一种搭配源ip的日志发送方法、系统及装置
技术领域
1.本发明涉及信息安全技术领域,尤其是一种搭配源ip的日志发送方法、系统及装置。
背景技术:2.syslog(system logging protocol)是一种标准的协议,基于用户数据报协议(udp),分为客户端和服务器端,客户端是产生日志讯息的一方,而服务器端负责接收客户端传送来的日志讯息。是让网络装置能够运用标准讯息格式与记录服务器通讯的方法,syslog日志讯息既可以记录在本地,也可以通过网络传送到syslog服务器。syslog服务器对syslog讯息进行统一的储存,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。完整的syslog日志中包含产生日志的程序模块(facility)、严重性(security或level)、助记符、正文、时间、主机名、ip或程序id。这里的facility为模块,讯息严重性(severity)为等级,由这两个信息共同计算出一个pri头部。header部分包含了时间和主机名。在header和msg之间有一个空格,msg是需要记录的日志部分(日志讯息体),也就是说,理论上使用这种格式构造的字符串传送,接收方就能解析出来。
3.syslog在现有环境中,能将机器产生的日志log传送到远程服务器server中,并纪录来源封包的ip以及log,目的是收集主机的历史history的日志转发到rsyslog服务端上做备份。通过omudpspoof这个模块可以修改syslog的报文内容,使用template字段将syslog包头中的主机名称hostname换为日志源的ip地址,解决日志中没有设备ip地址的问题。
4.使用omudpspoof这个模块时,只能够指定一个源ip,若是有其他透过vrf interface(vrf接口)出去的封包也只能共享同一个源ip,无法指定某个vrf搭配某的源ip。所以当这个ip遭到封锁(例如滥发广告信或是信息封锁),该ip底下所有虚拟主机也都会封锁。而当黑客针对ip进行攻击时,该共享ip底下所有虚拟主机也会同时被影响。
技术实现要素:5.本发明提供了一种搭配源ip的日志发送方法、系统及装置,用于解决现有局域网内不同设备的日志转发只能共享一个ip,造成局域网下设备缺乏独立性,整个服务器架构安全性低的问题。
6.为实现上述目的,本发明采用下述技术方案:
7.本发明第一方面提供了一种搭配源ip的日志发送方法,所述方法包括以下步骤:
8.获取源ip地址,将所述源ip地址添加至预设日志模板中;
9.指定接收日志的服务器ip地址;
10.通过以太网接口eth0将日志发送至指定服务器。
11.进一步地,所述日志模板通过rsyslog的第一输出模块omudpspoof设置。
12.进一步地,所述日志发送时,通过第二输出模块omfwd的device字段设置发送接口。
13.进一步地,所述发送接口为虚拟转发路由接口vfr。
14.进一步地,所述服务器为rsyslog服务器。
15.本发明第二方面提供了一种搭配源ip的日志发送系统,所述系统包括:
16.源ip地址处理单元,用于获取源ip地址,将所述源ip地址添加至预设日志模板中;
17.信息设置单元,用于指定接收日志的服务器ip地址;
18.端口设置单元,通过以太网接口eth0将日志发送至指定服务器。
19.进一步地,所述系统还包括日志模板设置单元,所述日志模板设置单元调用rsyslog的第一输出模块omudpspoof进行日志模板的设置。
20.进一步地,所述端口设置单元通过调用第二输出模块omfwd的device字段设置发送接口。
21.本发明第三方面提供了一种搭配源ip的日志发送装置,所述装置包括:
22.至少一个处理器;以及,
23.与所述至少一个处理器通信连接的存储器;其中,
24.所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
25.获取源ip地址,将所述源ip地址添加至预设日志模板中;
26.指定接收日志的服务器ip地址;
27.通过以太网接口eth0将日志发送至指定服务器。
28.本发明第四方面提供了一种计算机存储介质,所述计算机存储介质中存储有计算机指令,所述计算机指令在所述系统上运行时,使所述系统执行所述方法的步骤。
29.本发明第二方面的所述搭配源ip的日志发送系统能够实现第一方面及第一方面的各实现方式中的方法,并取得相同的效果。
30.发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
31.本发明通过对omudpspoof模块的日志模板进行修改,加入客户端的日志源ip地址,并在发送时,通过omfwd模块指定发送端口,使得局域网下每个客户端均有独立的ip地址,保证了整个架构的安全性和稳定性,同时能够搭配不同的远程服务器,实现日志发送的多元化需求。
附图说明
32.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
33.图1是本发明所述方法实施例的流程示意图;
34.图2是本发明所述系统实施例的结构示意图。
具体实施方式
35.为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
36.rsyslog(rocket-fast system for log,是一个gplv3的开源项目,源码托管在github,它提供了高性能,高安全功能和模块化设计,支持多种输入输出,能够满足多种场景的需求)涵盖syslog的常用功能,不过在功能和性能上更为出色,rsyslog能够统一记录系统的各个子系统产生的日志。
37.在rsyslog系统有两个进程分别是klogd和syslogd。而需要两个守护进程是因为内核跟其他信息需要记录的详细程度及格式的不同。
38.klogd进程记录内核信息,系统启动中在登录之前使用的都是物理终端/dev/console,这个时候虚拟终端还没有启动而内核启动日志都存放在/var/log/dmesg文件中,使用dmesg命令可以查看。
39.syslogd进程记录非内核系统产生的信息,当系统启动/sbin/init程序时产生的日志都存放在以下各个日志文件中。
40.在rsyslog.conf档案当中,服务器端可以将该主机系统日志传送到一个指定的目录里面,打印机或者是远程主机上面去,进行按ip和日志简单分类存储。
41.与传统的syslog服务器相比,rsyslog服务器具有下列的优势:
42.1)提供multi-threading功能:同一台机器上支持多子rsyslog进程,可以监听不同端口;
43.2)提供ssl加密功能,除了继续支持用户数据报协议(udp)外,还添加了通讯控制协议(tcp)进行传输的功能。让syslog信息传输不再是明码的形式,提升数据传输的安全性:在日志传输安全方面。
44.3)提供数据库输出功能,可将syslog相关信息储存到数据库服务器上。
45.4)提供过滤功能,用户可自行定义相关的过滤条件,从繁杂的记录文件中取得符合的信息。
46.rsyslog中使用的模块包括第一输出模块omudpspoof(udp spoofing output module)和第二输出模块omfwd(syslog forwarding output module)。
47.omfwd为内置模块,用于日志的转发,其包括字段target(应接收消息的系统的名称或ip地址。任何可解析的名称都可以)、port(消息应发送到的远程端口)、protocol(用于转发的协议类型。“tcp”表示传统的普通tcp syslog以及基于rfc5425的tls加密的syslog。选择哪一个取决于streamdriver参数。如果streamdriver设置为“ossl”或“gtls”,它将使用tls加密的syslog)、networknamespace(用于转发的网络命名空间的名称,如/var/run/netns/)、address(将套接字绑定到给定的本地ip地址)和device(将套接字绑定到给定设备(例如eth0)。对于支持vrf的linux,device选项可用于指定target地址的vrf)。
48.omudpspoof在转发日志时保留原始日志源的包头信息,其包括字段target(消息
应发送到的主机)、port(消息应发送到的远程端口)和sourcetemplate(将用作源系统ip地址的数字ip地址的模板的名称)。
49.如图1所示,本发明实施例提供了一种搭配源ip的日志发送方法,所述方法包括以下步骤:
50.s1,获取源ip地址,将所述源ip地址添加至预设日志模板中;
51.s2,指定接收日志的服务器ip地址;
52.s3,通过以太网接口eth0将日志发送至指定服务器。
53.步骤s1中,所述日志模板通过rsyslog的第一输出模块omudpspoof设置。
54.步骤s3中,所述日志发送时,通过第二输出模块omfwd的device字段设置发送接口。
55.本发明实施例的其一实现方式中,所述发送接口为虚拟转发路由接口vfr。
56.如图2所示,本发明实施例还提供了一种搭配源ip的日志发送系统,所述系统包括源ip地址处理单元1、信息设置单元2、端口设置单元3和日志模板设置单元4。
57.源ip地址处理单元1用于获取源ip地址,将所述源ip地址添加至预设日志模板中;信息设置单元2用于指定接收日志的服务器ip地址;端口设置单元3通过以太网接口eth0将日志发送至指定服务器。
58.日志模板设置单元4调用rsyslog的第一输出模块omudpspoof进行日志模板的设置。
59.所述端口设置单元3通过调用第二输出模块omfwd的device字段设置发送接口。
60.本发明实施例还提供了一种搭配源ip的日志发送装置,所述装置包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:获取源ip地址,将所述源ip地址添加至预设日志模板中;指定接收日志的服务器ip地址;通过以太网接口eth0将日志发送至指定服务器。
61.本发明实施例还提供了一种计算机存储介质,所述计算机存储介质中存储有计算机指令,所述计算机指令在系统上运行时,使所述系统执行所述方法的步骤。
62.上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。