日志采集方式 SNMP TRAP 和 Syslog 的区别

文本方式

在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件

方式是指在安全设备内设定报警或通知条件，当符合条件的事件发生时，相关情况被一一记录下来，然后在某一时间由安全设备或系统主动地将这些日志信息以邮件

形式发给邮件接受者，属于被动采集日志数据方式。其中的日志信息通常是以文本方式传送，传送的信息量相对少且需专业人员才能看懂。而FTP方式必须事先开

发特定的采集程序进行日志数据采集，每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大，属于主动采集日志数据方式。

随着网络高速的发展，网络内部以百兆、千兆甚至万兆互联，即使采取功能强大的计算机来处理日志数据包的采集工作，相对来说以上两种方式速度和效率也是不尽人意。因此，文本方式只能在采集日志数据范围小、速度比较慢的网络中使用，一般在网络安全管理中不被主要采用。

SNMP

trap方式

建立在简单网络管理协议SNMP上的网络管理，SNMP

TRAP是基于SNMP MIB的，因为SNMP MIB

是定义了这个设备都有哪些信息可以被收集，哪些trap的触发条件可以被定义，只有符合TRAP触发条件的事件才被发送出去。人们通常使用 SNMP

Trap

机制进行日志数据采集。生成Trap消息的事件(如系统重启)由Trap代理内部定义，而不是通用格式定义。由于Trap机制是基于事件驱动的，代理只有在监听到故障时才通知管理系统，非故障信息不会通知给管理系统。对于该方式的日志数据采集只能在SNMP下进行，生成的消息格式单独定义，对于不支持

SNMP设备通用性不是很强。

网络设备的部分故障日志信息，如环境、SNMP访问失效等信息由SNMP

Trap进行报告，通过对 SNMP 数据报文中 Trap

字段值的解释就可以获得一条网络设备的重要信息，由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的Trap数据，这样才能完成对网络设备的

信息监控和数据采集。

但是由于网络结构和网络技术的多样性，以及不同厂商管理其网络设备的手段不同，要求网络管理系统不但对公有

Trap能够正确解释，更要对不同厂商网络设备的私有部分非常了解，这样才能正确解析不同厂商网络设备所发送的私有

Trap，这也需要跟厂商紧密合作，进行联合技术开发，从而保证对私有 Trap

完整正确的解析和应用。此原因导致该种方式面对不同厂商的产品采集日志数据方式需单独进行编程处理，且要全面解释所有日志信息才能有效地采集到日志数据。

由此可见，该采集在日常日志数据采集中通用性不强。

syslog方式

已成为工业标准协议的系统日志

(syslog)协议是在加里佛尼亚大学伯克立软件分布研究中心(BSD)的TCP/IP

系统实施中开发的，目前，可用它记录设备的日志。在路由器、交换机、服务器等网络设备中，syslog记录着系统中的任何事件，管理者可以通过查看系统记

录，随时掌握系统状况。它能够接收远程系统的日志记录，在一个日志中按时间顺序处理包含多个系统的记录,并以文件形式存盘。同时不需要连接多个系统，就可

以在一个位置查看所有的记录。syslog使用UDP作为传输协议，通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送

到安装了syslog软件系统的日志服务器，syslog日志服务器自动接收日志数据并写到日志文件中。

另外，选用以syslog方式采集日志数据非常方便，且具有下述原因：

第一，Syslog

协议广泛应用在编程上，许多日志函数都已采纳

syslog协议，syslog用于许多保护措施中。可以通过它记录任何事件。通过系统调用记录用户自行开发的应用程序的运行状况。研究和开发一些系统程

序是日志系统的重点之一，例如网络设备日志功能将网络应用程序的重要行为向 syslog

接口呼叫并记录为日志，大部分内部系统工具(如邮件和打印系统)都是如此生成信息的，许多新增的程序(如tcpwrappers和SSH)也是如此工作

的。通过syslogd(负责大部分系统事

件的守护进程)，将系统事件可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录到远端设备上的事件。

第二，当今网络设备普遍支持syslog协议。几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送

到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据

syslogconf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何

事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

第三，Syslog

协议和进程的最基本原则就是简单，在协议的发送者和接收者之间不要求严格的相互协调。事实上，syslog信息的传递可以在接收器没有被配置甚至没有接收器的情况下开始。反之，在没有清晰配置或定义的情况下，接收器也可以接收到信息。

默认情况下DHCP服务仅将启动和关闭事件记录到“事件查看器中，不过可以通过启用DHCP审核记录来查看详细的信息启用DHCP的详细日志功能。具体步骤如下：

第1步，依次单击“开始”→“所有程序”→“管理工具”→DHCP，打开DHCP控制台窗口。在左窗格中右键单击DHCP服务器，执行“属性”快捷命令。

第2步，在打开的DHCP服务器属性对话框的“常规”选项卡中勾选“启用DHCP审核记录”复选框，并单击“确定”按钮，如图所示。

启用DHCP审核记录

设置完成后打开%systemroot%system32dhcp文件夹，从中可以查看记录详细信息的日志文件，如图所示。

DHCP日志记录

：

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ISAServer设置缓存使用的磁盘分区

ISAServer设置缓存规则

ISAServer防火墙中使用监视功能

ISAServer防火墙生成网络使用报告

ISAServer发布局域网网站服务器

ISAServer服务器安装

ISAServer防火墙客户端安装

ISAServer查看系统策略规则

日志传送简单地说，就是通过上面的三个服务器角色与四个步骤来完成的。

第一步：备份日志。

主服务器会根据数据库管理员设置的备份计划，对事务日志按照计划进行备份。这是日志传送中的一个重要的内容。因为若主服务器的日志备份失败的话，则后续的工作都将无法进行。故我们往往需要对这个日志的备份进行监视，看看其是否按照数据库管理员所设想的方式在处理。为了达到这个目的，我们可以利用“监视服务器”来帮助我们监视这个作业。

第二步：日志文件传送。

当主服务器把日志备份好之后，主服务器就会根据数据库管理员的设置，把相关的日志文件自动传送给辅助服务器。在日志文件传送的过程中，主要需要考虑两个问题。

一是多久传送一次。一般情况下，对于数据库高可用性要求比较高的话，则可以在主服务器每次备份完事务日志后，就发送一次备份日志文件。不过，这要牺牲一定的网络带宽。这主要是根据企业的实际情况来处理。像笔者的企业，由于是SAAS模式的数据库租赁公司，所以，对于数据库可用性的要求非常的高。主服务器每次备份完成后，都会及时向辅助服务器传送备份日志。以达到辅助服务器与主服务器之间数据的同步。

二是做好日志文件传送的监督工作。准确、准时的把主服务器上的备份日志文件传送到辅助服务器上，这是辅助服务器正常运行的前提。为了让日志传送功能能够正常的运转，往往需要对日志文件的传送工作进行监督。需要通过监视服务器，来监视主服务器有没有把备份日志准时的发送出去;而辅助服务器有没有及时的接收备份日志。若出现异常的话，监视服务器需要利用消息或者邮件的方式通知数据库管理员。

第三步：辅助服务器还原事务日志。

当辅助服务器收到主服务器发送过来的备份日志后，就需要根据这个备份日志还原数据库。如此的话，当主服务器出现故障后，辅助服务器能够马上代替主服务器进行工作。所以，即使主服务器出现问题，用户也很难察觉到。

由于以上这三个作业都是通过计划来调度的，所以，这个还原作业也可以通过操作系统的任务计划来进行管理。对于辅助服务器的还原频率来说，需要数据库管理员进行合理的设置。考试大提示在管理过程中，主要的问题就是数据同步与数据库设计管理方面的一个均衡问题。

这是因为日志传送是按照时间表进行的，故在主服务器与辅助服务器之间有个时间差。主服务器上的数据更改反映到辅助服务器上会有时间延迟。这个延迟有好处也有坏处。好处就是这些延迟可以用作还原用户错误的一种方法，因为可以延迟日志文件在辅助服务器上的应用，从而数据库管理员可以选择不采用错误的配置。但是，坏处也是很明显的。因为要通过日志服务器帮助数据库的高可用性的一个前提，就是要提高辅助服务器与主服务器之间的数据同步性能。而数据延迟会降低这个同步性。

所以，数据库管理员需要综合各种情形，来设置这个还原的频率。笔者是把这个数据同步看得更重。故数据库服务器与辅助服务器备份与还原的频率设置为三分钟。

第四步：警报。

警报虽然在日志传送中不是必须的，但其往往是日志传送正常运行的一个保障。他就好像是公路上的探头，当以上三个作业出现什么问题的时候，让数据库管理员可以马上知道，从而及时的采取措施，挽回损失。

具体的来说，需要对如下的作业进行监视。当出现不正常的情况时，及时通过信息或者邮件的形式向数据库管理员汇报。

1、主服务器日志备份出现问题。如当主服务器延迟备份时，监视服务器就需要向数据库管理员报告相关的情况。

2、备份日志传送出现异常情况。如辅助服务器没有及时收到备份的日志文件，监视服务器就会告知数据库管理员。此时，数据库管理员就需要去检查，看看是网络的问题，还是主服务器的问题。

3、还原情况的监视。辅助服务器有没有按时对数据库进行还原;在还原的过程中有没有出现意外情况，都要及时的告知数据库管理员。如最常见的警报就是，当服务器没有按规定进行还原的时候，要触发警报作业。