本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.2节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.2 日志来源
我们首先来看看各种日志记录系统及它们收集的数据格式。日志来源分为两类:
- 基于“推”
- 基于“拉”
对于基于“推”的日志来源,设备或者应用程序向本地磁盘或者通过网络发出消息。如果通过网络,你必须配备一个日志收集器来接收消息。3种主要的基于“推”来源是syslog、SNMP和Windows事件日志。日志消息通过这些协议传输。从技术上说,Windows事件日志包含协议、传输机制、存储和读取。
对于基于“拉”的日志来源,应用程序从来源拉取日志消息。这种方法几乎总是依赖客户-服务器模型。以这种方式运行的系统通常以专有格式保存日志数据。例如,Checkpoint提供OPSEC C程序库,开发人员可以用它编写应用程序,拉取Checkpoint防火墙日志。其他产品使用MSSQL、Oracle、MySQL等数据库存储数据。从数据库拉取日志稍微容易一些,可以用脚本或者程序完成。
我们来看看三个最常见的日志来源协议。首先是syslog协议。
