更新时间:2023-12-11
1Syslog协议
Syslog是一种标准化的日志服务协议,通常用于网络设备、服务器操作系统和应用程序等设备或软件中。它可以帮助管理员监控和诊断系统问题,并方便地收集和记录事件、警告和错误消息等信息。
Syslog协议使用UDP协议进行传输,而且不需要经过认证,因此可能存在安全风险。Syslog消息分为三个部分:头部、内容和可选部分。头部包含了设备信息、时间戳和事件类型等信息。内容则包括了事件的详细描述。可选部分可以包括任何其他有用的信息,例如进程ID、线程ID等。(日志例子:05-09-2023 10:09:21 User.Info 200.200.156.123 May 9 10:09:18 [4]时间=2023-05-09 10:09:18,日志=保存日志查看-Syslog配置,操作对象=对象定义,结果=成功,管理员=admin,IP地址=200.200.156.124)
1.1协议头
按照syslog RFC3164标准,每个日志消息都包含以下信息:
- 时间戳:记录事件发生的日期和时间,并使用本地时区。
- 指示设备主机名或ip:生成日志消息的设备或主机的名称。
- 消息级别:标识事件的严重性,如警告、错误或信息。
协议头例子:05-09-2023 10:09:21 User.Info 200.200.156.123 May 9 10:09:18
1.2消息部分
消息是由系统管理员采集的各种类型的日志。它们可以是系统日志、管理日志、安全日志、认证日志、设备日志或警报日志。解析格式为UTF-8编码,并且每条消息将包括以下[x]字段之一:
[2] 系统日志:包含有关系统运行状况的信息。例如,这可能包括关于CPU利用率、内存利用率、磁盘空间利用率等的信息。
[4] 管理日志:包含与系统配置和管理相关的信息。例如,这可能包括关于用户帐户管理、额外软件安装、网络配置更改等的信息。
[8] 安全日志:包含有关系统安全的信息。例如,这可能包括与登录尝试、访问控制、防火墙规则等相关的信息。
[16] 认证日志:包含有关身份验证的信息。例如,这可能包括与用户登录、权限管理等相关的信息。
[32] 设备日志:包含与设备相关的信息。例如,这可能包括关于网络设备(如交换机、路由器和防火墙)的信息,例如端口状态、接口故障等。
[64] 告警日志:包含与任何系统错误或警报相关的信息。例如,这可能包括有关硬件故障、网络故障、应用程序问题等的信息。
1.2.1系统日志:
WAC |
字段 |
字段类型 |
字段说明 |
举例 |
备注 |
时间 |
time |
varchar |
日志上报的时间 |
2018/05/17 18:20:04 |
格式为:yyyy-mm-dd hh:mm:ss |
日志 |
log_des |
varchar |
日志的具体描述 |
ap D4-68-BA-00-39-36 授权文件与WAC不匹配 |
|
等级 |
log_level |
varchar |
产生日志的等级 |
告警 |
常见的有:错误、告警、信息等 |
模块 |
module |
varchar |
产生日志的模块 |
ap授权服务模块 |
常见的有:ap授权服务模块、二层认证模块、在线用户模块等 |
日志信息前面[2]代表系统日志 |
|
|
|
日志实例:[2]time=2020-11-25 03:17:53, log_des=外部ldap服务器(123)获取组织树失败,请检查对应服务器是否可用, log_level=告警, module:inner_portal_srvd |
1.2.2管理日志:
WAC |
字段 |
字段类型 |
字段说明 |
举例 |
备注 |
时间 |
time |
varchar |
日志上报的时间 |
2018/05/18 14:32:31 |
格式为:yyyy-mm-dd hh:mm:ss |
日志 |
log_des |
varchar |
日志的具体描述 |
登录系统 |
常见的有:登录系统、退出系统、账号xxxx第一次尝试登录等 |
操作对象 |
oper |
varchar |
产生日志的操作对象 |
系统管理 |
|
结果 |
result |
varchar |
产生日志的结果 |
成功 |
常见的有:成功、失败 |
管理员 |
manager |
varchar |
产生日志的操作人员 |
admin |
常见的有: 1:admin 2:xxxx(新增的管理员) |
ip地址 |
ip_addr |
varchar |
操作的设备的IP地址 |
200.200.93.111 |
|
日志信息前面[4]代表管理日志 |
|
|
|
日志实例:[4]time=2020-11-25 03:15:48, log_des=保存Syslog配置, oper=系统管理, result=成功, manager=admin, ip_addr=200.200.93.109 |
1.2.3安全日志:
WAC |
字段 |
字段类型 |
字段说明 |
举例 |
备注 |
时间 |
时间 |
varchar |
日志上报的时间 |
2018/05/18 10:35:22 |
格式为:yyyy-mm-dd hh:mm:ss |
事件类型 |
事件类型 |
varchar |
产生日志的事件类型 |
私设IP |
常见的有:私设IP、ARP扫描估计、IP扫描攻击、DDoS攻击、端口扫描攻击等 |
攻击者MAC |
攻击者MAC |
varchar |
攻击者的MAC地址 |
44-6D-57-DF-C6-C0 |
|
攻击者设备类型 |
攻击者设备类型 |
varchar |
攻击者的设备类型 |
终端 |
|
发现后动作 |
发现后动作 |
varchar |
发现攻击后wac的处理动作 |
告警并踢用户 |
常见的有:告警、告警并踢用户、加入黑名单等 |
接入点 |
接入点 |
varchar |
产生日志的接入点 |
D4_68_BA_00_39_36 |
该名称为实际AP的名称。常见的有: 1:D4_68_BA_00_39_36 2:展厅AP1 |
接入点分组 |
接入点分组 |
varchar |
产生日志的接入点所在分组 |
默认组 |
该分组为实际ap所在WAC的分组。常见的有 1:默认组 2:一楼(wac上新增的组) |
描述 |
描述 |
varchar |
产生日志的具体描述 |
非漫游用户[44-6D-57-DF-C6-C0],未发起DHCP或未使用DHCP所获取IP,DHCP保护生效,终端需重新接入网络,实际IP[151.151.1.7],DHCP[0.0.0.0],VLAN[1] |
|
攻击者账号 |
攻击者账号 |
varchar |
攻击者的账号 |
- |
该日志显示为- |
攻击者计算机名 |
攻击者计算机名 |
varchar |
攻击者的计算机名 |
- |
该日志显示为- |
日志信息前面[8]代表安全日志 |
|
|
|
日志实例:[8]时间=2020-11-25 03:50:44, 事件类型=爆破攻击, 攻击者MAC:7C-76-68-C3-29-7F, 攻击者设备类型:终端, 发现后动作=告警, 接入点=D4_68_BA_00_CE_A1, 接入点分组=默认组, 描述=用户[7C-76-68-C3-29-7F]爆破攻击, 攻击者账号:1, 攻击者计算机名:Honor_Play-cc4c |
1.2.4认证日志:
WAC |
字段 |
字段类型 |
字段说明 |
举例 |
备注 |
时间 |
时间 |
varchar |
日志上报的时间 |
时间=2023-05-09 10:12:17 |
|
事件 |
事件 |
varchar |
事件名称 |
事件=验证失败 (验证服务端拒绝连接) |
|
用户名 |
用户名 |
varchar |
认证用户的用户名 |
用户名=10531 |
|
用户组 |
用户组 |
varchar |
用户所在用户组 |
用户组- |
|
用户类型 |
用户类型 |
varchar |
用户的用户类型 |
用户类型=- |
|
认证方式 |
认证方式 |
varchar |
用户接入的认证方式 |
验证方式=WPA/WPA2(企业) |
|
IP地址 |
IP地址 |
varchar |
用户的IP地址 |
IP地址=- |
|
终端MAC |
终端MAC |
varchar |
用户终端的MAC |
设备MAC=02-4E-D3-1F-21-AE |
|
接入点 |
接入点 |
varchar |
用户接入的位置 |
接入点名称=默认接入点 |
|
接入点分组 |
接入点分组 |
varchar |
用户接入的接入点分组 |
接入组=default-group |
|
接入网络 |
接入网络 |
varchar |
用户接入的网络SSID |
接入网络=zt_yuancheng_test |
|
VLAN |
VLAN |
varchar |
用户所在VLAN |
VLAN=0, |
|
角色 |
角色 |
varchar |
用户被分配的角色 |
角色= |
|
计算机名 |
计算机名 |
varchar |
用户终端的名称 |
计算机名=- |
|
终端类型 |
终端类型 |
varchar |
用户的终端类型 |
设备类型=Others |
|
日志信息前面[16]代表认证日志 |
|
|
|
日志实例:[16]时间=2023-05-09 10:12:17,事件=验证失败 (验证服务端拒绝连接),用户名=10531,用户组-,用户类型=-,验证方式=WPA/WPA2(企业),IP地址=-,设备MAC=02-4E-D3-1F-21-AE,接入点名称=默认接入点,接入组=default-group,接入网络=zt_yuancheng_test,VLAN=0,角色=,计算机名=-,设备类型=Others |
1.2.5设备日志:
WAC |
字段 |
字段类型 |
字段说明 |
举例 |
备注 |
时间 |
时间 |
varchar |
日志上报的时间 |
2018/05/18 09:58:31 |
格式为:yyyy-mm-dd hh:mm:ss |
设备名称 |
设备名称 |
varchar |
产生日志的设备名称 |
D4_68_BA_00_39_36 |
AP的名称 1:D4_68_BA_00_39_36 2:负一楼门口 |
日志 |
日志 |
varchar |
日志的具体描述 |
Failed to connect to the controller |
|
模块 |
模块 |
varchar |
产生日志的设备模块 |
ap状态灯显示模块 |
常见的有:系统维护模块、ap授权服务、配置模块、无线用户认证模块、ap状态灯显示模块、隧道模块等 |
等级 |
等级 |
varchar |
产生日志的等级 |
告警 |
|
日志信息前面[32]代表设备日志 |
|
|
|
日志实例:[32]时间=2020-11-25 03:43:09, 设备名称=D4_68_BA_00_CE_A1, 模块:ap状态灯显示模块, 等级=告警, 日志=Failed to connect to the controller. |
1.2.6告警日志:
WAC |
字段 |
字段类型 |
字段说明 |
举例 |
备注 |
事件 |
事件 |
varchar |
事件名称 |
事件=连接AP(D4_68_BA_00_80_60[D4-68-BA-00-80-60]):断开状态 |
|
类型 |
类型 |
varchar |
告警事件类型 |
类型=连接状态变化 |
|
时间 |
时间 |
varchar |
日志上报的时间 |
时间=2023-05-09 10:11:38 |
|
日志信息前面[64]代表设备日志 |
|
|
|
日志实例: [64]事件=连接AP(D4_68_BA_00_80_60[D4-68-BA-00-80-60]):断开状态,类型=连接状态变化,时间=2023-05-09 10:11:38 |
1.3优点
Syslog是一种高度灵活的日志管理协议,可通过多个通信渠道进行数据传输,并且易于实施和使用。
系统管理员可以选择将消息发送到本地日志文件、远程syslog服务器或其他日志管理工具。
通过允许管理员确定记录特定事件的日志详细信息,Syslog可以帮助提高安全性并帮助管理员识别潜在的网络安全问题。