La diferencia entre los métodos de recopilación de registros SNMP TRAP y Syslog
Método de texto
El método de texto para recopilar datos de registro en el sistema de gestión de seguridad unificado se refiere principalmente al método de correo electrónico o FTP. El método de correo electrónico se refiere a configurar condiciones de alarma o notificación en el dispositivo de seguridad. Cuando ocurre un evento que cumple con las condiciones, las condiciones relevantes se registran una por una, y luego el dispositivo o sistema de seguridad registra activamente estas condiciones dentro de un cierto período de tiempo. La información de registro se envía a los destinatarios del correo electrónico en forma de correos electrónicos
, que es una forma pasiva de recopilar datos de registro. La información de registro generalmente se transmite en forma de texto y la cantidad de información transmitida es relativamente pequeña y requiere que los profesionales la comprendan. El método FTP debe abrirse con anticipación
Un programa de recopilación especial para la recopilación de datos de registro descargará por completo el archivo de texto de registro completo. La cantidad de datos transmitidos a través de la red puede ser muy grande. un método de recopilación activa de datos de registro.
Con el rápido desarrollo de la red, la red está interconectada a 100M, 100M o incluso 10G. Incluso si se usa una computadora potente para procesar la recopilación de paquetes de registro, en términos relativos, los dos métodos anteriores son. La velocidad y la eficiencia tampoco son satisfactorias. Por lo tanto, el método de texto solo se puede utilizar en redes con un pequeño rango de recopilación de datos de registro y baja velocidad, y generalmente no es el objetivo principal en la gestión de seguridad de la red.
SNMP
Método de captura
Construido en el protocolo simple de administración de red SNMP, SNMP
TRAP se basa en SNMP MIB , porque la MIB SNMP
define qué información puede recopilar el dispositivo y qué condiciones de activación de captura se pueden definir. Solo se puede recopilar información que cumpla con las condiciones de activación de TRAP. Normalmente utilizamos el mecanismo SNMP
Trap
para recopilar datos de registro. Los eventos que generan mensajes de captura (como reinicios del sistema) los define internamente el agente de captura y no están definidos en un formato común. Dado que el mecanismo de captura está impulsado por eventos, el agente solo notificará al sistema de administración cuando detecte una falla, no se notificará información que no sea de falla al sistema de administración. Dado que este método de recopilación de datos de registro solo se puede realizar bajo SNMP, el formato del mensaje generado se define individualmente y no es muy versátil para dispositivos que no admiten
SNMP.
Parte de la información del registro de fallas del equipo de red, como el entorno, falla de acceso SNMP y otra información, se reporta mediante SNMP
Trap, verificando la trampa en el mensaje de datos SNMP
< La interpretación de los valores del campo p> puede obtener información importante sobre los dispositivos de la red. Se puede ver que el proceso de gestión debe poder interpretar de manera integral y correcta los datos de Trap enviados por varios dispositivos en la red. Capture datos enviados por varios dispositivos en la red para completar el monitoreo y la recopilación de datos de la información del dispositivo de red.
Sin embargo, debido a la diversidad de estructuras y tecnologías de red, así como a las diferentes formas en que los diferentes proveedores administran sus equipos de red, esto requiere que el sistema de administración de red no solo interprete correctamente el público.
trampas, pero también Comprender completamente las partes privadas de los equipos de red de diferentes proveedores para poder analizar correctamente las
trampas privadas enviadas por equipos de red de diferentes proveedores también requiere una estrecha cooperación con los proveedores. Esto también requiere una estrecha colaboración con los proveedores en el desarrollo de tecnología para garantizar que las trampas especializadas se analicen y apliquen total y correctamente
La razón es que este método de recopilar datos de registro de productos de diferentes proveedores requiere una programación separada y toda la información de registro debe interpretarse completamente para recopilar datos de registro de manera efectiva.
Se puede ver que la versatilidad de recopilar datos de registros diarios no es sólida.
El método syslog
Se ha convertido en el protocolo estándar de la industria para el registro del sistema.
El protocolo (syslog) es TCP en la Universidad de California, Berkeley Software Distribution Research Centro (BSD) /IP
Implementado en el sistema, actualmente, existen muchos dispositivos que se pueden utilizar para registrar registros. En enrutadores, conmutadores, servidores y otros dispositivos de red, el registro del sistema registra cualquier evento en el sistema. Los administradores pueden ver los registros del sistema
para comprender el estado del sistema en cualquier momento. Puede recibir registros de sistemas remotos, procesar registros de múltiples sistemas en un solo registro en orden cronológico y almacenarlos en un archivo. syslog utiliza UDP como protocolo de transmisión y envía la configuración de administración de registros de todos los dispositivos de seguridad al servidor de registros del sistema con el software syslog instalado a través del puerto de destino 514 (también pueden ser otros números de puerto definidos. El servidor de registros syslog recibe automáticamente el registro). datos y los envía al servidor de registro del sistema. Se escribe en el servidor de registro.
Además, es muy conveniente optar por recopilar datos de registro en syslog por las siguientes razones:
En primer lugar, el protocolo Syslog
es ampliamente utilizado. Se utiliza en programación y muchas funciones de registro. Se ha adoptado el protocolo
syslog y syslog se utiliza en muchas medidas de protección. Cualquier evento se puede grabar a través de él. Las operaciones de las aplicaciones desarrolladas por el usuario se registran mediante llamadas al sistema. La investigación y el desarrollo de algunos programas del sistema
es uno de los enfoques del sistema de registro. Por ejemplo, la función de registro del dispositivo de red llama y registra los comportamientos importantes de la aplicación de red en el syslog.
interfaz. La mayoría de las herramientas internas del sistema (como los sistemas de correo y de impresión) generan información de esta manera, y muchos programas más nuevos (como tcpwrappers y SSH) también funcionan de esta manera
. A través de syslogd, el proceso demonio responsable de manejar la mayoría de los eventos del sistema
, los eventos del sistema se pueden escribir en archivos o dispositivos y también se pueden enviar al usuario. Puede registrar eventos localmente o en un dispositivo remoto a través de la red.
En segundo lugar, los equipos de red actuales generalmente admiten el protocolo syslog. Casi cualquier dispositivo de red puede enviar información de registro a un servidor remoto en forma de Protocolo de datagramas de usuario (UDP) a través del protocolo syslog
. El servidor de registro de recepción remoto debe escuchar el puerto UDP 514 a través de syslogd y procesar la máquina local de acuerdo con la configuración en el archivo de configuración syslog.conf para recibir mensajes de registro que acceden a los mensajes de registro del sistema y escriben eventos específicos en archivos específicos, para la administración de la base de datos en segundo plano. y respuesta. Esto significa que cualquier
evento se puede registrar en uno o más servidores, lo que evita que la base de datos backend analice eventos de dispositivos remotos sin conexión.
En tercer lugar, Syslog
El principio más básico de los protocolos y procesos es la simplicidad, que no requiere una coordinación estricta entre el remitente y el receptor del protocolo. De hecho, el envío de mensajes syslog se puede iniciar sin ningún receptor configurado o incluso sin ningún receptor. Por el contrario, un receptor también puede recibir mensajes sin estar configurado o definido explícitamente.
Si está satisfecho, haga clic en el botón derecho para aceptar la respuesta. Si aún tiene preguntas, haga clic en la pregunta de seguimiento.
Espero que mi respuesta sea útil. para ti, y espero que lo aceptes!
~O(∩_∩)O~