面向主動運維的Syslog日志分析方法

葉成剛

摘要：網(wǎng)絡(luò)在運行過程中，有時會出現(xiàn)一些異常事件，這些異常事件對網(wǎng)絡(luò)具有一定的危害性，嚴(yán)重的可能會導(dǎo)致網(wǎng)絡(luò)故障?，F(xiàn)代網(wǎng)絡(luò)運維工作中普遍使用Syslog日志記錄網(wǎng)絡(luò)設(shè)備上發(fā)生的各種事件，然而許多網(wǎng)絡(luò)運維部門僅僅用Syslog日志分析故障，對日志中所反映的網(wǎng)絡(luò)異常情況往往重視不夠。為了改變被動等待故障的工作方式，網(wǎng)絡(luò)部門需要全面了解網(wǎng)絡(luò)的運行情況，找出可能導(dǎo)致網(wǎng)絡(luò)故障的因素，使得運維工作由被動變?yōu)橹鲃?。Syslog日志分析是主動運維工作中的一項重要內(nèi)容。由于大型網(wǎng)絡(luò)中Syslog日志數(shù)量非常龐大，依靠人的分析方法幾乎不可行，而且由于日志消息格式的隨意性，也使得傳統(tǒng)的基于規(guī)則的計算機分析方法通用性較差。本文通過對異常事件的特征進行研究，結(jié)合實際網(wǎng)絡(luò)中的Syslog日志數(shù)據(jù)，對如何找出網(wǎng)絡(luò)中的異常事件和異常設(shè)備進行總結(jié)。

關(guān)鍵詞： 日志； 異常事件； 主動運維； 日志分析

中圖分類號： TP393.08

文獻標(biāo)志碼： A

文章編號： 2095-2163（2017）05-0050-06

Abstract：Sometimes， the abnormal events may be happened in a running network. The abnormal events are harmful to the network and even lead to network failure. Syslog is widely used in modern network to record events happened with devices. But in many networks， Syslogs are analysed just after network failure and the abnormal events hidden in Syslogs are ignored. In order to change the passive work mode of waiting for network failure， the network department needs to fully understand the health of the network and identify the factors that may lead to network failure. Syslog analysis is an important part of active maintenance work. While it is almost impossible for the people to analyse Syslogs of large scale network because of huge numbers of Syslogs. Also the rule based analysis method for computers is not suitable for other networks due to the arbitrariness of Syslog formats. In this paper， the characteristics of the abnormal events are researched and the Syslog analysis method to find the abnormal events and devices is introduced.

Keywords： Syslog； abnormal event； active operation and maintenance； Syslog analysis

0引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和移動應(yīng)用的推廣普及，人們的日常生活與工作已與網(wǎng)絡(luò)建立了密切聯(lián)系。確保網(wǎng)絡(luò)的可用性與穩(wěn)定性成為了網(wǎng)絡(luò)運維部門的重要目標(biāo)。在傳統(tǒng)運維模式下，運維部門被動響應(yīng)和處理網(wǎng)絡(luò)故障，工作效率低下。而在主動運維模式下，運維人員需要采取各種主動措施，找出網(wǎng)絡(luò)中存在的問題。在實際網(wǎng)絡(luò)運維中，通常會使用Syslog日志記錄網(wǎng)絡(luò)運行過程中設(shè)備上發(fā)生的事件，所有設(shè)備的日志信息將會發(fā)送到Syslog服務(wù)器集中存儲。Syslog日志在網(wǎng)絡(luò)運維中具有較高的分析價值和用途，不僅可以用于故障分析，還能用于發(fā)現(xiàn)網(wǎng)絡(luò)異常情況、網(wǎng)絡(luò)安全威脅、用戶行為分析等諸多方面。本次研究則立足于綜述大型網(wǎng)絡(luò)的主動運維工作要求下，如何通過Syslog日志找出網(wǎng)絡(luò)中的異常設(shè)備，并以實際運維網(wǎng)絡(luò)的Syslog日志數(shù)據(jù)進行分析驗證。

1Syslog介紹

1.1Syslog協(xié)議

Syslog協(xié)議最早由美國加州伯克利大學(xué)研究開發(fā)，由于其在運維管理方面呈現(xiàn)重要價值，因此在許多操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備中都選擇內(nèi)嵌了該協(xié)議。在一個最簡單的Syslog協(xié)議模型中，由生成日志的發(fā)送器和接收日志的收集器兩部分組成，發(fā)送器可以稱為設(shè)備，收集器也可稱為Syslog服務(wù)器。Syslog使用UDP傳輸協(xié)議，源和目標(biāo)端口通常為514。

1.2Syslog消息結(jié)構(gòu)

完整的Syslog日志格式由優(yōu)先級（Priority）、消息頭（Header）、消息文本（Content）三部分組成。一個典型的Syslog消息格式如下：

<34>Oct 1 22：33：15 myhost su： 'su root' failed for admin on /dev/pts/8

優(yōu)先級通常由字符“<”開始，后面是1～3位的數(shù)字，然后以“>”結(jié)尾。其中的數(shù)字部分由日志的程序模塊（Facility）代碼和消息的嚴(yán)重級別（Severity）編號計算得出。優(yōu)先級的數(shù)值等于程序模塊代碼乘以8，再加上嚴(yán)重級別編號。endprint