Syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网上中传递记录档消息的标准,常用来指涉实际的Syslog 协议,或者那些提交syslog消息的应用程序或数据库。
一、如何收集Syslog
每个Syslog服务器都包含三个常见组件,用于收集、存储和分析syslog日志:
Syslog listener:这是一个关键组件,负责接收从各种设备和应用程序通过网络传输的 Syslog 消息,它主要在特定端口(默认情况下,端口 514)上侦听传入消息,这些消息使用用户数据报协议(UDP)或传输控制协议(TCP)发送。侦听器端口收集从所有网络设备接收的所有 Syslog 消息。
数据库:由于网络设备每秒生成大量数据,服务器应该能够处理它接收到的大量Syslog消息,因此,有效的存储、组织和检索机制是必不可少的。Syslog服务器的数据库组件旨在处理大量日志数据,它确保消息被安全存储,并且可以快速访问以进行分析、报告和审计。数据库的结构化特性允许对日志数据进行高效的查询、过滤和分析。
过滤:当每分钟产生大量日志时,很难找到特定的日志,Syslog服务器还可以帮助过滤日志。
Syslog服务器提供基本的分析功能,例如查看和过滤日志数据。因此,为了识别单个问题,管理员通常必须花费大量时间筛选成堆的Syslog消息。
二、Syslog 格式是什么
在网络内通信时,Syslog 消息遵循RFC 5424定义的标准化结构。Syslog 格式如下:
标头:标头包括优先级、版本、时间戳、主机名、应用程序、进程 ID 和消息 ID 等详细信息。
结构化数据:这是一种在Syslog消息中包含机器可读数据的方法,以便以结构化且易于解析的方式添加附加信息。它被封装在方括号中,由一系列键值对组成。
消息:这包含实际的日志内容,包括有关事件、错误或系统状况的详细信息。
下面是一个Syslog消息的示例:
<165>1 2023-10-03T14:32:12Z http://myserver.example.com myapp - - [exampleSDID@32473 iut="3"
eventSource="Application" eventID="1011" errorCode="E404" detail="File not found"]
Syslog消息根据其严重程度进行分类,这些级别帮助管理员快速识别和处理系统中最关键的问题,有8个优先级级别,从0(最严重)到7(最不严重)。以下是Syslog协议中定义的标准Syslog优先级:
紧急(0):系统不可用。这是最高优先级,通常表示系统完全崩溃或严重故障。
警报(1):需要立即采取行动,发生了需要紧急注意的事情。例如,数据存储卷可能空间不足,如果没有立即干预,系统可能会崩溃。
危急(2):危急情况可能不需要立即干预,但如果不及时解决,可能会导致更严重的问题。例如,重要的系统组件故障或可能很快导致系统崩溃的意外行为。
错误(3):错误情况不像上述级别那么严重,但仍表示系统中的异常或问题,例如,软件模块无法加载或网络连接意外断开。
警告(4):警告消息表示不是错误但值得关注的情况,因为它们可能指示潜在的问题。例如,未优化的配置设置或可能自行解决但值得注意的暂时性问题。
通知(5):这些消息通知正常但重要的情况,这些情况并不指示错误情况,但会被标记,因为它们表示系统操作中的重大事件,例如,用户更改其密码或连接到网络的新设备。信息
(6):这些消息仅供参考,并不表示错误或警告情况。例如,日常系统状态更新或正常但值得注意的活动的日志。 调试
(7):调试级消息主要用于故障排除和调试目的,并提供对系统操作的详细见解。它们通常生成非常详细的日志记录信息,通常在诊断特定问题时启用。
三、管理Syslog数据
日志管理工具可以帮助管理员自动执行许多使用标准Syslog服务器时无法自动执行的任务,还可以触发警报和通知,并自动执行响应所选消息的流程,以便管理员可以在出现问题时立即采取行动。
EventLog Analyzer 系统日志管理工具,它从各种类型的Unix操作系统(如RedHat,Debian,Open SUSE,OpenBSD,Ubuntu,Solaris,HP-UX,IBM AIX等)收集系统日志事件。收集后,将对系统日志消息进行分析,并以简洁的报告形式显示在仪表板上。Syslog管理功能包括:
实时警报系统:可以快速识别安全事件,并向管理员发送实时短信或电子邮件通知。
强大的关联引擎:为传入的Syslog消息提供基于规则的相关性,使管理员能够发现外部攻击,分析其模式并识别网络漏洞。
日志归档:自动存档并安全地存储从不同来源收集的所有日志数据。这些存档的日志数据不仅可用于即时分析,还可用于将来的参考、合规性审计和取证调查。
报表管理:包括多个开箱即用的报表,还具有自定义报表生成器,该生成器提供了一个选项,可以根据Syslog事件类型、严重性、来源等多个条件生成报表。
事件和响应管理:为Syslog消息提供全面的事件响应和管理功能,提供搜索和筛选功能,可快速调查特定事件、追溯事件并分析根本原因。
IT合规性管理:使用预定义和自定义报告模板,为PCI DSS、FISMA、GDPR等监管要求生成报告。
EventLog Analyzer收集、过滤和组织由网络上的路由器、交换机、防火墙和Unix/Linux服务器等设备生成的系统日志消息,使管理员能够通过短信或电子邮件为某些事件设置实时警报,以通知管理员网络中存在的威胁,借助全面且易于遵循的报告和仪表板,可以可视化网络基础架构中的潜在问题。
