介绍

A1。中东欧是什么?

中东欧™是公共事件表达式倡议正在开发的一个社区代表供应商、研究人员和最终用户,通过斜方和协调。工作的主要目标是标准化日志的表示和交换电子系统。

A2。日志是什么?

日志记录的一个或多个事件发生在信息系统。日志可以根据项目组织,天,严重性,主机,或许多其它类别。例如,在Microsoft Windows XP,日志条目记录到应用程序,安全,或系统日志,可以通过查看事件查看器。在Linux中,事件记录每个应用程序或服务到一个文本文件在/var/log目录中。

日志可以称为日志文件、审计日志或审计跟踪,和,在某些情况下,还涵盖警报,警报,事件记录,事件日志,事件消息,日志记录,审计记录,有时甚至SNMP陷阱。

A3。中东欧的基本组成部分是什么?

中东欧架构关注的三个事件生命周期:需求,解决在中东欧概要;事件,表示为记录使用中东欧日志语法(CLS);通过中东欧日志和记录共享传输(此时)。

中东欧语言包括以下:

• 中东欧的概要文件——定义一个中东欧事件的结构,其中包括允许中东欧事件概要文件定义一个字段的字典定义常用的字段,和一个事件分类,这是一个受控词汇表的事件标签,使一致的识别和分类的事件类型
• 中东欧日志语法(CLS)——定义了事件结构和表示
• 中东欧日志传输(此时)——允许事件信息的共享

请参阅对中东欧和中东欧的语言更详细的信息。

A4。中东欧区别是什么呢?为什么我们要尝试另一个日志标准吗?

其他工作涉及事件和日志标准化要么太紧密耦合的语法和运输组件,从而限制可用性,或已经开发出他们的标准来支持一个狭隘的用例。中东欧试图规范异构词汇这事件可以表示在一个统一的、与设备无关的方式。此外,我们意识到一个单一的语法并不适合每一个环境。中东欧提供供应商和运营商提供几个选择最好的选择的灵活性,灵活的语法和运输选项,包括目前的非常重要的选择利用运输和格式选项,将采用中东欧标准努力。

A5。为什么我们要支持中东欧?它将如何受益我或我的组织?

中东欧软件供应商将提供各种各样的好处,它的用户,和日志管理供应商如下细节:

软件供应商——整体中东欧将简化和标准化日志程序,降低成本的审计跟踪支持。特别是中东欧的标准化运输将使产品兼容现有的网络拓扑,中东欧的语法将简化记录所有产品和降低成本的审计跟踪支持,中东欧分类法将简化记录所有产品,和中东欧的日志的建议会让你提供你的客户想要的和期待的数据日志。

它的用户——整体中东欧将减少日志管理和合规成本开销,提高监测能力。特别是,中东欧的标准化运输将帮助您识别和管理log-related交通,中东欧的语法将简化日志分析所有部署产品和提高系统的互操作性、中东欧分类法将帮助您更好地理解什么是日志中更容易和支持更高级的合规要求,和中东欧的日志的建议将会帮助你知道审计、合规、操作的最佳实践,还可以帮助你节省研究。

日志管理供应商——整体中东欧将导致日志支持和允许降低成本提高产品功能。特别是中东欧的标准化运输将简化日志收集,中东欧的语法将简化从所有部署产品和简化搜索,日志分析中东欧分类法将使更好的cross-log-source分析和中东欧的日志建议会帮助你知道如何告诉用户,他们需要做的。

也看到中东欧的好处在对中东欧页面。

A6。斜接的角色是什么?

的主教法冠公司管理和维护创建中东欧的援助中东欧董事会,开展社区服务活动,维护中东欧的网站,并提供中性指导整个过程以确保中东欧符合公众利益。

主教法冠公司与政府合作客户,公共利益是一个非盈利公司工作。manbetx客户端首页它解决的问题关键国家的重要性,结合系统工程和信息技术开发创新的解决方案,做出贡献。

斜接的工作主要集中在四个联邦政府资助研发中心(FFRDCs)。一个FFRDC执行系统工程和集成为国防部C3I工作。第二次执行系统研究和开发工作的联邦航空管理局和其他民用航空主管部门。第三个FFRDC提供战略、技术和项目管理建议美国国税局和财政部。第四FFRDC提供系统工程专业知识和收购战略建议国土安全部。

回到顶部

中东欧的语言

B1。之间的区别是什么事件分类和语法(或“字段”)?

区分中东欧分类之间的差异和语法是最常见的困惑。而不是试图描述的差异,这可能是更容易理解一个例子。例如,我们使用以下事件记录:

2008年1月1日上午10点。,乔开车去了超市。

这里,一般的事件,或分类法,是“一个人去了一个商店。”的other details, such as the date, time, the person’s name, the type of store, and even the method of transportation, are unique to that specific instance and are provided by the syntax. In CEE, this allows for a user to easily identify all of the "going to the store" events, without having to understand all of the details. With a taxonomy, this concept can be abstracted further to find the events involving people or events where things move from one location to another.

同样,在从电子系统事件日志,数据可分为两个抽象级别:通用事件类型和特定的事实。分类提供了一个通用的声明关于发生了什么事,而语法描述了事件的细节。

中东欧的主要目标是极大地简化和统一异构事件日志,当两个或更多的设备日志相同的事件,事件日志应包含类似的细节和使用相同的术语(唯一的变化应该有特异性,像一些设备在某些领域更专业)。事件分类定义事件类型和语法提供了特定于事件的细节。在报纸万博下载包的术语,分类将标题:“用户登录”,“配置设置改变,”“网络数据包了。”If the headline is of interest and you want more details, you could read into the story, or syntax, to get the specifics: when, where, what user, what settings, what packet, why?

事件分类只处理事件的类型,所有特定于细节被忽略了。相同类型的所有事件都应记录相同,和类似的事件类型应该类似于日志中表示。每个事件的分类提供了一种方法分类以同样的方式,但不提供足够的信息来区分独特事件相同的事件类型。例如,分类可以表达“本地用户登录”,“远程用户登录”相似,但不同的事件类型;在“用户登录”,“用户登录”和“用户身份验证”都是“用户登录”事件。

事件分类可以被认为是一个定义的许多事件细节的语法。代表独特的事件实例,中东欧生成一个基于语法的日志。使用的数据字典,语法指定时间戳等数据元素、主机名、协议、和其他具体细节。如果不加上事件分类,事件日志将所有细节没有上下文信息。时间、来源、目的地和大小细节不帮助在讲述什么是事件:一个上传吗?下载?企图攻击?

B2。请解释中东欧分类术语。一个日志消息怎么能翻译成中东欧分类?

在中东欧,术语的分类包括如一个行动,对象,和状态显示发生了什么,谁做了它发生,是什么结果。每个日志条目应该用主动语态表达,行动的对象。举个例子,一个正确的中东欧分类法将显示一个“用户更改配置设置”,而不是“一个配置设置用户改变了。”

B3。如果中东欧分类法和语法是不同的,为什么中东欧分类条款包含在数据字典吗?

中使用的类别中东欧分类法存在的字段数据字典和语法。分类法的包含字段的数据字典只是用来表示事件类型是如何指定在中东欧的日志。虽然可能定义分类部分在线词典,我们相信最好的中东欧分类,合同条款中定义自己的规范。通过这样做,希望规范变得更加精简和可实现的。此外,中东欧可以引用独立分类文档,或结合日志记录的建议,提供指导和一些更频繁的事件日志记录问题的答案,包括:

• “我应该记录哪些事件?”
• “哪个事件对我的客户很重要?”
• ”事件对应我的更高级别的日志记录的要求,比如在监管标准或组织政策?”

B4。为什么我们需要一个数据字典除了日志语法呢?

简单地说,数据字典是数据元素及其意义,和语法这些数据元素是如何代表登录日志。字典从syntax-specific抽象事件细节。数据元素具有相同的名称,也就是说,不管使用的日志语法和格式。

虽然CEE-Compatible设备应该支持所有相关数据字典元素,他们可以选择只支持日志可能语法的一个子集。日志语法的实际表示日志,包括消息结构和syntax-specific编码,并允许一个设备来解析日志。例如,日志可以在XML语法所定义的XML模式或byte-delimited二进制编码。词典和语法是分开以来,变得微不足道的翻译从一个日志记录到另一个语法。

B5。之间的区别是什么日志和日志传输语法吗?

日志传输中东欧组件,用于促进交换日志,日志所代表的语法。日志语法表示的事件数据(包括分类和语法)日志。

日志传输指定日志是否交换文件或通过其他协议。日志和日志传输语法是两个不同的组件,但在某些情况下彼此依赖。一些语法选项,如基于xml的语法仅限于某些文件或通过SOAP传输选项。由于XML冗长,无法Syslog运输。可以修改日志传输独立的语法来适应各种网络或交易的限制,如低带宽或防火墙政策,只允许web和电子邮件通信。此外,运输是管理员可以控制加密、可靠性或其他传输层选项。

B6。为什么中东欧单独的数据语法,不这进一步介绍复杂性?中东欧如何不同于当前日志标准?

中东欧认为当前日志的最大障碍,采用标准化的努力,如IDMEF和xda,将日志数据集成到他们的XML语法。在这一过程中,他们迫使所有用户使用XML。虽然许多人认为XML是最好的方式来表达日志数据,中东欧的立场,这种限制是不必要的,可以防止日志社区使用这些标准作为基础的日志架构。此外,系统和网络管理员可能不希望消耗带宽开销的日志。

分别通过查看每一个组件,中东欧的灵活性最大化而使标准更容易可采用的。更容易管理的讨论,鼓励社区的反馈,并达成共识事件分类,数据字典元素,作为单独的主题和传输语法而不是展示他们与100 +页文档审查和实施。

B7。中东欧扩展吗?我可以添加字段或开发一个新的中东欧语法来满足我的需要吗?CEE-compatible设备将如何处理此类中东欧扩展?

我们正试图平衡中东欧尽可能可扩展和灵活,同时最大化的兼容性。中东欧应该避免的定制版本。

可以使用定制字段或创建自己的语法,但是你会限制你的兼容性。中东欧被设计来处理正常的事件日志流量为一个典型的组织网络环境。数据字典应该包含普通用户所必需的所有字段。如果你觉得有东西应该支持中东欧数据字典,然后要求你在发邮件给我们cee@mitre.org或post提议中东欧讨论列表。如果您的数据是环境领域特定或中东欧社会觉得不适合添加到字典,你仍然可以使用定制字段通过扩展语法。它要求你名字字段足够独特,有一个最小重叠与其他定制字段的机会和未来可能的中东欧字典扩展。定义和使用定制字段的唯一限制是所有CEE-compatible设备中所有字段名称不应该忽略中东欧官方数据字典和他们不承认。

同时还可以创建自己的语法基于中东欧数据字典,不推荐它。利用自定义的语法,你与所有CEE-compatible设备冲突风险。如果一个自定义的语法是绝对必要的,请邮件cee@mitre.org或提交的提议新的语法到中东欧讨论列表详细说明为什么你觉得中东欧应该支持另一个语法。否则,应该使用自定义的语法只有在你控制下系统和翻译发送之前支持中东欧语法之外的控制环境。

回到顶部

中东欧社会

C1。我或我的组织如何参与中东欧努力呢?

中东欧目前不是寻求社区参与。

C2。中东欧板是什么?

看到中东欧董事会页面。

C3。我怎么还是我的组织加入中东欧板?

的中东欧董事会目前不接受新成员。