Use case 1:從網路設備收集日誌
從網路設備 (路由器等) 收集和彙整日誌訊息是 syslog-ng™ 與 Splunk 最常見的部署應用之一,Cisco、Juniper 等主要路由器製造商使用 syslog 協定去傳輸日誌訊息,syslog-ng™ 應用程式本身支援原始 syslog 協定 RFC3164 (也稱 為legacy-syslog 或 BSD-syslog) 和新的 syslog 協定 RFC5424 (也稱為 IETF-syslog)。此外,syslog-ng™ 還支援部分路由器製造商使用從這些協定所衍生的協定。 最常見的配置包括 syslog-ng™ 伺服器,並透過 UDP 或 TCP 接收日誌訊息。雖然 One Identity 強烈建議路由器以 TCP 協定發送日誌,因為其具有更高的可靠性,但許多路由器僅藉由本質上不可靠的 UDP 傳輸日誌,或者由於其較低的資源需求而預設使用 UDP。syslog-ng™ 伺服器上的日誌訊息可以透過更可靠的 TCP syslog 協定轉發到 Splunk,並儲存到平面檔案 (flat files) 中供 Splunk 轉發器讀取或發送到 Splunk 的 HTTP 事件收集器 (HEC)。這種配置的好處如下:
l 可靠性:使用 syslog-ng™ 從透過 UDP 發送消息的路由器收集和聚集日誌訊息,然後以 TCP 傳輸訊息可以減少訊息遺失。它還為網路或伺服器中斷時的資料,或 Splunk 進行維護而暫停使用的資料提供緩衝。 l 效能:網路設備每秒事件的生成率極高。根據其確切配置,syslog-ng™ 每秒可從單一來源收集超過 100,000 筆日誌訊息。 l 靈活性:syslog-ng™ 可以過濾、解析和重寫來自網路設備的日誌訊息,並將它們正規化為標準的 syslog 訊息。
為了減少訊息遺失,特別是在 UDP 傳輸的情況下,如果可行,建議將 syslog-ng™ 伺服器直接連接到網路設備。 範例:使用 relay 從 UDP 接收日誌 此範例為大規模網路,syslog-ng PE 安裝在多個位置,從本地設備接收日誌並將它們轉發到中央位置。 圖 1:使用 relay 從 UDP 接收日誌 |