بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
تفاوت بین syslog ، rsyslog و syslog-ng در چیست ؟
قبلا در ITPRO در خصوص syslog بصورت کامل و مفصل صحبت کرده ایم ولی ممکن است کمی ابهام برای برخی دوستان به وجود بیاید که واژه هایی مثل syslog و rsyslog و syslog-ng را بشنوند و برایشان جای سئوال شود که تفاوت اینها چیست ؟ امروز در ITPRO می خواهیم این تفاوت ها را بررسی کنیم. در وهله اول بایستی درک کنید که همه اینها Log Manager هستند یعنی برنامه ها و ابزارهایی برای مدیریت کردن Log های سیستم عامل ها و سخت افزارها و ... هستند پس ماهیت کاری همه آنها یکسان است . همه آنها این امکان را به شما می دهند که بتوانید Log ها را جمع آوری ، فیلتر و در یک محل متمرکز ذخیره سازی کنید. اما تفاوت در کجاست ؟ در واقع این سه مورد ، سه پروژه جدا هستند ، هر کدام از این پروژه ها به مرور زمان ارتقاء پیدا کرده اند و هدفشان بهبود بخشیدن امکانات و کاهش مشکلات مربوط به پروژه قبلی بوده است.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
اولین پروژه ای که در حوزه Log Manager معرفی شد syslog نام داشت که در سال 1980 شروع شد. این پروژه در واقع پروژه اصلی و هسته اصلی شکل گیری پروتکل syslog بود. در این زمان syslog یک پروتکل بسیار ساده است و هیچ قابلیت خارق العاده ای در آن وجود ندارد و در واقع یک Collector ساده است. در ابتدای پروژه syslog فقط از پروتکل UDP پشتیبانی می کرد که هیچ گارانتی و تضمینی برای رسیدن بسته های اطلاعات از مبدا به مقصد را به کاربر نمی داد. Syslog در واقع log manager پیشفرض اکثر توزیع های سیستم عامل لینوکس است و بعضا آن را به عنوان syslogd هم می شناسند. این پروتکل بسیار ساده و انعطاف ناپذیر بود. اما در سال 1998 پروژه جدیدتری به نام syslog-ng معرفی شد که مکمل syslog بود ، این پروژه جدید قابلیت ها و امکانات جدیدی به syslog قدیمی اضافه کرد که مهمترین های آنها به شرح زیر می باشند :
- قابلیت فیلتر کردن محتوای syslog message ها
- قابلیت log برداری مستقیم داخل یک پایگاه داده
- امکان استفاده از پروتکل های TCP برای انتقال
- امکان رمزنگاری TLS در انتقال داده ها
اما در سال 2004 نسل بعدی syslog معرفی شد که به عنوان rsyslog معروف است ،این نسخه پیشرفته syslog و syslog-ng بود و قابلیت هیا زیادی را پشتیبانی می کرد ، جالب اینجاست بدانید که محتویات فایل syslog.conf عینا اگر در فایلrsyslog.conf اگر قرار بگیرند کار می کنند و فایل تنظیمات آنها یکسان است. rsyslog هم موارد زیر را به پروتکل قبلی اضافه کرد :
- پشتیبانی از پروتکل RELP
- پشتیبانی از عملیات های Buffer شده
- امکان اعمال محدودیت های آدرس IP برای Source و پورت
- امکان وارد کردن ماژول های نرم افزاری
خوب امروزه می توانیم ادعا کنیم که سه پروژه فعال در حوزه مدیریت log در سیستم عامل ها وجود دارد که همزمان در حال فعالیت هستند و فقط نسخه های مختلفی دارند. امروزه شما حق انتخاب دارید و می توانید با استفاده از موارد گفته شده پروتکل و پروژه مورد نظر خودتان را انتخاب و از آن استفاده کنید تنظیمات این پروژه ها بسیار ساده و بعضا بسیار شبیه به هم هستند و فقط برخی قسمت های کوچک تفاوت هایی دارد ، در آزمون بین المللی LPIC1 با اینکه rsyslog در اکثر توزیع های لینوکس استفاده می شود همچنان سئوالات از تنظیمات syslog سرور مطرح می شوند.
مکانیزم کاری تمامی Log Manager ها یکسان است ، آنها از همه مواردی که برای آنها تعیین می شود در محل مورد نظر لاگ برداری می کنند ، ما نوع لاگ ها را با مفهومی به نام facility مشخص می کنیم که در هر سه نسخه تقریبا یکسان است و به یک شکل تعریف می شود ، برای مثال تمامی لاگهای سرویس های ایمیل توسط facility ای به همین نام برداشته می شود ، قسمت بعدی مشترک در بین این log manager ها قسمت severity level یا priority است که اولویت و درجه اهمیت یک log را مشخص می کند که در برخی نسخه ها بصورت عدد و در برخی بصورت کلمات نمایش داده می شود ، برای مثال عدد 0 یعنی بدبخت شدید رفت ( والا ... دقیقا اگر چنین عددی در priority های syslog دیدید یعنی فاجعه داشتید ) و عدد 7 یعنی بیخیال مشکلی نیست برای اینکه دیدم بیکاری برات پیام دادم. در نهایت قسمت سوم از هر مجموعه log manager محل ارسال و ذخیره لاگ است که هم می تواند یک دایرکتوری بصورت local باشد و هم اینکه تمامی موارد به یک syslog server تحت شبکه می تواند ارسال شود.امیدوارم مورد توجه شما قرار بگیرد. ITPRO باشید
نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.