De acordo com o meu entendimento, os formatos populares de syslog são:
RFC 3124 (syslog BSD):
Formato: < priority > timestamp hostname application: message
Exemplo: <133>Fev 25 14:09:07 webserver syslogd: restart
RFC 5424 (syslog IETF):
Formato: < prioridade >VERSÃO ISOTIMESTAMP HOSTNAME APLICAÇÃO PID MESSAGEID DADOS ESTRUTURADOS MSG
Exemplo: <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' falhou para lonvick em /dev/pts/8
Mas vamos ver os formatos de log de outras empresas:
Cisco:
Exemplo: *18 de janeiro 03:02:42: %LINEPROTO-5-UPDOWN: Protocolo de linha na interface GigabitEthernet0/0, estado alterado para inativo
Fortinet (Aqui você pode ver syslog no par chave-valor. Isso é mesmo syslog?)
Exemplo: <190>date=2015-03-30 time=14:42:11 logid=0508020503 type=utm subtype=emailfilter eventtype=smtp level=information vd="root" sessionid=83879670 srcip=12.130.136.122 srcport=48137 dstip=xxxx dstport=25 proto=6 service=SMTP profile="EF_Example" action=log-only from="[email protected]" to="mail2@xx" sender="[email protected] " destinatário="mail2@xx" sendbyte=15369 rcvdbyte=46 direction=outgoing msg="general email log" subject="Novos Treinamentos para Certificação Trend Micro" size="15360" attachment=no
- Isso significa que o formato syslog pode ser modificado de acordo com suas necessidades. Então, como os softwares SIEM podem analisar esses logs se diferentes empresas seguem diferentes formatos de syslog?.
- Qual é o sentido de ter um RFC, então, se diferentes empresas seguem diferentes práticas de registro?
- Minha última pergunta, esses formatos são mesmo syslog?
