Puncte:0

De ce unele companii precum Cisco urmează un format de mesagerie syslog diferit, mai degrabă decât rfc 3164 (BSD syslog) și rfc 5424 (IETF syslog)?

drapel pk

După înțelegerea mea, formatele syslog populare sunt:

  • RFC 3124 (BSD syslog):

    Format: < priority >timestamp aplicație nume gazdă: mesaj

    Exemplu: <133>25 februarie 14:09:07 server web syslogd: reporniți

  • RFC 5424 (IETF syslog):

    Format: < prioritate >VERSIUNEA ISOTIMESTAMP NUME GAZDA APLICATIE PID ID MESAJ DATE STRUCTURATE MSG

    Exemplu: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' a eșuat pentru lonvick pe /dev/pts/8

Dar să vedem formatele de jurnal ale altor companii:

  • Cisco:

    Exemplu: *18 ianuarie 03:02:42: %LINEPROTO-5-UPDOWN: protocol de linie pe interfața GigabitEthernet0/0, starea schimbată în jos

  • Fortinet (Aici puteți vedea syslog în pereche cheie-valoare. Este acesta chiar syslog?)

    Exemplu: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=information vd="root" sessionid=83879670 srcip=12.130.136.136.128sp=smtp=smtp x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" destinatar ="[email protected]" sentbyte=15369 rcvdbyte=46 direction=outgoing msg="general email log" subject="Novos Treinamentos para Certificação Trend Micro" size="15360" attachment=no

  1. Asta înseamnă că formatul syslog poate fi modificat în funcție de nevoile lor. Atunci cum pot software-urile SIEM să analizeze aceste jurnale dacă diferite companii urmează diferite formate syslog?.
  2. Care este rostul să ai un RFC atunci dacă diferite companii urmează practici diferite de logare?
  3. Ultima mea întrebare, acestea sunt chiar formate syslog?
drapel cn
„Cum pot software-urile SIEM să analizeze aceste jurnale dacă diferite companii urmează diferite formate syslog?” Pentru că sunt simple. Splunk poate analiza o mulțime de structuri de date. Nu trebuie să fie în format Syslog.
Allan avatar
drapel pk
@GregAskew Mulțumesc. Ai spus clar :)
Puncte:1
drapel mx

Ca răspuns foarte scurt: pentru că un RFC nu modifică baza de cod existentă scrisă în 15-25 de ani.

Tot felul de formate Syslog au fost dezvoltate și utilizate încă de la începutul anilor 1980 (AFAIK conceptul a apărut în sendmail, iar primul daemon syslog a făcut parte din 4.3 BSD în 1986). Odată cu Războiul Unix și sfârșitul BSD-ului, toată lumea era liberă să construiască ceea ce avea nevoie și exista puține stimulente pentru a standardiza ceva. Un standard mimimal ar fi fost „tot ce poate procesa syslogd-ul BSD”, și chiar și atunci multe implementări au deviat conștient de la asta, de exemplu pentru a adăuga cheie=valoare sau suport TCP.

RFC 3124 este un RFC informațional din 2001. Nu este normativ (în sensul „acesta este Syslog și orice altceva nu este”), ci mai degrabă are abordarea „uite ce este acolo și descrie un mic teren comun”.

RFC 5424 ca standard propus are acea abordare normativă.Dar este din 2009 și chiar și în acel moment este „doar un alt standard opțional”, pentru că era (și încă este) practic imposibil să se schimbe tot codul existent și util de acolo.

drapel mx
Un comentariu sarcinat: în 2001 a existat și un standard propus, [RFC 3195](https://datatracker.ietf.org/doc/html/rfc3195). A fost proiectat pe baza XML și BEEP. A fost atât de îndepărtat de utilizatorii reali, încât nimeni nu l-a folosit în nicio configurație de producție.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.