基于Windows的Syslog日志系統設計與實現

王春彥，朱 磊 ，楊曉朋

(1.河南省電子產品質量監督檢驗所，河南 鄭州450003;2.河南省電力通信自動化公司，河南 鄭州450052）

日志一直都是網絡管理人員在檢查故障、排除網絡錯誤時,查找“病源”的有利原始資料。通過對網絡設備和主機系統的日志分析,可以快速了解網絡上的活動,并對剛剛發生的或者正在進行的事件進行快速響應。隨著網絡規模的不斷擴大和網絡應用的不斷增多，網絡中也越來越多地面臨各種安全威脅的困擾，傳統的依靠單一設備或者人工管理的方式已不能應對日益復雜的網絡威脅的挑戰,不能及時發現和準確定位網絡安全事件，也不能對安全事件可能造成的后果進行準確評估。

1 Syslog協議簡述

Syslog是一種工業標準協議,可用來記錄設備的日志。在Unix系統的路由器、交換機等網絡設備中，Syslog記錄系統中的任何事件,管理者可以通過查看系統記錄，隨時掌握系統狀況。除了可以把日志信息保存在日志文件中之外，Syslog協議還允許設備把日志信息通過網絡傳遞給日志服務器[1]。

2 日志采集和存儲

現在大多數Syslog日志系統均采用Linux服務器，針對某企業的設備情況，這里建設一套Windows下的日志系統[2]，本文采用Kiwisyslog日志采集軟件來收集需要的系統日志，Kiwisyslog遵循標準的日志協議(RFC 3164)，并支持 UDP/TCP/SNMP幾種方式的日志輸入，且它自帶發送模擬器﹑日志瀏覽器等實用工具。

對于Kiwisyslog收集到的日志，選擇實時存入數據庫syslogd，日志格式如圖1所示。

由于本企業上網用戶超過3 000人,每天日志量非常龐大。在這個日志內容中，主要對Message字段進行分析，但是此字段內容較多且復雜，后期的日志統計分析非常困難，這里采用對syslogd數據庫進行每天作業處理，將Message字段按照規律進行字段劃分，Message_A字段是日志類型，Message_B字段是訪問時間，Message_C字段是源地址和目的地址，Message_D和Message_E字段是流入和流出流量，結果如圖2所示。

具體操作如下：

打開SQL企業管理器，進入服務器名下的“管理”，啟動SQL Server代理。然后查看服務器屬性，選中“自動啟動 SQL Server代理”。

接下來進入 SQL Server代理下的“作業”，在右邊點右鍵選“新建作業”。

在“常規”里，輸入一個作業名“syslogd每日處理”，分類選最后一項“數據庫維護”。

在“步驟”里，點“新建步驟”，隨便輸入一個步驟名如“每日備份”，數據庫選syslogd，命令里輸入需要處理的SQL語句，之后分析一下，沒有問題再繼續添加下一個。在“高級”里將“失敗時的操作”改成“轉到下一步”。

在“調度”里，點“新建調度”，隨便輸入一個調度名，點“更改”，“發生頻率”選每天，“一次發生于”里設置00:00:01，然后點“確定”，再點“確定”，配置完成。詳細SQL語句如下[3]：

(1)日志備份

--獲取昨日日期形成日期字符串

(3)日志篩選

--獲取昨日日期形成日期字符串

3 日志分析

通過系統采集的日志，可選擇不同的日期或日期區間進行日志檢索并進行分析。通過C#語言開發查詢工具，查詢界面如圖3所示。

查詢工具的關鍵代碼如下 ：

通過日志查詢工具，輸入日志服務器IP、數據庫名和登錄信息，點擊連接數據庫，連接無誤后即可選擇日志類型、開始及結束日期，可以查詢某一時間段內相關關鍵字的所有日志，并可以選擇導出記錄到Excel，達到詳細分析的目的。

本文在對網絡設備日志分析的基礎上為網絡管理提供了一種較為簡單的方法，但這些研究與實現只是一些基礎性工作，在該架構和基礎上還可以做進一步開發，為企業提供更多的便利：(1)網絡計費是網絡管理中的一個重要環節，利用本文提供的準確的進出口流量數據，配合計費策略信息庫，可以構建比較完善的網絡計費系統。(2)目前用戶行為分析是企業關注的一項課題，可以利用建立的部分IP地址同域名的對照關系以及建立URL與網頁內容關鍵字的映射關系,分析出用戶的興趣愛好。

[1]張永生,譚成翔,汪海航.Linux環境下構建安全的日志服務器[J].計算機安全,2006(12):6－8.

[2]劉合富.syslog日志數據采集實現[J].中國網絡教育,2007(8):50－51.

[3]鄭阿奇.SQL SERVER實用教程[M].北京:電子工業出版社,2005:261－282.

[4]CSDN社區 [EB/OL].(2010-04-28).http://topic.csdn.net/u/20100428/22/64b61824-973b-4acd-b420-3bbe39793b65.html.