เหตุใดบางบริษัทเช่น cisco จึงใช้รูปแบบการส่งข้อความ syslog ที่แตกต่างกันแทนที่จะเป็น rfc 3164 (BSD syslog) และ rfc 5424 (IETF syslog)

ตามความเข้าใจของฉัน รูปแบบ syslog ที่เป็นที่นิยมคือ:

• RFC 3124 (บันทึกระบบ BSD):

  รูปแบบ: < ลำดับความสำคัญ > แอปพลิเคชันชื่อโฮสต์ประทับเวลา: ข้อความ

  ตัวอย่าง: <133>25 ก.พ. 14:09:07 น. เว็บเซิร์ฟเวอร์ syslogd: รีสตาร์ท

• RFC 5424 (บันทึกระบบ IETF):

  รูปแบบ: < ลำดับความสำคัญ >Version ISOTIMESTAMP HOSTNAME APPLICATION PID MESSAGEID STRUCTURED-DATA MSG

  ตัวอย่าง: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' ล้มเหลวสำหรับ lonvick บน /dev/pts/8

แต่ให้ดูรูปแบบบันทึกของบริษัทอื่น:

• ซิสโก้:

  ตัวอย่าง: *18 ม.ค. 03:02:42: %LINEPROTO-5-UPDOWN: โปรโตคอล Line บนอินเทอร์เฟซ GigabitEthernet0/0 เปลี่ยนสถานะเป็นดาวน์

• Fortinet (ที่นี่คุณจะเห็น syslog ในคู่ของคีย์-ค่า นี่เป็น syslog ด้วยหรือเปล่า)

  ตัวอย่าง: <190>วันที่=2015-03-30 เวลา=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=information vd="root" sessionid=83879670 srcip=12.130.136.122 srcport=48137 dstip= x.x.x.x dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="[email protected]" sender="[email protected]" ผู้รับ ="[email protected]" sendbyte=15369 rcvdbyte=46 ทิศทาง=ข้อความขาออก ="บันทึกอีเมลทั่วไป" เรื่อง="Novos Treinamentos para Certificação Trend Micro" size="15360" ไฟล์แนบ=no

1. นั่นหมายความว่ารูปแบบ syslog สามารถแก้ไขได้ตามความต้องการ แล้วซอฟต์แวร์ SIEM จะแยกวิเคราะห์บันทึกเหล่านี้ได้อย่างไร หากบริษัทต่างๆ ใช้รูปแบบ syslog ที่แตกต่างกัน
2. การมี RFC จะมีประโยชน์อะไรหากบริษัทต่างๆ ปฏิบัติตามแนวปฏิบัติในการบันทึกข้อมูลที่แตกต่างกัน
3. คำถามสุดท้ายของฉัน นี่เป็นรูปแบบ syslog หรือไม่