我读到过有关以 IPFIX 格式导出日志 (syslog) 的信息。有些产品也这样做。但我没有找到是否有任何标准/已知的方法可以做到这一点?例如,是否有任何专门用于 syslog 的信息元素?或者,它是完全专有的方法(例如使用 IPFIX 中允许的所有供应商特定字段)并且,对于这些方案,是使用普通 IPFIX 还是结构化 IPFIX?TIA 是否有关于此的任何信息/指针。
- 编辑 -
我并不是在寻找有关产品的任何信息,只是在寻找有关方法/标准(如果有的话)。
答案1
正如 DukeLion 所说 IPFIX不是应该用于一般系统日志数据,但可以导出某些特定类型的日志,其中包含网络流量数据(如 Apache访问日志) 使用标准IPFIX 实体。
照亮信息来自 IETF 上的旧讨论:
在与 IPFIX 子组的讨论中,很明显他们并不真正需要一种日志文件格式——这是一种指定向收集器传输二进制信息的格式的方法,他们还有其他目标,包括将信令信息与媒体流信息关联起来的能力。
答案2
要使用 IPFIX 导出系统日志信息,您需要一个系统日志到 IPFIX 中介。有关 IPFIX 中介的一般信息可在以下位置找到草案-ietf-ipfix-中介协议。
使用 IPFIX 发送类似系统日志消息的字符串没有任何限制。目前没有任何标准信息元素(IE)用于系统日志消息。IPFIXify 使用专有/非标准 IE 来获取系统日志信息。
为了明确起见,我所说的专有 IE 的真正含义是“不一定是公开的”或“非标准的”。一些导出器对其专有 IE 守口如瓶,但如果您仔细查看,就会发现大多数“专有”IE 的详细信息。添加专有 IE 是开始尝试创新导出的好方法。任何人都可以请求标准 IE(等待专家审核)。我能想到的每个 IPFIX 导出器都至少有一些专有 IE。
这里要指出的另一点是,IPFIX 允许您混合和匹配标准和专有 IE(而不仅仅是发送“完全专有”的 IE)。这很重要,因为收集器可以使用其知道的 IE 提供一些报告,而忽略其他 IE。
我不确定您所说的普通 IPFIX 与结构化 IPFIX 是什么意思?
我想这涵盖了你的所有问题。
答案3
IPFIX 应该交换有关网络使用情况的信息 - 数据包、流经某些网络设备的字节。我认为不可能将自定义文本消息放入其中。