2024年4月27日发(作者:)

日志采集方式 SNMP TRAP 和 Syslog 的区别

日志文件能够详细记录系统每天发生的各种各样的事件,对网络安全起着非常的重要

作用。网络中心有大量安全 设备,将所有的安全设备逐个查看是非常费时费力的。另外,

由于安全设备的缓存器以先进先出的队列模式处理日志记录,保存时间不长的记录将被刷

新,一些重要 的日志记录有可能被覆盖。因此在日常网络安全管理中应该建立起一套有效

的日志数据采集方法,将所有安全设备的日志记录汇总,便于管理和查询,从中提取出有

用的日志信息供网络安全管理方面使用,及时发现有关安全设备在运行过程中出现的安全

问题,以便更好地保证网络正常运行。

采集技术比较

网络管理中常用来采集日志数据的方式包括文本方式采集、SNMP Trap方式采集和

syslog方式采集,另外,其他采集方式,如Telnet 采集(远程控制命令采集)、串口采集等。

我们如何选用比较合适的技术方式进行日志数据采集是必须首先考虑的,下面对当前主要

的日志数据采集技术进行简单分 析。

文本方式

在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件 方

式是指在安全设备内设定报警或通知条件,当符合条件的事件发生时,相关情况被一一记

录下来,然后在某一时间由安全设备或系统主动地将这些日志信息以邮件 形式发给邮件接

受者,属于被动采集日志数据方式。其中的日志信息通常是以文本方式传送,传送的信息

量相对少且需专业人员才能看懂。而FTP方式必须事先开 发特定的采集程序进行日志数

据采集,每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大,属于主动

采集日志数据方式。

随着网络高速的发展,网络内部以百兆、千兆甚至万兆互联,即使采取功能强大的计

算机来处理日志数据包的采集工作,相对来说以上两种方式速度和效率也是不尽人意。因

此,文本方式只能在采集日志数据范围小、速度比较慢的网络中使用,一般在网络安全管

理中不被主要采用。

SNMP trap方式

建立在简单网络管理协议SNMP上的网络管理,SNMP TRAP是基于SNMP MIB的,

因为SNMP MIB 是定义了这个设备都有哪些信息可以被收集,哪些trap的触发条件可以

被定义,只有符合TRAP触发条件的事件才被发送出去。人们通常使用 SNMP Trap 机制

进行日志数据采集。生成Trap消息的事件(如系统重启)由Trap代理内部定义,而不是通

用格式定义。由于Trap机制是基于事件驱动的,代理只有在监听到故障时才通知管理系

统,非故障信息不会通知给管理系统。对于该方式的日志数据采集只能在SNMP下进行,

生成的消息格式单独定义,对于不支持 SNMP设备通用性不是很强。

网络设备的部分故障日志信息,如环境、SNMP访问失效等信息由SNMP Trap进行

报告,通过对 SNMP 数据报文中 Trap 字段值的解释就可以获得一条网络设备的重要信

息,由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的Trap数据,这样

才能完成对网络设备的 信息监控和数据采集。

但是由于网络结构和网络技术的多样性,以及不同厂商管理其网络设备的手段不同,

要求网络管理系统不但对公有 Trap能够正确解释,更要对不同厂商网络设备的私有部分

非常了解,这样才能正确解析不同厂商网络设备所发送的私有 Trap,这也需要跟厂商紧密