Syslog可以作为故障排查的有效工具,在需要对设备问题进行排查时使用,虽然可以实时收取,但通常用于快速的历史事件查看。Trap提供实时的报文信息发送,基于设备上事件的发生来产生相应事件报文,原始的Trap报文不便于直观查看,需要解析后才能使用。
Syslog使用UDP作为传输协议,通过端口514(也可定义其他端口号),将日志发送至Syslog日志服务器。共分三部分:发送Syslog日志的设备、Syslog日志收集转发中继、收集并存储Syslog日志服务器。Syslog日志记录着系统中的任何事件,管理者可以通过查看系统记录,随时掌握系统状况。每个日志的格式包括时间戳,主机IP地址,事件消息,严重性,诊断等,但是不存在身份验证机制。
Trap使用简单网络管理协议(SNMP协议),通过端口162进行信息传输。完整的Trap信息处理共两部分:生成Trap信息的设备、接收并解析Trap信息的服务器。Trap报文是基于事件驱动的,只有在事件生成时才会触发Trap生成并发送。
下图是设备上报的Trap信息
Trap的解析需要使用到MIB库,因为设备存在公共MIB和私有MIB,这就需要与设备厂商紧密合作,尽可能全面的获取MIB库。解析服务器通过现有的MIB,对Trap报文进行解析。因为Trap是基于事件驱动的,所以可以用来进行实时告警管理和监控,Snmp协议虽然可以使用团体字进行身份验证,但是v3之前的版本都是明文传输,仍然存在一定的风险。
1092
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
