更新时间:2024-06-28
Syslog协议
Syslog是一种标准化的日志服务协议,通常用于网络设备、服务器操作系统和应用程序等设备或软件中。它可以帮助管理员监控和诊断系统问题,并方便地收集和记录事件、警告和错误消息等信息。
Syslog协议使用UDP协议进行传输,而且不需要经过认证,因此可能存在安全风险。Syslog消息分为三个部分:头部、内容和可选部分。头部包含了设备信息、时间戳和事件类型等信息。内容则包括了事件的详细描述。可选部分可以包括任何其他有用的信息,例如进程ID、线程ID等。(日志例子:05-09-2023 10:09:21 User.Info 200.200.156.123 May 9 10:09:18 [4]时间=2023-05-09 10:09:18,日志=保存日志查看-Syslog配置,操作对象=对象定义,结果=成功,管理员=admin,IP地址=200.200.156.124)
一、协议头
按照syslog RFC3164标准,每个日志消息都包含以下信息:
- 时间戳:记录事件发生的日期和时间,并使用本地时区。
- 指示设备主机名或ip:生成日志消息的设备或主机的名称。
- 消息级别:标识事件的严重性,如警告、错误或信息。
协议头例子:05-09-2023 10:09:21 User.Info 200.200.156.123 May 9 10:09:18
二、消息部分
消息是由系统管理员采集的各种类型的日志。它们可以是系统日志、管理日志、安全日志、认证日志、设备日志或警报日志。解析格式为UTF-8编码,并且每条消息将包括以下[x]字段之一:
[2] 系统日志:包含有关系统运行状况的信息。例如,这可能包括关于CPU利用率、内存利用率、磁盘空间利用率等的信息。
[4] 管理日志:包含与系统配置和管理相关的信息。例如,这可能包括关于用户帐户管理、额外软件安装、网络配置更改等的信息。
[8] 安全日志:包含有关系统安全的信息。例如,这可能包括与登录尝试、访问控制、防火墙规则等相关的信息。
[16] 认证日志:包含有关身份验证的信息。例如,这可能包括与用户登录、权限管理等相关的信息。
[32] 设备日志:包含与设备相关的信息。例如,这可能包括关于网络设备(如交换机、路由器和防火墙)的信息,例如端口状态、接口故障等。
[64] 告警日志:包含与任何系统错误或警报相关的信息。例如,这可能包括有关硬件故障、网络故障、应用程序问题等的信息。
2.1.1.1.1系统日志:
|
WAC
|
字段
|
字段类型
|
字段说明
|
举例
|
备注
|
|
时间
|
time
|
varchar
|
日志上报的时间
|
2018/05/17 18:20:04
|
格式为:yyyy-mm-dd hh:mm:ss
|
|
日志
|
log_des
|
varchar
|
日志的具体描述
|
ap D4-68-BA-00-39-36 授权文件与WAC不匹配
|
|
|
等级
|
log_level
|
varchar
|
产生日志的等级
|
告警
|
常见的有:错误、告警、信息等
|
|
模块
|
module
|
varchar
|
产生日志的模块
|
ap授权服务模块
|
常见的有:ap授权服务模块、二层认证模块、在线用户模块等
|
|
日志信息前面[2]代表系统日志
|
|
|
|
|
日志实例:[2]time=2020-11-25 03:17:53, log_des=外部ldap服务器(123)获取组织树失败,请检查对应服务器是否可用, log_level=告警, module:inner_portal_srvd
|
2.1.1.1.2管理日志:
|
WAC
|
字段
|
字段类型
|
字段说明
|
举例
|
备注
|
|
时间
|
time
|
varchar
|
日志上报的时间
|
2018/05/18 14:32:31
|
格式为:yyyy-mm-dd hh:mm:ss
|
|
日志
|
log_des
|
varchar
|
日志的具体描述
|
登录系统
|
常见的有:登录系统、退出系统、账号xxxx第一次尝试登录等
|
|
操作对象
|
oper
|
varchar
|
产生日志的操作对象
|
系统管理
|
|
|
结果
|
result
|
varchar
|
产生日志的结果
|
成功
|
常见的有:成功、失败
|
|
管理员
|
manager
|
varchar
|
产生日志的操作人员
|
admin
|
常见的有:
1:admin
2:xxxx(新增的管理员)
|
|
ip地址
|
ip_addr
|
varchar
|
操作的设备的IP地址
|
200.200.93.111
|
|
|
日志信息前面[4]代表管理日志
|
|
|
|
|
日志实例:[4]time=2020-11-25 03:15:48, log_des=保存Syslog配置, oper=系统管理, result=成功, manager=admin, ip_addr=200.200.93.109
|
2.1.1.1.3安全日志:
|
WAC
|
字段
|
字段类型
|
字段说明
|
举例
|
备注
|
|
时间
|
时间
|
varchar
|
日志上报的时间
|
2018/05/18 10:35:22
|
格式为:yyyy-mm-dd hh:mm:ss
|
|
事件类型
|
事件类型
|
varchar
|
产生日志的事件类型
|
私设IP
|
常见的有:私设IP、ARP扫描估计、IP扫描攻击、DDoS攻击、端口扫描攻击等
|
|
攻击者MAC
|
攻击者MAC
|
varchar
|
攻击者的MAC地址
|
44-6D-57-DF-C6-C0
|
|
|
攻击者设备类型
|
攻击者设备类型
|
varchar
|
攻击者的设备类型
|
终端
|
|
|
发现后动作
|
发现后动作
|
varchar
|
发现攻击后wac的处理动作
|
告警并踢用户
|
常见的有:告警、告警并踢用户、加入黑名单等
|
|
接入点
|
接入点
|
varchar
|
产生日志的接入点
|
D4_68_BA_00_39_36
|
该名称为实际AP的名称。常见的有:
1:D4_68_BA_00_39_36
2:展厅AP1
|
|
接入点分组
|
接入点分组
|
varchar
|
产生日志的接入点所在分组
|
默认组
|
该分组为实际ap所在WAC的分组。常见的有
1:默认组
2:一楼(wac上新增的组)
|
|
描述
|
描述
|
varchar
|
产生日志的具体描述
|
非漫游用户[44-6D-57-DF-C6-C0],未发起DHCP或未使用DHCP所获取IP,DHCP保护生效,终端需重新接入网络,实际IP[151.151.1.7],DHCP[0.0.0.0],VLAN[1]
|
|
|
攻击者账号
|
攻击者账号
|
varchar
|
攻击者的账号
|
-
|
该日志显示为-
|
|
攻击者计算机名
|
攻击者计算机名
|
varchar
|
攻击者的计算机名
|
-
|
该日志显示为-
|
|
日志信息前面[8]代表安全日志
|
|
|
|
|
日志实例:[8]时间=2020-11-25 03:50:44, 事件类型=爆破攻击, 攻击者MAC:7C-76-68-C3-29-7F, 攻击者设备类型:终端, 发现后动作=告警, 接入点=D4_68_BA_00_CE_A1, 接入点分组=默认组, 描述=用户[7C-76-68-C3-29-7F]爆破攻击, 攻击者账号:1, 攻击者计算机名:Honor_Play-cc4c
|
2.1.1.1.4认证日志:
|
WAC
|
字段
|
字段类型
|
字段说明
|
举例
|
备注
|
|
时间
|
时间
|
varchar
|
日志上报的时间
|
时间=2023-05-09 10:12:17
|
|
|
事件
|
事件
|
varchar
|
事件名称
|
事件=验证失败 (验证服务端拒绝连接)
|
|
|
用户名
|
用户名
|
varchar
|
认证用户的用户名
|
用户名=10531
|
|
|
用户组
|
用户组
|
varchar
|
用户所在用户组
|
用户组-
|
|
|
用户类型
|
用户类型
|
varchar
|
用户的用户类型
|
用户类型=-
|
|
|
认证方式
|
认证方式
|
varchar
|
用户接入的认证方式
|
验证方式=WPA/WPA2(企业)
|
|
|
IP地址
|
IP地址
|
varchar
|
用户的IP地址
|
IP地址=-
|
|
|
终端MAC
|
终端MAC
|
varchar
|
用户终端的MAC
|
设备MAC=02-4E-D3-1F-21-AE
|
|
|
接入点
|
接入点
|
varchar
|
用户接入的位置
|
接入点名称=默认接入点
|
|
|
接入点分组
|
接入点分组
|
varchar
|
用户接入的接入点分组
|
接入组=default-group
|
|
|
接入网络
|
接入网络
|
varchar
|
用户接入的网络SSID
|
接入网络=zt_yuancheng_test
|
|
|
VLAN
|
VLAN
|
varchar
|
用户所在VLAN
|
VLAN=0,
|
|
|
角色
|
角色
|
varchar
|
用户被分配的角色
|
角色=
|
|
|
计算机名
|
计算机名
|
varchar
|
用户终端的名称
|
计算机名=-
|
|
|
终端类型
|
终端类型
|
varchar
|
用户的终端类型
|
设备类型=Others
|
|
|
日志信息前面[16]代表认证日志
|
|
|
|
|
日志实例:[16]时间=2023-05-09 10:12:17,事件=验证失败 (验证服务端拒绝连接),用户名=10531,用户组-,用户类型=-,验证方式=WPA/WPA2(企业),IP地址=-,设备MAC=02-4E-D3-1F-21-AE,接入点名称=默认接入点,接入组=default-group,接入网络=zt_yuancheng_test,VLAN=0,角色=,计算机名=-,设备类型=Others
|
2.1.1.1.5设备日志:
|
WAC
|
字段
|
字段类型
|
字段说明
|
举例
|
备注
|
|
时间
|
时间
|
varchar
|
日志上报的时间
|
2018/05/18 09:58:31
|
格式为:yyyy-mm-dd hh:mm:ss
|
|
设备名称
|
设备名称
|
varchar
|
产生日志的设备名称
|
D4_68_BA_00_39_36
|
AP的名称
1:D4_68_BA_00_39_36
2:负一楼门口
|
|
日志
|
日志
|
varchar
|
日志的具体描述
|
Failed to connect to the controller
|
|
|
模块
|
模块
|
varchar
|
产生日志的设备模块
|
ap状态灯显示模块
|
常见的有:系统维护模块、ap授权服务、配置模块、无线用户认证模块、ap状态灯显示模块、隧道模块等
|
|
等级
|
等级
|
varchar
|
产生日志的等级
|
告警
|
|
|
日志信息前面[32]代表设备日志
|
|
|
|
|
日志实例:[32]时间=2020-11-25 03:43:09, 设备名称=D4_68_BA_00_CE_A1, 模块:ap状态灯显示模块, 等级=告警, 日志=Failed to connect to the controller.
|
2.1.1.1.6告警日志:
|
WAC
|
字段
|
字段类型
|
字段说明
|
举例
|
备注
|
|
事件
|
事件
|
varchar
|
事件名称
|
事件=连接AP(D4_68_BA_00_80_60[D4-68-BA-00-80-60]):断开状态
|
|
|
类型
|
类型
|
varchar
|
告警事件类型
|
类型=连接状态变化
|
|
|
时间
|
时间
|
varchar
|
日志上报的时间
|
时间=2023-05-09 10:11:38
|
|
|
日志信息前面[64]代表设备日志
|
|
|
|
|
日志实例: [64]事件=连接AP(D4_68_BA_00_80_60[D4-68-BA-00-80-60]):断开状态,类型=连接状态变化,时间=2023-05-09 10:11:38
|
三、优点
Syslog是一种高度灵活的日志管理协议,可通过多个通信渠道进行数据传输,并且易于实施和使用。
系统管理员可以选择将消息发送到本地日志文件、远程syslog服务器或其他日志管理工具。
通过允许管理员确定记录特定事件的日志详细信息,Syslog可以帮助提高安全性并帮助管理员识别潜在的网络安全问题。
