De ce unele companii precum Cisco urmează un format de mesagerie syslog diferit, mai degrabă decât rfc 3164 (BSD syslog) și rfc 5424 (IETF syslog)?

Allan

28.07.2023, 10:41

După înțelegerea mea, formatele syslog populare sunt:

RFC 3124 (BSD syslog):

Format: < priority >timestamp aplicație nume gazdă: mesaj

Exemplu: <133>25 februarie 14:09:07 server web syslogd: reporniți
RFC 5424 (IETF syslog):

Format: < prioritate >VERSIUNEA ISOTIMESTAMP NUME GAZDA APLICATIE PID ID MESAJ DATE STRUCTURATE MSG

Exemplu: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' a eșuat pentru lonvick pe /dev/pts/8

Dar să vedem formatele de jurnal ale altor companii:

Cisco:

Exemplu: *18 ianuarie 03:02:42: %LINEPROTO-5-UPDOWN: protocol de linie pe interfața GigabitEthernet0/0, starea schimbată în jos
Fortinet (Aici puteți vedea syslog în pereche cheie-valoare. Este acesta chiar syslog?)

Exemplu: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=information vd="root" sessionid=83879670 srcip=12.130.136.136.128sp=smtp=smtp x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" destinatar ="[email protected]" sentbyte=15369 rcvdbyte=46 direction=outgoing msg="general email log" subject="Novos Treinamentos para CertificaçÃ£o Trend Micro" size="15360" attachment=no

Asta înseamnă că formatul syslog poate fi modificat în funcție de nevoile lor. Atunci cum pot software-urile SIEM să analizeze aceste jurnale dacă diferite companii urmează diferite formate syslog?.
Care este rostul să ai un RFC atunci dacă diferite companii urmează practici diferite de logare?
Ultima mea întrebare, acestea sunt chiar formate syslog?

0 + 0

linux

setări

rsyslog

Greg Askew

28.07.2023, 11:25

„Cum pot software-urile SIEM să analizeze aceste jurnale dacă diferite companii urmează diferite formate syslog?” Pentru că sunt simple. Splunk poate analiza o mulțime de structuri de date. Nu trebuie să fie în format Syslog.

Răspunde

Allan

28.07.2023, 13:19

@GregAskew Mulțumesc. Ai spus clar :)

Răspunde

Puncte:1

Server

mschuett

28.07.2023, 11:19

Ca răspuns foarte scurt: pentru că un RFC nu modifică baza de cod existentă scrisă în 15-25 de ani.

Tot felul de formate Syslog au fost dezvoltate și utilizate încă de la începutul anilor 1980 (AFAIK conceptul a apărut în sendmail, iar primul daemon syslog a făcut parte din 4.3 BSD în 1986). Odată cu Războiul Unix și sfârșitul BSD-ului, toată lumea era liberă să construiască ceea ce avea nevoie și exista puține stimulente pentru a standardiza ceva. Un standard mimimal ar fi fost „tot ce poate procesa syslogd-ul BSD”, și chiar și atunci multe implementări au deviat conștient de la asta, de exemplu pentru a adăuga cheie=valoare sau suport TCP.

RFC 3124 este un RFC informațional din 2001. Nu este normativ (în sensul „acesta este Syslog și orice altceva nu este”), ci mai degrabă are abordarea „uite ce este acolo și descrie un mic teren comun”.

RFC 5424 ca standard propus are acea abordare normativă.Dar este din 2009 și chiar și în acel moment este „doar un alt standard opțional”, pentru că era (și încă este) practic imposibil să se schimbe tot codul existent și util de acolo.

0 + 0

mschuett

28.07.2023, 12:20

Un comentariu sarcinat: în 2001 a existat și un standard propus, [RFC 3195](https://datatracker.ietf.org/doc/html/rfc3195). A fost proiectat pe baza XML și BEEP. A fost atât de îndepărtat de utilizatorii reali, încât nimeni nu l-a folosit în nicio configurație de producție.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Why some companies like cisco follow different syslog messaging format rather than rfc 3164 (BSD syslog) and rfc 5424 (IETF syslog)?

TH: เหตุใดบางบริษัทเช่น cisco จึงใช้รูปแบบการส่งข้อความ syslog ที่แตกต่างกันแทนที่จะเป็น rfc 3164 (BSD syslog) และ rfc 5424 (IETF syslog)

RO: De ce unele companii precum Cisco urmează un format de mesagerie syslog diferit, mai degrabă decât rfc 3164 (BSD syslog) și rfc 5424 (IETF syslog)?

RU: Почему некоторые компании, такие как cisco, используют другой формат обмена сообщениями системного журнала, а не rfc 3164 (системный журнал BSD) и rfc 5424 (системный журнал IETF)?

VI: Tại sao một số công ty như cisco tuân theo định dạng nhắn tin nhật ký hệ thống khác thay vì rfc 3164 (nhật ký hệ thống BSD) và rfc 5424 (nhật ký hệ thống IETF)?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.