SysLog的标准是RFC3164描述的,但是很多厂家的日志都没有完全遵守这个标准,因此在SIEM和SEM中,日志解析就是第一个要面对的问题,因此,就我所看到的大部分SOC厂家(国内和国外)都需要针对不同的厂家(不同的设备进行解析),当然设备的分类,设备的解析,解析的性能可能由于语言,设计架构等不同因素而有所不同,但是一般来说,日志解析都是通过字符串分析来做的,字符串分析包括字符串操作,正则表达式,JSON,XML,二进制等等。
就我看来,一个好的设备解析框架,第一要能对日志的支持做到无缝插入,第二要能够支持扩充不同的解析方式。
实际上来说,这两个特性都很比较容易实现。
从我实际的开发角度来看,日志解析的最大问题就是性能,如果能够快速的解析日志,而不要太消耗处理性能,这需要我们有一个折中。
采取一定的策略去解决这个问题。
--------------------------待续
插入一个链接:
http://www.snmpsoft.com/syslogwatcher/syslog.html
这个网址介绍syslog的基本概念,以及RFC的位置,并且它有一个自己的产品名称为syslogwatcher,我下载下来一般用于调试用,使用还是很方便的。