SNMP Trap vs Syslog
SNMP je Simple Network Management Protocol . Vyžaduje to manažera, který komunikuje s agenty. Každé síťové zařízení má v sobě předinstalovaného agenta, takže vše, co správce sítě musí nainstalovat, je Správce SNMP . Syslog je standard pro zasílání protokolů široce používaný v systémech Linux. Tyto zprávy nikam nevedou, pokud nemáte server Syslog.
SNMP i Syslog vyžadují nástroj pro sběr jejich zpráv. K analýze těchto zpráv a jejich využití potřebujete sofistikovanější systém. Do kterého se tedy vyplatí investovat? Můžete použít obojí?
SNMP
Simple Network Management Protocol je široce používán pro monitorování sítě . Téměř každý síťový monitor, který si můžete koupit, obsahuje procedury SNMP.
V SNMP vysílá správce požadavky na zprávy po síti každých čtyři nebo pět minut. Každé síťové zařízení má nainstalovaného agenta, který neustále kontroluje stav zařízení a vyplňuje formulář. Když agent obdrží požadavek, odešle aktuální verzi své zprávy nazvanou a Management Information Base (MIB), a poté pokračuje ve skenování.
Pokud agent zařízení zaznamená vážný problém, nemusí čekat na žádost o odeslání hlášení. Tento nevyžádaný MIB se nazývá a Past . Monitory sítě interpretují depeše jako „upozornění“. Zatímco MIB poskytuje mnoho různých typů dat, včetně zpráv o propustnosti provozu na každém rozhraní, účelem pasti je upozornit na konkrétní problém.
Kromě označení problému obsahuje depeše SNMP také hodnocení závažnosti. Úrovně závažnosti ve standardech SNMP jsou:
0 | Nouzový | Systém nepoužitelný |
1 | Upozornění | Nutná okamžitá akce |
dva | Kritické | Existují kritické podmínky |
3 | Chyba | Existují poruchové stavy |
4 | Varování | Existují varovné podmínky |
5 | Oznámení | Existují normální, ale významné podmínky |
6 | Informace | Informační zprávy |
7 | Ladit | Zprávy ladění |
Čím nižší je číslo ve zprávě Trap, tím větší je problém.
Viz také: Běžné chyby zabezpečení SNMP
Syslog
Syslog je otevřený standard – nikdo jej nevlastní a formát je publikován zdarma. Formát zpráv Syslog je obzvláště oblíbený v operačních systémech Linux a pro software, který na nich běží.
Formát zprávy Syslog zahrnuje:
Časové razítko | Datum a čas vytvoření zprávy |
IP adresa hostitele | Identifikuje zařízení, které zprávu vytvořilo |
Zpráva o události | Ukazatel události |
Vážnost | Žebříček závažnosti události |
Diagnostika | Systémové podmínky související s událostí |
Jak je Syslog standard a ne softwarový balík, ne každý zdroj generující zprávy vyplní všechna pole.
Účelem protokolových zpráv je jejich archivace a použití pro historickou analýzu. Existují systémy, které prohledávají zprávy protokolu živě. Nejsou však zkoumány tak rychle jako zprávy SNMP Trap. Bližším partnerem Syslogu je standard Windows Events.
Logové zprávy jsou dnes velmi důležité pro bezpečnostní systémy, jako jsou např SIEM (bezpečnostní informace a správa událostí) . Zprávy protokolu je třeba shromažďovat a poté ukládat do souborů. Nástroje pro analýzu protokolů pak mohou přistupovat k souborům protokolů a vyhledávat v nich náznaky narušení. Ukládání protokolových zpráv je také požadavkem mnoha standardů ochrany dat, jako je např HIPAA a PCI-DSS .
Viz také: Nástroje serveru Syslog
Kdy použít depeše SNMP
Je velmi vzácné najít systém, který se spoléhá pouze na SNMP Traps. Past je jen jeden z typů zpráv které SNMP specifikuje a s největší pravděpodobností od nich získáte informace prostřednictvím obecného monitoru výkonu sítě. Většina monitorů výkonu sítě je zpoplatněna a plní roli správce SNMP.
Včetně veškerého síťového vybavení agenti zařízení ale pravidelné zprávy, které sestavují, se nerozesílají, pokud o to nepožádají. Zprávy Trap mohou být zaslány pouze manažerovi, který již rozeslal svou adresu. Pokud tedy v síti nepracuje správce SNMP, zprávy SNMP Trap nemohou být použity.
Další výhodou provozu SNMP Manageru jsou odpovědi, které dostává každé čtyři nebo pět minut sdělte monitoru přesně, která zařízení jsou v síti a jak se k sobě připojují. To poskytuje monitoru službu automatického zjišťování zařízení a poskytuje všechny informace o každém zařízení, které umožňují sestavení inventáře sítě.
Zprávy SNMP lze také procházet do systémů pro analýzu protokolů, které vyhledávají bezpečnostní události. V těchto případech budou zprávy Trap spolu se všemi ostatními zprávami SNMP MIB převedeny do neutrálního formátu, aby mohly být uloženy společně se zprávami Syslog a Windows Event.
Kdy použít Syslog
Stejně jako SNMP jsou zprávy Syslog již ve vašem systému, stačí si nainstalovat program, který je bude shromažďovat. Zprávy Syslog poskytují důležité informace o aktivitě v systému. Sloučením zpráv Syslog, které vznikají v mnoha softwarových balíčcích a Linuxu, může správce sítě získat dobrý přehled o všech problémech, které se objevily. Konsolidace zpráv Syslog do centrálního úložiště, které také soubory Zprávy událostí systému Windows získá ještě lepší přehled o činnosti systému.
Syslog byste použili k retrospektivní analýze aktivity systému. To je užitečné zejména pro bezpečnostní vyšetřování.
Sečteno a podtrženo
Poskytují jak SNMP depeše, tak zprávy Syslog důležité systémové informace . Obě služby jsou velmi užitečné pro monitorování systému a analýzu služeb. SNMP se obecně používá spíše pro monitorování sítě, zatímco Syslog se používá častěji upozornění na stav softwaru a operačního systému .
Služby SNMP a Syslog již ve vašem systému existují, stačí si nainstalovat sběrač zpráv a interpret. SNMP Traps a Syslog jsou otevřené standardy, ke kterým má přístup kdokoli. Softwarové společnosti přistupují k těmto standardům a integrují jejich funkce do svých produktů.
Je vhodné používejte SNMP depeše i Syslog . Získejte monitor výkonu sítě pro využívání služeb SNMP Traps a kupte si systém SIEM, abyste ze Syslogu vytěžili maximum.