Системный журнал в IPFIX
Я читал о журналах (syslog), экспортируемых в формат IPFIX. И некоторые продукты, которые делают это также. Чего я не нашел, так это того, есть ли какие-нибудь стандартные / известные способы сделать это? Например, есть ли какие-то конкретные информационные элементы, предназначенные для системного журнала? Или это полностью проприетарные методы (например, использование всех специфичных для поставщика полей, что разрешено в IPFIX) И для этих схем используется ли простой IPFIX или структурированный IPFIX? TIA для любой информации / указателей на это.
--РЕДАКТИРОВАТЬ--
Я не ищу никакой информации о продуктах, только метод / стандарты, если таковые имеются для этого.
3 ответа
Как говорит DukeLion, IPFIX не предназначен для общих данных системного журнала, но возможно экспортировать некоторые специфические типы журналов, которые содержат данные сетевого трафика (например, журналы доступа Apache), используя стандартные объекты IPFIX.
Прозрачное сообщение из старой дискуссии на IETF:
В ходе обсуждений с подгруппой IPFIX было ясно, что они на самом деле не желали формат файла регистрации - это было средством указания формата для потоковой передачи двоичной информации сборщикам и что у них были дополнительные цели, которые включали возможность сопоставлять сигнальную информацию с информацией о медиа потоках.
Чтобы экспортировать информацию системного журнала с использованием IPFIX, вам нужен посредник Syslog для IPFIX. Общая информация о медиаторах IPFIX может быть найдена в http://datatracker.ietf.org/doc/draft-ietf-ipfix-mediation-protocol/.
Нет ограничений на отправку строк, таких как сообщения системного журнала, с использованием IPFIX. В настоящее время нет никаких стандартных информационных элементов (IE) для сообщений системного журнала. IPFIXify использует собственные / нестандартные IE для информации системного журнала.
Просто чтобы быть понятным под проприетарным, я действительно имею в виду "не обязательно публичный" или "не стандартный". Несколько экспортеров играют свои проприетарные IE очень близко к жилету, но подробности о большинстве "проприетарных" IE доступны, если вы посмотрите. Добавление проприетарных IE - отличный способ начать экспериментировать с инновационным экспортом. Стандартные IE также могут быть запрошены кем угодно (в ожидании экспертизы). Каждый экспортер IPFIX, о котором я могу думать, имеет по крайней мере несколько проприетарных IE.
Другой момент, который следует здесь подчеркнуть, заключается в том, что IPFIX позволяет смешивать и сопоставлять стандартные и проприетарные IE (а не просто отправлять "полностью проприетарные" IE). Это важно, потому что сборщик может предоставлять некоторые отчеты, используя IE, которые он знает, и игнорируя другие.
Я не уверен, что вы подразумеваете под простой и структурированной IPFIX?
Я думаю, что охватывает все ваши вопросы.
Предполагается, что IPFIX обменивается информацией об использовании сети - пакеты, байты, проходящие через какое-то сетевое устройство. Я не думаю, что в него можно помещать собственные текстовые сообщения.