技術領域

本發明涉及網絡通訊領域，尤其涉及一種傳輸網絡事件日志協議報文的方法和系統。

背景技術

SYSLOG(網絡事件日志協議)是在各種網絡操作系統中廣泛應用的事件通告傳遞協議，當前一些主要的操作系統，如微軟Windows、各種Unix以及Linux都實現了SYSLOG協議。IETF(因特網工程部)也在致力于SYSLOG協議的標準化，統一各種SYSLOG的報文格式定義。

SYSLOG協議采用Client/Server(客戶端/服務器)模式的通信方式，Client是事件報文的發送者，Server是事件報文的接收者。Client可以是事件的產生者，比如一個設備或進程，也可能是一個中繼實體，中繼實體對從其它發送者(事件產生者或其他中繼實體)收到的SYSLOG事件進行處理后發給其它的接收者。

SYSLOG協議是單向的通信協議，事件報文只從發送者發送到接收者，接收者不發送任何確認報文、連接啟動和連接關閉等報文，也就是說接收者在SYSLOG協議層次總是不發送任何報文給發送者(但是下層的傳輸協議可能需要雙向通信)。

SYSLOG協議是一個基于文本的協議，所有的參數名稱和參數值都是采用文本，并且避免使用ASCII編碼中編碼值低于32的字符，即避免使用控制字符，從下層傳輸協議的角度來看，可以將Syslog報文簡單地理解為一個文本塊。

Syslog協議報文的格式如下：

1、每個報文由三個部分組成：報文頭、結構化數據和MSG(消息)部分。

2、上述報文頭是一個由打印字符構成的串，由如下的幾個部分組成，各個部分之間由空格分開，上述幾個部分分別為：

PRI，優先級；

VERSION，Syslog協議版本號；

TIMESTAMP，時標；

HOSTNAME，主機名；

APP-NAME，應用名；

PROCID，進程ID；

MSGID，報文ID。

3、上述結構數據是由一系列結構化元素構成，每個結構化元素由結構化元素名稱以及一系列的參數名和參數值對組成

4、上述MSG是由可打印字符構成的消息，一般為事件描述信息。

目前基本上采用UDP(用戶數據報協議)進行SYSLOG報文的傳輸，根據SYSLOG報文長度和UDP報文長度的關系，在采用UDP進行SYSLOG報文的傳輸時，每個UDP報文只能傳輸一個SYSLOG報文。采用UDP來傳遞SYSLOG報文的協議層次示意圖如圖1所示的SYSLOG協議的協議棧結構的A部分。

UDP雖然具有簡單靈活的特點，但是UDP是一個不可靠的無連接協議，在采用UDP的報文傳送過程中可能丟失報文，而SYSLOG報文也不處理丟包等情況，因此，采用UDP來傳遞SYSLOG報文可能造成傳遞的事件信息丟失。TCP(傳輸控制協議)是可靠的面向連接的協議，為了改善數據傳輸的可靠性，可以采用TCP來傳輸SYSLOG報文。采用TCP來傳遞SYSLOG報文的協議層次示意圖如圖1所示的SYSLOG協議的協議棧結構的B部分。

目前，Internet網絡安全問題越來越成為網絡穩定運行的關鍵問題，同樣syslog協議也存在著如下的安全風險：

1、信息篡改，SYSLOG報文在傳輸的過程中被中間的惡意網絡節點非法篡改。

2、信息泄露，SYSLOG報文在傳輸過程中被非法攔截，并獲取了SYSLOG報文中的信息，如事件的描述信息。

3、身份仿冒，一個惡意節點仿冒一個合法節點參與到SYSLOG的通信中。

因此，為了解決SYSLOG報文的安全問題，可以將SYSLOG報文傳輸在某些安全協議上，比如TLS(傳輸層安全協議)、BEEP(塊擴展交換協議)和SSH(安全外殼程序協議)，這些安全協議能夠提供保密性、完整性和數據源驗證等安全機制，這樣就能夠解決SYSLOG報文的安全問題。采用TCP和安全協議來傳遞SYSLOG報文的協議層次示意圖如圖1所示的SYSLOG協議的協議棧結構的C部分。

現有技術中一種使用TLS傳輸Syslog報文的方法為：采用TLS的缺省使用方式。當syslog向一個特定的TCP端口發起請求，則認為該TCP連接上的所有的Syslog數據需要使用TLS實現保護。因此，在TCP連接建立后，則直接開始TLS握手的過程，握手過程完成后在TLS上傳輸Syslog報文。該TCP連接上的所有Syslog報文都使用TLS來傳輸，直到通信結束。