Я читал о том, что журналы (syslog) экспортируются в формат IPFIX. И некоторые продукты, которые это делают. Я не нашел, есть ли какие-нибудь стандартные / известные способы сделать это? Например, есть ли какие-то конкретные информационные элементы, предназначенные для системного журнала? Или это полностью проприетарные методы (например, использование всех полей конкретного производителя, что разрешено в IPFIX). И для этих схем используется простой IPFIX или структурированный IPFIX? TIA для любой информации / указателей по этому поводу.
--РЕДАКТИРОВАТЬ--
Я не ищу никакой информации о продуктах, а только о методах / стандартах, если таковые имеются.
Чтобы экспортировать информацию системного журнала с помощью IPFIX, вам необходим медиатор системного журнала в IPFIX. Общую информацию о медиаторах IPFIX можно найти в проект-ietf-ipfix-посреднический протокол.
Нет ограничений на отправку строк, таких как сообщения системного журнала, с использованием IPFIX. В настоящее время нет стандартные информационные элементы (IE) для сообщений системного журнала. IPFIXify использует проприетарные / нестандартные IE для информации системного журнала.
Чтобы быть ясным, говоря «проприетарный», я имею в виду «не обязательно публичный» или «нестандартный». Некоторые экспортеры используют свои проприетарные IE очень близко к жилью, но подробности о большинстве "проприетарных" IE доступны, если вы посмотрите. Добавление проприетарных IE - отличный способ начать экспериментировать с инновационным экспортом. Стандартные IE также могут быть запрошены кем угодно (ожидается экспертиза). Каждый экспортер IPFIX, о котором я могу думать, имеет по крайней мере несколько проприетарных IE.
Также следует отметить, что IPFIX позволяет вам смешивать и сопоставлять стандартные и проприетарные IE (а не просто отправлять «полностью проприетарные» IE). Это важно, потому что сборщик может предоставить некоторые отчеты, используя известные ему IE, и игнорируя другие.
Я не уверен, что вы имеете в виду под простым и структурированным IPFIX?
Думаю, это охватывает все ваши вопросы.
По словам DukeLion, IPFIX - это не предполагается для общего системный журнал данные, но можно экспортировать некоторые типы журналов, которые содержат данные сетевого трафика (например, Apache доступ к журналам) с помощью стандарт Объекты IPFIX.
Освещение сообщение из старого обсуждения на IETF:
В ходе обсуждений с подгруппой IPFIX было ясно, что они на самом деле не хотели формат файла журнала - это было средство указать формат для потоковой передачи двоичной информации сборщикам, и что у них были дополнительные цели, которые включали возможность соотносить сигнальную информацию с информацией о медиапотоках.
IPFIX должен обмениваться информацией об использовании сети - пакетами, байтами, проходящими через какое-то сетевое устройство. Я не думаю, что в него можно добавлять собственные текстовые сообщения.