大数据安全分析04_数据传输方式
SYSLOG
syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。
kafka
通常来讲,消息模型可以分为两种:队列和发布-订阅式。队列的处理方式是一组消费者从服务器读取消息,一条消息只有其中的一个消费者来处理。在发布-订阅模型中,消息被广播给所有的消费者,接收到消息的消费者都可以处理此消息。
Kafka为这两种模型提供了单一的消费者抽象模型:消费者组(consumer group)。消费者用一个消费者组名标记自己。一个发布在Topic上消息被分发给此消费者组中的一个消费者。假如所有的消费者都在一个组中,那么这就变成了queue模型。假如所有的消费者都在不同的组中,那么就完全变成了发布-订阅模型。
JDBC/ODBC
JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,它是Java十三个规范之一。可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。
日文或FTP
文件型日志通常存储在系统的固定位置,这就决定了对这类日志的采集技术主要是完成对日志文件的读取、解析和分析工作。如上所述,不同日志类型文件格式各不相同,但有它们的共同点是日志文件中的每一行都是一个事件记录,包含相对固定的信息。文件型日志一般有以下3种采集模式:
本机文件访问:指直接读取默认存储在主机或设备上日志文件,将日志逐条解析为固定的消息格式。 samba协议共享:samba是基于SMB(Server Message Block)协议的一个应用程序,是一个网络服务器,用于Linux和Windows共享文件之用。samba协议文件共享方式采集是指通过samba协议取得日志所在的主机上将日志文件直接读取到指定的位置上,然后进行读取及分析。 ftp下载:该方式是将远程主机上的日志文件通过协议远程传送到传感器所在主机,然后再进行读取、解析和分析。这种方式很适合采集多个关键主机的日志的情况,此时只需在某一选定主机上安装日志类安全传感器,该传感器通过FTP下载的方式完成对多个主机中日志文件的采集。
Agent
Agent采集是基于C/S架构来进行源数据的采集,客户端的agent会根据内部的通信机制来采集需要的数据并发送来agent指定的服务端,将客户端所有采集的日志汇集起来进行分析。这种方式可以让客户端主动的将数据发送给服务端,服务端只做接收工作,因此也不会造成服务端压力过大以及资源的浪费。
SNMP
NetFlow
SPAN全流量镜像
通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
监视到进出网络的所有的数据包,供安装了监控软件的管理服务器来抓取数据。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。
扩展 · 本文相关链接