Điểm:0

Tại sao một số công ty như cisco tuân theo định dạng nhắn tin nhật ký hệ thống khác thay vì rfc 3164 (nhật ký hệ thống BSD) và rfc 5424 (nhật ký hệ thống IETF)?

lá cờ pk

Theo hiểu biết của tôi, các định dạng nhật ký hệ thống phổ biến là:

  • RFC 3124 (Nhật ký hệ thống BSD):

    Định dạng: < ưu tiên > ứng dụng tên máy chủ dấu thời gian: tin nhắn

    Ví dụ: <133>Ngày 25 tháng 2 14:09:07 syslogd máy chủ web: khởi động lại

  • RFC 5424 (Nhật ký hệ thống IETF):

    Định dạng: < ưu tiên >PHIÊN BẢN ISOTIMESTAMP HOSTNAME ỨNG DỤNG PID MESSAGEID CẤU TRÚC DỮ LIỆU MSG

    Ví dụ: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' không thành công cho lonvick trên /dev/pts/8

Nhưng hãy xem các định dạng nhật ký của công ty khác:

  • Cisco:

    Ví dụ: *Ngày 18 tháng 1 03:02:42: %LINEPROTO-5-UPDOWN: Giao thức đường truyền trên Giao diện GigabitEthernet0/0, thay đổi trạng thái thành giảm

  • Fortinet (Ở đây bạn có thể thấy nhật ký hệ thống trong cặp khóa-giá trị. Đây có phải là nhật ký hệ thống không?)

    Ví dụ: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=thông tin vd="root" sessionid=83879670 srcip=12.130.136.122 srcport=48137 dstip= x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" người nhận ="[email protected]" sendbyte=15369 rcvdbyte=46 direction=outgoing msg="nhật ký email chung" chủ đề="Novos Treinamentos para Certificação Trend Micro" size="15360" attachment=no

  1. Điều đó có nghĩa là định dạng nhật ký hệ thống có thể được sửa đổi theo nhu cầu của họ. Sau đó, làm thế nào các phần mềm SIEM có thể phân tích các nhật ký này nếu các công ty khác nhau tuân theo các định dạng nhật ký hệ thống khác nhau?.
  2. Mục đích của việc có một RFC là gì nếu các công ty khác nhau tuân theo các thông lệ ghi nhật ký khác nhau?
  3. Câu hỏi cuối cùng của tôi, Đây có phải là các định dạng nhật ký hệ thống không?
lá cờ cn
`làm cách nào để phần mềm SIEM có thể phân tích các nhật ký này nếu các công ty khác nhau tuân theo các định dạng nhật ký hệ thống khác nhau?` Bởi vì chúng đơn giản. Splunk có thể phân tích rất nhiều cấu trúc dữ liệu. Nó không cần phải ở định dạng Syslog.
Allan avatar
lá cờ pk
@GregAskew Cảm ơn. Bạn đã nói rõ :)
Điểm:1
lá cờ mx

Là một câu trả lời rất ngắn: bởi vì RFC không thay đổi cơ sở mã hiện có được viết trong 15-25 năm.

Tất cả các loại định dạng Nhật ký hệ thống đã được phát triển và sử dụng từ đầu những năm 1980 (AFAIK, khái niệm bắt nguồn từ sendmail và daemon nhật ký hệ thống đầu tiên là một phần của 4.3 BSD năm 1986). Với Unix Wars và sự kết thúc của BSD, mọi người được tự do xây dựng những gì họ cần và có rất ít động lực để tiêu chuẩn hóa mọi thứ. Một tiêu chuẩn tối thiểu sẽ là "mọi thứ mà syslogd BSD có thể xử lý" và thậm chí sau đó, nhiều triển khai đã đi chệch khỏi đó một cách có ý thức, chẳng hạn như để thêm hỗ trợ key=value hoặc TCP.

RFC 3124 là một RFC cung cấp thông tin từ năm 2001. Nó không mang tính quy chuẩn (theo nghĩa "đây là Syslog và bất kỳ thứ gì khác thì không"), mà thay vào đó, nó sử dụng phương pháp "xem những gì ngoài kia và mô tả một điểm chung nhỏ".

RFC 5424 như một tiêu chuẩn được đề xuất có cách tiếp cận quy phạm đó.Nhưng đó là từ năm 2009, và thậm chí vào thời điểm đó, nó "chỉ là một tiêu chuẩn tùy chọn khác", bởi vì nó (và vẫn là) hầu như không thể thay đổi tất cả các mã hiện có và hữu ích ngoài đó.

lá cờ mx
Một nhận xét khó hiểu: năm 2001 cũng có một tiêu chuẩn được đề xuất, [RFC 3195](https://datatracker.ietf.org/doc/html/rfc3195). Nó được thiết kế dựa trên XML và BEEP. Điều đó không liên quan đến người dùng thực đến nỗi không ai sử dụng AFAIK trong bất kỳ thiết lập giống như sản xuất nào.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.