作者:唯品会安全应急响应中心技术团队,2015年9月16日唯品会安全应急响应中心(VIP Security Response Center , 简称VSRC)应运而生,隶属于唯品会(中国)有限公司信息安全部。VSRC成立以来,一直致力于持续建设更加安全可靠的线上购物平台,为3亿用户的安心购物体验保驾护航,同时加强与业界同仁的合作与交流,推动行业共同进步。
责任编辑:孙浩峰 关注云计算、大数据、运维、安全方面,欢迎大家投稿,投稿信箱:sunhf@csdn.net。
公司运维团队已经完成了针对分布在各个分支机构的交换机、路由器和防火墙的 syslog 日志的收集。安全基于 ISO27001和等级保护建设的需求,也希望收集此类设备的日志进行安全审计。
虽然主流的网络和安全设备都支持同时向多个syslog 日志发送目标——双发或多发;但是,为降低链路带宽占用,安全和运维就日志收集方式进行了技术讨论。最终决定放弃双发方式,而是对运维收到的日志进行转发。该方案的优点是:运维团队不需要对1000多台既有设备做任何配置变更;同时,链路上只存在一路日志收集,带宽能够得到保障。运维的日志还可以转发给多个目标,如安全、监控中心等。
据了解,目前运维使用了 RSYSLOG 作为日志收集和存储的服务端。幸运的是RSYSLOG 支持日志中继转发这一高级功能。
日志流转示意图
下图展现的就是本次日志收集和转发的逻辑:
设备–> 运维RSYSLOG服务器: 交换机
设备–> 运维RSYSLOG服务器: 路由器
设备–> 运维RSYSLOG服务器: 防火墙
运维RSYSLOG服务器–>安全日志收集代理:各种转发方式