本節書摘來華章計算機《日志管理與分析權威指南》一書中的第3章 ,第3.2節,(美) anton a. chuvakin kevin j. schmidt christopher phillips 著 姚 軍 簡于涵 劉 晖 等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
我們首先來看看各種日志記錄系統及它們收集的資料格式。日志來源分為兩類:
基于“推”
基于“拉”
對于基于“推”的日志來源,裝置或者應用程式向本地磁盤或者通過網絡發出消息。如果通過網絡,你必須配備一個日志收集器來接收消息。3種主要的基于“推”來源是syslog、snmp和windows事件日志。日志消息通過這些協定傳輸。從技術上說,windows事件日志包含協定、傳輸機制、存儲和讀取。
對于基于“拉”的日志來源,應用程式從來源拉取日志消息。這種方法幾乎總是依賴客戶-伺服器模型。以這種方式運作的系統通常以專有格式儲存日志資料。例如,checkpoint提供opsec c程式庫,開發人員可以用它編寫應用程式,拉取checkpoint防火牆日志。其他産品使用mssql、oracle、mysql等資料庫存儲資料。從資料庫拉取日志稍微容易一些,可以用腳本或者程式完成。
我們來看看三個最常見的日志來源協定。首先是syslog協定。