syslog方式
  已成为工业标准协议的系统日志(syslog)协议是在加里佛尼亚大学伯克立 软件分布研究中心(BSD)的TCP/IP 系统实施中开发的,目前,可用它记录设备的日志。在路由器、交换机、服务器等网络设备中,syslog记录着系统中的任何事件,管理者可以通过查看系统记 录,随时掌握系统状况。它能够接收远程系统的日志记录,在一个日志中按时间顺序处理包含多个系统的记录,并以文件形式存盘。同时不需要连接多个系统,就可 以在一个位置查看所有的记录。syslog使用UDP作为传输协议,通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送 到安装了syslog软件系统的日志服务器,syslog日志服务器自动接收日志数据并写到日志文件中。
  另外,选用以syslog方式采集日志数据非常方便,且具有下述原因:
  第一,Syslog 协议广泛应用在编程上,许多日志函数都已采纳 syslog协议,syslog用于许多保护措施中。可以通过它记录任何事件。通过系统调用记录用户自行开发的应用程序的运行状况。研究和开发一些系统程 序是日志系统的重点之一,例如网络设备日志功能将网络应用程序的重要行为向 syslog 接口呼叫并记录为日志,大部分内部系统工具(如邮件和打印系统)都是如此生成信息的,许多新增的程序(如tcpwrappers和SSH)也是如此工作 的。通过syslogd(负责大部分系统事 件的守护进程),将系统事件可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录到远端设备上的事件。
  第二,当今网络设备普遍支持syslog协议。几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送 到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。意味着可以让任何 事件都登录到一台或多台服务器上,以备后台数据库用off-line(离线) 方法分析远端设备的事件。
  第三,Syslog 协议和进程的最基本原则就是简单,在协议的发送者和接收者之间不要求严格的相互协调。事实上,syslog信息的传递可以在接收器没有被配置甚至没有接收器的情况下开始。反之,在没有清晰配置或定义的情况下,接收器也可以接收到信息。
  通过分析比较,目前主要流行的日志数据采集方式选用syslog方式较其他方式有优势。
  模式实现
  本文所述的日志数据采集模式是以建立syslog日志服务器为主的采集方式,具体内容如下:
  1.采集原始日志信息。
  数据源:提供syslog格式日志数据的设备或系统;该设备可能是防火墙、IDS、病毒网关及其他安全设备或系统。
  syslog日志服务器:采集来自设备或系统的syslog格式日志数据并进一步保存其原始数据。
  日志文件:保存来自syslog日志服务器处理过的syslog格式日志数据,每一行表示一条日志信息。
  2.进行有用日志数据分析采集。
  日志文件监控:监控日志数据收集工作。侦测到日志文件是否有数据写入,意味着有数据被采集,同时触发对该日志数据的过滤。

  过滤:符合设定条件的日志数据被采用,转入相关事件调用;不符合设定条件的日志数据被抛弃,返回对日志文件的监控。

  数据库:保存过滤后的原始日志数据和经分析提取出有用信息数据。
  有用数据分析采集:由监控程序触发,执行时序在新日志数据写入数据库之前,然后从数据库中提取原始数据,完成提取有用信息的工作,提取信息如 下:事件发生的时间、事件发生时使用的协议、事件发源地、事件发生目的地、安全设备信息等。处理完成后将结果写入数据库,以待以后更深层次分析。
  结果显示:将初步分析采集结果以Web方式或其他人性化显示。
  实际上,上述内容是以三个中心的方式提出一种采集日志数据模式:以日志服务器为中心采集原始日志信息,分别以日志文件和日志数据库为中心进行的 日志数据分析采集有用的日志信息。该种采集方法能保证采集工作各项事务能独立完成:syslog服务器采集原始日志数据不受后面程序分析采集、数据库读写 等的影响,后面的分析采集部分不受syslog服务器采集工作影响而减慢分析采集的速度。一方面保证采集到各安全设备的日志数据不被丢失,安全信息有完整 的保证;另一方面保证安全管理系统从数据采集到动作反应花费的时间短,还可以取得实时的日志信息。
  结合建立在syslog日志服务器基础上,提出一种采集日志数据模式:以日志服务器为中心采集原始日志信息,分别以日志文件和日志数据库为中心 进行的日志数据分析采集有用的日志信息。但是,该协议在网络信息安全方面也存在着漏洞,同时要考虑到相关的解决方式。一是要考虑到限制syslog日志服 务器的访问范围,也可以指定syslog日志服务器与安全设备间以固定的端口进行网络互联;二是可以在syslog中加入IP sec协议解决加密与认证的方式。