Komenda Syslogd jest najczęściej stosowana do zamiany wiadomości maszynowych albo syslogów w eventy przeznaczone do dalszego przetwarzania. Celem ostatecznym procesu jest uruchomienie alarmów czy powiadomień. Jednak problem z formatem danych generowanych przez tę komendę jest taki, że mają nieustandaryzowaną, luźną strukturę. Ten post pokazuje powody odejścia od standardu syslogd na rzecz IPFIX głównie przez fakt, że dane generowane przez ten drugi mają wysoko uporządkowaną strukturę.
Jeśli zamierzałbyś wkroczyć na rynek telewizorów z nowym produktem, prawdopodobnie nie wybrałbyś staromodnej technologii CRT. Aby konkurować na rynku, musiałbyś zaprojektować super-płaski telewizor o takich cechach jak niewielka waga, funkcja 3D czy kompatybilność z bluetooth. Analogicznie, jeśli planowałbyś osiągnąć sukces w produkcji switchów, ruterów, firewalli czy IPSów, prawdopodobnie nie podkreślałbyś w reklamach ich wsparcia dla SNMP czy syslog. Dla większości użytkowników to standard. Dla ludzi z branży modna jest teraz technologia flow, w zakresie przede wszystkim NetFlow oraz IPFIX. Nie bez powodu liderzy w branży skupiają się właśnie na tej funkcjonalności urządzeń. Weźmy za przykład takie marki jak Cisco, Palo Alto Networks, czy SonicWall – wszystkie wspierają NetFlow oraz IPFIX i są liderami rynku firewall-i. Vmware jest z kolei topowym brandem serwerów virtualnych i oczywiście wspiera zarówno NetFlow jak i IPFIX.
Czy wyżej wspomniany sprzęt obsługuje syslog? Naturalnie, jednak w obliczu różnorodnych zagrożeń typu malware, rekonesans z użyciem tylko syslogów jest zbyt ograniczony w porównaniu z technologią flow. Również SNMP jest za mało skuteczny w walce ze złośliwym oprogramowaniem. Powodów jest kilka.
Informacja w formacie IPFIX składa się z elementów wspólnych dla standardu, oraz tych definiowanych przez użytkownika. IPFIX umożliwia przydzielenie indywidualnych ID dla tych dodatkowych, zdefiniowanych elementów. Znacznie ułatwia to eksport informacji ważnych dla danej sytuacji. Można eksportować nie tylko SNMP, ale właściwie każdy rodzaj danych.
Inna zaleta standardu IPFIX to definiowanie typów danych o dowolnej długości. Przykładowo, SonicWall pozwala na definiowanie zmiennych o dramatycznie różnej wielkości: HTTP URL, User Name, Application Detection, Detected Intrusions, Detected Viruses i kilka innych. Podobnie działają urządzenia Enterasys, nTon, Juniper i wielu innych.
A co zrobić, jeśli pracujesz ze starszym systemem (bez wsparcia IPFIX) który jeszcze się dostatecznie nie zwrócił, by móc go wymienić na nowszy? Rozwiązaniem jest np. IPFIXify, który konwertuje syslogi do formatu IPFIX. Kiedy dane uzyskają już w ten sposób odpowiednią strukturę, łatwiej zanalizować je jako dane typu „meta” czy też typu kontekstualnego co z kolei ułatwia porównanie logów pomiędzy różnymi systemami. Możemy przykładowo „wyłowić” nazwy podejrzanych użytkowników analizując strumień IPFIX z Cisco ISE.
Podsumowując, nadszedł czas żeby pożegnać się z syslogami i zacząć w pełni korzystać z zalet technologii ustrukturyzowanych danych. IPFIX jest przyszłością analizy logów.
Danny@PLIXER
Jeśli zamierzałbyś wkroczyć na rynek telewizorów z nowym produktem, prawdopodobnie nie wybrałbyś staromodnej technologii CRT. Aby konkurować na rynku, musiałbyś zaprojektować super-płaski telewizor o takich cechach jak niewielka waga, funkcja 3D czy kompatybilność z bluetooth. Analogicznie, jeśli planowałbyś osiągnąć sukces w produkcji switchów, ruterów, firewalli czy IPSów, prawdopodobnie nie podkreślałbyś w reklamach ich wsparcia dla SNMP czy syslog. Dla większości użytkowników to standard. Dla ludzi z branży modna jest teraz technologia flow, w zakresie przede wszystkim NetFlow oraz IPFIX. Nie bez powodu liderzy w branży skupiają się właśnie na tej funkcjonalności urządzeń. Weźmy za przykład takie marki jak Cisco, Palo Alto Networks, czy SonicWall – wszystkie wspierają NetFlow oraz IPFIX i są liderami rynku firewall-i. Vmware jest z kolei topowym brandem serwerów virtualnych i oczywiście wspiera zarówno NetFlow jak i IPFIX.
Czy wyżej wspomniany sprzęt obsługuje syslog? Naturalnie, jednak w obliczu różnorodnych zagrożeń typu malware, rekonesans z użyciem tylko syslogów jest zbyt ograniczony w porównaniu z technologią flow. Również SNMP jest za mało skuteczny w walce ze złośliwym oprogramowaniem. Powodów jest kilka.
Informacja w formacie IPFIX składa się z elementów wspólnych dla standardu, oraz tych definiowanych przez użytkownika. IPFIX umożliwia przydzielenie indywidualnych ID dla tych dodatkowych, zdefiniowanych elementów. Znacznie ułatwia to eksport informacji ważnych dla danej sytuacji. Można eksportować nie tylko SNMP, ale właściwie każdy rodzaj danych.
Inna zaleta standardu IPFIX to definiowanie typów danych o dowolnej długości. Przykładowo, SonicWall pozwala na definiowanie zmiennych o dramatycznie różnej wielkości: HTTP URL, User Name, Application Detection, Detected Intrusions, Detected Viruses i kilka innych. Podobnie działają urządzenia Enterasys, nTon, Juniper i wielu innych.
A co zrobić, jeśli pracujesz ze starszym systemem (bez wsparcia IPFIX) który jeszcze się dostatecznie nie zwrócił, by móc go wymienić na nowszy? Rozwiązaniem jest np. IPFIXify, który konwertuje syslogi do formatu IPFIX. Kiedy dane uzyskają już w ten sposób odpowiednią strukturę, łatwiej zanalizować je jako dane typu „meta” czy też typu kontekstualnego co z kolei ułatwia porównanie logów pomiędzy różnymi systemami. Możemy przykładowo „wyłowić” nazwy podejrzanych użytkowników analizując strumień IPFIX z Cisco ISE.
Podsumowując, nadszedł czas żeby pożegnać się z syslogami i zacząć w pełni korzystać z zalet technologii ustrukturyzowanych danych. IPFIX jest przyszłością analizy logów.
Danny@PLIXER