Рейтинг:0

Почему некоторые компании, такие как cisco, используют другой формат обмена сообщениями системного журнала, а не rfc 3164 (системный журнал BSD) и rfc 5424 (системный журнал IETF)?

флаг pk

Насколько я понимаю, популярные форматы системного журнала:

  • RFC 3124 (системный журнал BSD):

    Формат: < приоритет > отметка времени приложения имя хоста: сообщение

    Пример: <133>25 февраля, 14:09:07 веб-сервер syslogd: перезапустить

  • RFC 5424 (системный журнал IETF):

    Формат: < приоритет >ВЕРСИЯ ISOTIMESTAMP HOSTNAME APPLICATION PID MESSAGEID MSG СТРУКТУРИРОВАННЫХ ДАННЫХ

    Пример: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' не удалось выполнить lonvick на /dev/pts/8

Но давайте посмотрим форматы журналов других компаний:

  • Циско:

    Пример: * 18 января, 03:02:42: %LINEPROTO-5-UPDOWN: линейный протокол на интерфейсе GigabitEthernet0/0, состояние изменено на неактивное

  • Fortinet (Здесь вы можете увидеть системный журнал в паре ключ-значение. Это вообще системный журнал?)

    Пример: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=information vd="root" sessionid=83879670 srcip=12.130.136.122 srcport=48137 dstip= x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" получатель ="[email protected]" sentbyte=15369 rcvdbyte=46 direction=outgoing msg="общий журнал электронной почты" subject="Novos Treinamentos para Certificação Trend Micro" size="15360" attachment=no

  1. Означает ли это, что формат системного журнала может быть изменен в соответствии с их потребностями. Тогда как программное обеспечение SIEM может анализировать эти журналы, если разные компании используют разные форматы системных журналов?
  2. Какой тогда смысл в RFC, если разные компании следуют разным практикам ведения журналов?
  3. Мой последний вопрос: это даже форматы системного журнала?
флаг cn
«Как программное обеспечение SIEM может анализировать эти журналы, если разные компании используют разные форматы системных журналов?» Потому что они просты. Splunk может анализировать множество структур данных. Это не обязательно должно быть в формате Syslog.
Allan avatar
флаг pk
@GregAskew Спасибо. Вы ясно выразились :)
Рейтинг:1
флаг mx

В качестве очень короткого ответа: потому что RFC не меняет существующую кодовую базу, написанную за 15-25 лет.

Все виды форматов системного журнала разрабатывались и использовались с начала 1980-х годов (насколько я знаю, эта концепция возникла в sendmail, а первый демон системного журнала был частью 4.3 БСД в 1986 году). С Unix Wars и концом BSD каждый был свободен создавать то, что ему нужно, и было мало стимулов стандартизировать что-либо. Минимальным стандартом было бы «все, что может обработать BSD syslogd», и даже тогда многие реализации сознательно отклонялись от этого, например, чтобы добавить ключ = значение или поддержку TCP.

RFC 3124 является информационным RFC от 2001 года. Он не является нормативным (в смысле «это Syslog, а все остальное — нет»), а скорее использует подход «посмотри, что там есть, и опиши небольшую точку соприкосновения».

RFC 5424 как предлагаемый стандарт имеет этот нормативный подход.Но это с 2009 года, и даже в то время это «просто еще один необязательный стандарт», потому что было (и до сих пор) практически невозможно изменить весь существующий и полезный код.

флаг mx
Один язвительный комментарий: в 2001 году также был предложен стандарт [RFC 3195] (https://datatracker.ietf.org/doc/html/rfc3195). Он был разработан на основе XML и BEEP. Это было настолько оторвано от реальных пользователей, что, насколько я знаю, никто не использовал его ни в какой производственной установке.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.