Почему некоторые компании, такие как cisco, используют другой формат обмена сообщениями системного журнала, а не rfc 3164 (системный журнал BSD) и rfc 5424 (системный журнал IETF)?

Allan

28.07.2023, 10:41

Насколько я понимаю, популярные форматы системного журнала:

RFC 3124 (системный журнал BSD):

Формат: < приоритет > отметка времени приложения имя хоста: сообщение

Пример: <133>25 февраля, 14:09:07 веб-сервер syslogd: перезапустить
RFC 5424 (системный журнал IETF):

Формат: < приоритет >ВЕРСИЯ ISOTIMESTAMP HOSTNAME APPLICATION PID MESSAGEID MSG СТРУКТУРИРОВАННЫХ ДАННЫХ

Пример: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' не удалось выполнить lonvick на /dev/pts/8

Но давайте посмотрим форматы журналов других компаний:

Циско:

Пример: * 18 января, 03:02:42: %LINEPROTO-5-UPDOWN: линейный протокол на интерфейсе GigabitEthernet0/0, состояние изменено на неактивное
Fortinet (Здесь вы можете увидеть системный журнал в паре ключ-значение. Это вообще системный журнал?)

Пример: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=information vd="root" sessionid=83879670 srcip=12.130.136.122 srcport=48137 dstip= x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" получатель ="[email protected]" sentbyte=15369 rcvdbyte=46 direction=outgoing msg="общий журнал электронной почты" subject="Novos Treinamentos para CertificaÃ§Ã£o Trend Micro" size="15360" attachment=no

Означает ли это, что формат системного журнала может быть изменен в соответствии с их потребностями. Тогда как программное обеспечение SIEM может анализировать эти журналы, если разные компании используют разные форматы системных журналов?
Какой тогда смысл в RFC, если разные компании следуют разным практикам ведения журналов?
Мой последний вопрос: это даже форматы системного журнала?

0 + 0

линукс

настройки

rsyslog

Greg Askew

28.07.2023, 11:25

«Как программное обеспечение SIEM может анализировать эти журналы, если разные компании используют разные форматы системных журналов?» Потому что они просты. Splunk может анализировать множество структур данных. Это не обязательно должно быть в формате Syslog.

Ответить

Allan

28.07.2023, 13:19

@GregAskew Спасибо. Вы ясно выразились :)

Ответить

Рейтинг:1

Server

mschuett

28.07.2023, 11:19

В качестве очень короткого ответа: потому что RFC не меняет существующую кодовую базу, написанную за 15-25 лет.

Все виды форматов системного журнала разрабатывались и использовались с начала 1980-х годов (насколько я знаю, эта концепция возникла в sendmail, а первый демон системного журнала был частью 4.3 БСД в 1986 году). С Unix Wars и концом BSD каждый был свободен создавать то, что ему нужно, и было мало стимулов стандартизировать что-либо. Минимальным стандартом было бы «все, что может обработать BSD syslogd», и даже тогда многие реализации сознательно отклонялись от этого, например, чтобы добавить ключ = значение или поддержку TCP.

RFC 3124 является информационным RFC от 2001 года. Он не является нормативным (в смысле «это Syslog, а все остальное — нет»), а скорее использует подход «посмотри, что там есть, и опиши небольшую точку соприкосновения».

RFC 5424 как предлагаемый стандарт имеет этот нормативный подход.Но это с 2009 года, и даже в то время это «просто еще один необязательный стандарт», потому что было (и до сих пор) практически невозможно изменить весь существующий и полезный код.

0 + 0

mschuett

28.07.2023, 12:20

Один язвительный комментарий: в 2001 году также был предложен стандарт [RFC 3195] (https://datatracker.ietf.org/doc/html/rfc3195). Он был разработан на основе XML и BEEP. Это было настолько оторвано от реальных пользователей, что, насколько я знаю, никто не использовал его ни в какой производственной установке.

Ответить

Admin

Этот вопрос на других языках:

EN: Why some companies like cisco follow different syslog messaging format rather than rfc 3164 (BSD syslog) and rfc 5424 (IETF syslog)?

TH: เหตุใดบางบริษัทเช่น cisco จึงใช้รูปแบบการส่งข้อความ syslog ที่แตกต่างกันแทนที่จะเป็น rfc 3164 (BSD syslog) และ rfc 5424 (IETF syslog)

RO: De ce unele companii precum Cisco urmează un format de mesagerie syslog diferit, mai degrabă decât rfc 3164 (BSD syslog) și rfc 5424 (IETF syslog)?

RU: Почему некоторые компании, такие как cisco, используют другой формат обмена сообщениями системного журнала, а не rfc 3164 (системный журнал BSD) и rfc 5424 (системный журнал IETF)?

VI: Tại sao một số công ty như cisco tuân theo định dạng nhắn tin nhật ký hệ thống khác thay vì rfc 3164 (nhật ký hệ thống BSD) và rfc 5424 (nhật ký hệ thống IETF)?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.