的配置處理本機，接收訪問系統的日誌信息，把指定的事件寫入特定文件中，供後臺數據庫管理和響應之用。意味着可讓任何 事件都登陸到一臺或多臺服務器上，以備後臺數據庫用off-line(離線) 方法分析遠端設備的事件。

　　第三，Syslog 協議和進程的最基本原則就是簡單，在協議的發送者和接收者之間不要求嚴格的相互協調。事實上，syslog信息的傳遞能夠在接收器沒有被配置甚至沒有接收器的狀況下開始。反之，在沒有清晰配置或定義的狀況下，接收器也能夠接收到信息。