教育城域网网络管理日志采集系统设计

摘 要：随着网络技术发展，网络管理逐渐向精细化方向深入，要想支撑网络管理系统全面的监控和呈现，所需日志采集也越来越全面，所以网络管理者必须用科学的方式采集网络日志。

关键词：MIB库信息；Syslog；flow流；镜像

前言

随着教育城域网的发展，网络设备、用户数量和应用类型不断增加，网络管理者不仅要管理网络设备，还要分析网络运行态势。要想为用户提供安全可靠的网络环境，给网络管理者提出了更高的挑战，面对如此情况，靠单一日志采集很难全面监控和管理网络运行状态。

日志采集内容及方式

日志采集内容：日志主要结合网络管理需要进行采集，一般需采集设备MIB库信息、设备Syslog信息、网络流量镜像和网络flow流信息。

以天津教育科研网为例，网络管理软件需要基于SNMP采集设备MIB库信息来完成设备管理和监控；网络设备本身Syslog对于网络管理也很重要，其中可弥补设备密布库中不具备信息，如设备硬件告警和设备应用异常情况；网络分析类软件是基于网络七层结构分析网络流量，从而要采集网络完整流量，也就是镜像流量；网络flow流可以提供网络带宽等信息，便于采集和处理。

日志采集方式

MIB库信息采集：MIB库信息采集主要是网络管理软件依据SNMP协议读取设备团体字来完成信息采集。设备配置案例如下：

snmp-agent

snmp-agent local-engineid 800063A20370BAEF04B521

snmp-agent community write TJRW

snmp-agent community read TJpublic

snmp-agent sys-info version all

其中设置可写团体字为TJRW，可读团体字为TJpublic，允许所有SNMP版本。

Syslog信息采集：Syslog信息采集主要是靠网络设备将Syslog信息推送给日志分析服务器，设备配置案例如下：

info-center loghost 192.168.1.2

其中将设备Syslog信息发送到采集服务器192.168.1.2。

网络flow流采集

网络flow流采集主要是利用NETFlow协议将网络设备接口流量采样后发给采集服务器，设备配置案例如下：

set forwarding-options sampling input rate 300

set forwarding-options sampling input run-length 0

set forwarding-options sampling input maximum-packet-length 9192

set forwarding-options sampling family inet output flow-server 192.168.1.2 port 2056

set forwarding-options sampling family inet output flow-server 192.168.1.2 version 5

其中采样比为1：300，将采样数据发送到采集服务器192.168.1.2.

镜像流量采集：镜像流量采集主要是采用网络设备将运行中接口流量以1：1比例输出到指定端口，从而完成采样分析。设备配置案例如下：

set interfaces xe-0/3/0 unit 0 family inet filter output port JINGXIANG

set forwarding-options port-mirroring instance JINGXIANG input rate 1

set forwarding-options port-mirroring instance JINGXIANG input run-length 0

set forwarding-options port-mirroring instance JINGXIANG family inet output interface xe-0/0/0.0 next-hop 192.168.1.1

其中将接口xe-0/3/0流量镜像到接口xe-0/0/0。

教育城域网网络管理日志采集设计

本部分以天津教育科研网为例进行阐述，结合应用需求从设备MIB库信息、设备Syslog信息、网络流量镜像和网络flow流信息四个方面进行部署实施，扑结构如下：

设备MIB库信息采集：设备MIB库信息主要为网络管理软件提供监控信息，此部分比较简单，将网络中想要管理的设备进行配置即可，所有的信息通过网络管理软件进行汇总呈现。此部分主要可以实现网络设备运行状态监控，如设备CPU、温度、接口状态和接口流量等。

设备Syslog信息采集：设备Syslog信息可用于记录路由器、交换机、服务器，IDS，IPS等各种网络设备每天发生的各种事件，系统管理人员可以通过查看系统日志来发现错误发生的原因。Syslog是一种工业标准协议，目前已获得了比较多的厂商产品的支持。Syslog协议数据表达方式简单明了，其消息存储方式也比较灵活，既可以保存在本地文件中，也可以通过一定的配置通过网络发送Syslog消息到Syslog服务器中。本文中我们采用Syslog协议在设备中添加配置，将Syslog消息统一发送到Syslog服务器中，以便分析。此部分主要实现网络硬件故障及运行异常的发现及处理。

网络flow流信息采集：本文中网络flow流信息采集主要用于网络用户流量统计分析，基于NETFlow协议，将网络边界设备出口流量以Flow的形式发给网络统计分析软件进行分析，结合用户IP地址组完成流量汇总和呈现，主要解决天津教育城域网个用户基于时间的流量统计情况。网络流量镜像采集：相对于以上三种日志采集而言，需要网络镜像应用较多，涉及网络安全、加速和分析等方面，对应业务系统有入侵检测设备，DDos防御设备、CACHE设备和流量分析软件等。

如果所有的业务系统需要的镜像流量都从边界路由设备发出，存在以下几点问题：（1）对于设备性能是种挑战。（2）占用核心网络设备接口。（3）占用核心设备之间光纤链路资源。为了解决以上问题，我们采用分流器设备，分流器能够根据应用的不同需求对数据进行精细化分流，过滤处理，可实现多接口负载均衡算法，保证所需流量均衡输出到每一个后端设备。通过分流器的合理部署，我们需边界网络路由设备只将出口流量镜像一份到分流器即可，分流器可实现将不同类型镜像输送到应用分析设备，从而解决多应用网络镜像过程中遇到的问题。

结束语

随着网络的发展，网络管理还将进一步深入，不同的业务分析系统会更加完善，合理的网络日志采集能够更好为网络管理者提供网络管理的基础条件。

参考文献

[1]黄文，谢冬青.基于Syslog的网络日志管理分析模型[J].湖南科技学院学报，2006，5：164-167.

[2]顾清.基于日志采集的分布式网管系统设计与实现[D].上海交通大学，2009.

[3]何世俊.基于Syslog的网络信息日志管理系统[D].华东理工大学，2012.