Hola, estaré encantado de responder a tu pregunta.
Modo texto
La recopilación de datos de registro en modo texto en el sistema de gestión de seguridad unificado se refiere principalmente al correo electrónico o FTP. El método de correo electrónico se refiere a configurar condiciones de alarma o notificación en el dispositivo de seguridad. Cuando ocurre un evento que cumple con las condiciones, las condiciones relevantes se registran una por una y luego el dispositivo o sistema de seguridad envía activamente esta información de registro a los destinatarios del correo electrónico en el. La forma de correos electrónicos es un método pasivo de recopilación de datos de registro. La información de registro generalmente se transmite en forma de texto y la cantidad de información transmitida es relativamente pequeña y requiere que los profesionales la comprendan. El método FTP debe desarrollar un programa de recopilación específico de antemano para recopilar datos de registro. Cada conexión descargará completamente el archivo de texto de registro completo. La cantidad de datos de transmisión de la red puede ser muy grande, lo cual es un método de recopilación de datos de registro activo.
Con el rápido desarrollo de la red, la red interna está interconectada con 100M, 100M o incluso 10G. Incluso si se utiliza una computadora potente para manejar la recopilación de paquetes de registro, la velocidad de los dos métodos anteriores. es relativamente bajo y la eficiencia también es insatisfactoria. Por lo tanto, el método de texto solo se puede utilizar en redes donde el alcance de la recopilación de datos de registro es pequeño y la velocidad es relativamente lenta, y generalmente no se utiliza en la gestión de seguridad de la red.
SNMP
Método de captura
Gestión de red basada en el protocolo simple de administración de red SNMP, SNMP
TRAP se basa en SNMP MIB , porque la MIB SNMP
define qué información sobre este dispositivo se puede recopilar, qué condiciones de activación de captura se pueden definir y solo se envían los eventos que cumplen con las condiciones de activación de TRAP. La gente suele utilizar el mecanismo
Trap
SNMP para recopilar datos de registro. Los eventos que generan mensajes de captura (como reinicios del sistema) los define internamente el agente de captura en lugar de hacerlo en un formato común. Dado que el mecanismo de captura está controlado por eventos, el agente solo notifica al sistema de administración cuando detecta una falla. La información que no sea de falla no se notificará al sistema de administración. La recopilación de datos de registro de esta manera solo se puede realizar bajo SNMP y el formato del mensaje generado se define por separado. No es muy versátil para dispositivos que no admiten SNMP.
Alguna información de registro de fallas del equipo de red, como el entorno, falla de acceso SNMP, etc., se reporta mediante SNMP
Trap, a través de Trap en paquetes de datos SNMP
La interpretación de los valores de campo puede obtener información importante sobre un dispositivo de red. Se puede ver que el proceso de gestión debe poder interpretar de manera integral y correcta los datos de Trap enviados por varios dispositivos en la red, para poder completar el análisis. de dispositivos de red
Monitoreo de información y recopilación de datos.
Sin embargo, debido a la diversidad de estructuras de red y tecnologías de red, así como a los diferentes métodos utilizados por los diferentes fabricantes para administrar sus equipos de red, el sistema de gestión de red no solo debe interpretar correctamente el público. p>
Trampas, pero también para tener una buena comprensión de las partes privadas de los equipos de red de diferentes fabricantes, de modo que pueda analizar correctamente las
trampas privadas enviadas por equipos de red de diferentes fabricantes. También requiere trabajar estrechamente con los fabricantes para desarrollar tecnologías conjuntas que garanticen que las trampas privadas sean
un análisis y una aplicación completos y correctos. Por esta razón, este método requiere una programación separada para recopilar datos de registro de productos de diferentes fabricantes, y toda la información de registro debe explicarse completamente para recopilar datos de registro de manera efectiva.
Se puede observar que esta colección no es muy versátil en la recopilación de datos de registros diarios.
Método syslog
Registro del sistema que se ha convertido en un protocolo estándar de la industria
El protocolo (syslog) fue desarrollado en el Centro de Investigación de Distribución de Software de la Universidad de California, Berkeley. (BSD) TCP/IP
Fue desarrollado durante la implementación del sistema. Actualmente, se puede utilizar para registrar registros de dispositivos.
En equipos de red como enrutadores, conmutadores y servidores, syslog registra cualquier evento en el sistema. Los administradores pueden verificar los registros del sistema para comprender el estado del sistema en cualquier momento. Puede recibir registros de sistemas remotos, procesar registros de múltiples sistemas en orden cronológico en un registro y guardarlos en forma de archivo. No es necesario conectarse a varios sistemas al mismo tiempo, puede
ver todos los registros en una ubicación. Syslog utiliza UDP como protocolo de transmisión y envía la configuración de administración de registros de todos los dispositivos de seguridad a través del puerto de destino 514 (también pueden ser otros números de puerto definidos)
Al servidor de registros donde está instalado el sistema de software syslog , syslog log El servidor recibe automáticamente datos de registro y los escribe en el archivo de registro.
Además, es muy conveniente recopilar datos de registro en syslog por las siguientes razones:
Primero, el protocolo Syslog
se usa ampliamente en programación. Muchas funciones de registro han adoptado el protocolo syslog y syslog se utiliza en muchas medidas de protección. Cualquier evento se puede registrar a través de él. Registre el estado de ejecución de las aplicaciones desarrolladas por el usuario a través de llamadas al sistema. La investigación y el desarrollo de algunos programas del sistema
es uno de los enfoques del sistema de registro. Por ejemplo, la función de registro del dispositivo de red llama al comportamiento importante de la aplicación de red en la interfaz syslog
. y lo registra como un registro. La mayoría de las herramientas internas del sistema (como los sistemas de correo y de impresión) generan información de esta manera, y muchos programas más nuevos (como tcpwrappers y SSH) funcionan de esta manera.
A través de syslogd (el proceso demonio responsable de la mayoría de los eventos del sistema), los eventos del sistema se pueden escribir en un archivo o dispositivo, o se puede enviar un mensaje al usuario. Puede registrar eventos localmente o en un dispositivo remoto a través de la red.
En segundo lugar, los equipos de red actuales generalmente admiten el protocolo syslog. Casi todos los dispositivos de red pueden transmitir información de registro al servidor remoto en el Protocolo de datagramas de usuario (UDP) a través del protocolo syslog. El servidor de registro de recepción remoto debe escuchar el puerto UDP 514 a través de syslogd y procesar la máquina de acuerdo con la configuración en <. /p>
archivo de configuración syslog.conf, recibe la información de registro del sistema de acceso y escribe los eventos especificados en un archivo específico para la administración y respuesta de la base de datos en segundo plano. Esto significa que cualquier
evento se puede registrar en uno o más servidores, de modo que la base de datos backend pueda analizar eventos desde dispositivos remotos utilizando un método fuera de línea.
En tercer lugar, Syslog
El principio más básico de los protocolos y procesos es la simplicidad, y no se requiere una coordinación mutua estricta entre el remitente y el receptor del protocolo. De hecho, la entrega de mensajes syslog puede comenzar sin que el receptor esté configurado o incluso sin receptor. Por el contrario, un receptor puede recibir información sin una configuración o definición clara.
Si está satisfecho, haga clic en el botón derecho para aceptar la respuesta. Si aún tiene preguntas, haga clic para preguntar.
Espero que mi respuesta le sea útil y. ¡Espero que lo aceptes!
~O(∩_∩)O~