Tại sao một số công ty như cisco tuân theo định dạng nhắn tin nhật ký hệ thống khác thay vì rfc 3164 (nhật ký hệ thống BSD) và rfc 5424 (nhật ký hệ thống IETF)?

Allan

10:41, 28/07/2023

Theo hiểu biết của tôi, các định dạng nhật ký hệ thống phổ biến là:

RFC 3124 (Nhật ký hệ thống BSD):

Định dạng: < ưu tiên > ứng dụng tên máy chủ dấu thời gian: tin nhắn

Ví dụ: <133>Ngày 25 tháng 2 14:09:07 syslogd máy chủ web: khởi động lại
RFC 5424 (Nhật ký hệ thống IETF):

Định dạng: < ưu tiên >PHIÊN BẢN ISOTIMESTAMP HOSTNAME ỨNG DỤNG PID MESSAGEID CẤU TRÚC DỮ LIỆU MSG

Ví dụ: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' không thành công cho lonvick trên /dev/pts/8

Nhưng hãy xem các định dạng nhật ký của công ty khác:

Cisco:

Ví dụ: *Ngày 18 tháng 1 03:02:42: %LINEPROTO-5-UPDOWN: Giao thức đường truyền trên Giao diện GigabitEthernet0/0, thay đổi trạng thái thành giảm
Fortinet (Ở đây bạn có thể thấy nhật ký hệ thống trong cặp khóa-giá trị. Đây có phải là nhật ký hệ thống không?)

Ví dụ: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=thông tin vd="root" sessionid=83879670 srcip=12.130.136.122 srcport=48137 dstip= x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" người nhận ="[email protected]" sendbyte=15369 rcvdbyte=46 direction=outgoing msg="nhật ký email chung" chủ đề="Novos Treinamentos para CertificaÃ§Ã£o Trend Micro" size="15360" attachment=no

Điều đó có nghĩa là định dạng nhật ký hệ thống có thể được sửa đổi theo nhu cầu của họ. Sau đó, làm thế nào các phần mềm SIEM có thể phân tích các nhật ký này nếu các công ty khác nhau tuân theo các định dạng nhật ký hệ thống khác nhau?.
Mục đích của việc có một RFC là gì nếu các công ty khác nhau tuân theo các thông lệ ghi nhật ký khác nhau?
Câu hỏi cuối cùng của tôi, Đây có phải là các định dạng nhật ký hệ thống không?

0 + 0

linux

cài đặt

rsyslog

Greg Askew

11:25, 28/07/2023

`làm cách nào để phần mềm SIEM có thể phân tích các nhật ký này nếu các công ty khác nhau tuân theo các định dạng nhật ký hệ thống khác nhau?` Bởi vì chúng đơn giản. Splunk có thể phân tích rất nhiều cấu trúc dữ liệu. Nó không cần phải ở định dạng Syslog.

Hồi đáp

Allan

13:19, 28/07/2023

@GregAskew Cảm ơn. Bạn đã nói rõ :)

Hồi đáp

Điểm:1

Server

mschuett

11:19, 28/07/2023

Là một câu trả lời rất ngắn: bởi vì RFC không thay đổi cơ sở mã hiện có được viết trong 15-25 năm.

Tất cả các loại định dạng Nhật ký hệ thống đã được phát triển và sử dụng từ đầu những năm 1980 (AFAIK, khái niệm bắt nguồn từ sendmail và daemon nhật ký hệ thống đầu tiên là một phần của 4.3 BSD năm 1986). Với Unix Wars và sự kết thúc của BSD, mọi người được tự do xây dựng những gì họ cần và có rất ít động lực để tiêu chuẩn hóa mọi thứ. Một tiêu chuẩn tối thiểu sẽ là "mọi thứ mà syslogd BSD có thể xử lý" và thậm chí sau đó, nhiều triển khai đã đi chệch khỏi đó một cách có ý thức, chẳng hạn như để thêm hỗ trợ key=value hoặc TCP.

RFC 3124 là một RFC cung cấp thông tin từ năm 2001. Nó không mang tính quy chuẩn (theo nghĩa "đây là Syslog và bất kỳ thứ gì khác thì không"), mà thay vào đó, nó sử dụng phương pháp "xem những gì ngoài kia và mô tả một điểm chung nhỏ".

RFC 5424 như một tiêu chuẩn được đề xuất có cách tiếp cận quy phạm đó.Nhưng đó là từ năm 2009, và thậm chí vào thời điểm đó, nó "chỉ là một tiêu chuẩn tùy chọn khác", bởi vì nó (và vẫn là) hầu như không thể thay đổi tất cả các mã hiện có và hữu ích ngoài đó.

0 + 0

mschuett

12:20, 28/07/2023

Một nhận xét khó hiểu: năm 2001 cũng có một tiêu chuẩn được đề xuất, [RFC 3195](https://datatracker.ietf.org/doc/html/rfc3195). Nó được thiết kế dựa trên XML và BEEP. Điều đó không liên quan đến người dùng thực đến nỗi không ai sử dụng AFAIK trong bất kỳ thiết lập giống như sản xuất nào.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why some companies like cisco follow different syslog messaging format rather than rfc 3164 (BSD syslog) and rfc 5424 (IETF syslog)?

TH: เหตุใดบางบริษัทเช่น cisco จึงใช้รูปแบบการส่งข้อความ syslog ที่แตกต่างกันแทนที่จะเป็น rfc 3164 (BSD syslog) และ rfc 5424 (IETF syslog)

RO: De ce unele companii precum Cisco urmează un format de mesagerie syslog diferit, mai degrabă decât rfc 3164 (BSD syslog) și rfc 5424 (IETF syslog)?

RU: Почему некоторые компании, такие как cisco, используют другой формат обмена сообщениями системного журнала, а не rfc 3164 (системный журнал BSD) и rfc 5424 (системный журнал IETF)?

VI: Tại sao một số công ty như cisco tuân theo định dạng nhắn tin nhật ký hệ thống khác thay vì rfc 3164 (nhật ký hệ thống BSD) và rfc 5424 (nhật ký hệ thống IETF)?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.