中东欧- 1.0 beta1中东欧日志传输(此时)规范

解释水平理论定义了一个清单的要求解释水平理论协议必须满足需要考虑CEE-compatible以及附加功能,可能需要为特定的用例。例如,一个CLT-compatible协议必须能够传输通用日志语法(CLS)编码中东欧事件。更高级的活体供体协议可能提供额外的功能,如加密和完整的确认。此时此地协议还可以指定或传输中东欧的概要文件和其他与事件相关的信息,如包捕获或文件数据。

解释水平理论还定义了传输映射。一个解释水平理论映射定义了一个标准化的方式对中东欧事件传播超过一定解释水平理论协议。解释水平理论映射允许使用指定的传输机制的一致性将中东欧事件:例如,它可以指定标志来表示数据是中东欧事件或所使用的字符编码。迄今为止,唯一映射中东欧是发送json编码的规范发布的事件了RFC5425TLS Syslog协议。

2协议要求

许多用途事件记录要求他们从原始运输系统。解释水平理论协议必须符合一些基本要求进行高效、可靠的为了做到这一点。本文档分类这些需求分成四组基于用例的需求。一致性级别0是强制性的一致性水平,包括基本能力。进一步的一致性等级描述可选功能更先进的解释水平理论应该支持的协议。一致性一级核心能力提供最低的一组健壮性要求。一致性级别2包含一组额外的需求,地址登录攻击者的存在。一致性水平3包含一组额外的需求,解决地方行政的攻击场景。一致性3级是最强劲的需求。

2.1 0 -核心需求一致性水平

2.1.1 0.1发布

此时此地协议应当公布的协议规范,没有许可障碍互操作性,没有版税和审批流程。解释水平理论协议应当利用只有那些公开可用的协议和标准。

2.1.2 0.2运输

此时此地协议应当能够传输编码的至少一种形式的中东欧事件记录在协议包的主体。

2.1.3 0.3自我认同

此时此地协议应当明显的协议数据所属中东欧事件记录和中东欧定义编码时使用一个传输是由组成的中东欧和non-CEE数据。

2.1.4 0.3.1中东欧事件的识别

解释水平理论协议应当有一个机制,识别协议数据包的身体内的中东欧事件。

2.1.5 0.3.2编码标识符

此时协议能够处理超过一(1)数据编码方法应当提供证据所使用的编码。

2.1.6 0.4时间戳

每个协议包应该有时间戳表明数据包传输的日期和时间。一个有效的时间戳必须注明年、月、日,小时,分钟和秒。鼓励包括次秒级。

2.2一致性一级-基本功能

核心功能之一是为日志传输有限的带宽环境中执行。额外的核心功能包括日志传输篡改检测。

2.2.1 1.1事件记录交付

解释水平理论协议应当保存着完整的逻辑顺序一个通道的数据包,这样事件接收者能够重建原来的逻辑顺序。

2.2.2 1.2压缩的记录

解释水平理论协议应当提供一个方法,该方法允许事件发送方传输之前压缩包体。

2.2.3 1.3缺失的检测记录

此时此地协议应能准确、可靠地检测丢失传输数据包。

2.2.4 1.4信息识别

解释水平理论协议应当支持消息标识符。

2.2.5 1.4.1数据包重复

此时此地协议应当能够识别重复的数据包已收到。

2.2.6款1.4.2包确认

此时此地协议应当支持至少一个方法允许事件接收者确认(ACK),包已经收到。

2.2.7 3包重传

此时此地协议应当能够重新发送个人包请求至少直到事件接收者承认接待或直到一个名义上的时代已经过去。

2.2.8 1.5包遍历可追溯性

解释水平理论协议应当能够跟踪和记录数据包遍历的路径。这一要求的目的是允许数据包通过会话跟踪继电器等设备。

2.2.9 1.6篡改检测

解释水平理论协议应当准确、可靠地检测任何篡改的证据或数据损坏通过使用数字签名或其他反篡改机制。

2.3一致性二级-安全地登录攻击者的存在

的核心主题一致性级别2传输需求的能力是活体供体协议来安全地登录攻击者的存在。额外的需求包括机密性、真实性和传输加密。

2.3.1 2.1完全完整确认

解释水平理论协议应当能够产生数据包级别确认所包含的数据,发送方可以通过验证收到的数据包的完整性。这个需求是一个扩展的要求1.4.2:包确认。

2.3.2 2.2消息重放保护

解释水平理论协议应当防止消息重放。

2.3.3 2.3事件的完整性

解释水平理论协议应当准确、可靠地检测任何重复或意想不到的消息标识符。

2.3.4 2.3.1链修改

解释水平理论协议应当保持修改的链中东欧在交通事件数据修改。

2.3.2 2.3.5繁殖的原始事件

此时此地协议由请求,能够复制原始的中东欧事件,在运输的途中被修改。

2.3.6 2.4传输加密

解释水平理论协议应当支持传输加密使用最佳实践加密算法。实现这一要求的一种方法是通过使用传输层安全性(TLS)。

2.3.7 2.5保密

此时协议应当维护保密的数据,最低限度内包体。此时此地协议加密模块应当能够执行数据加密使用数据加密的最佳实践。

2.6 2.3.8真实性

解释水平理论协议应当保持在传输过程中数据的真实性。

2.3.9 2.6.1 SASL, gss - api和Kerberos

此时此地协议应当支持真实性使用简单身份验证和安全层(SASL)、通用安全服务应用程序编程接口(gss - api),和Kerberos。

2.4一致性三级-安全与当地政府的攻击

一致性三级运输需求的核心主题是此时此地协议的能力安全地登录当地政府攻击的存在。

2.4.1 3.1防篡改

解释水平理论协议应当保持完整性机制抗篡改当地管理员(如完美的向前保密)。

2.4.2 3.2记录频道

此时此地协议应当能够提供支持多种渠道在一个会话。

2.4.3 3.3概要渠道

解释水平理论协议通道应能有CEE-specific元数据绑定,比如中东欧事件概要文件。可以使用该元数据记录格式交换数据的事件发送方/接收方或减少重复发送的数据。

3 CTL实现需求

3.1 0 -核心需求一致性水平

3.1.1 0.1支持活体供体协议级别0

实现必须支持至少此时此地的一致性级别0协议。

3.2一致性一级-基本要求

3.2.1版本1.1支持活体供体协议1级

实现必须支持至少此时此地的一致性一级协议。

3.2.2 1.2发送方缓冲

此时此地协议应当发送方的缓冲能力,例如事件记录发送到服务器上保留可采的方式表明,事件已经收到。

3.2.3 1.2.1单一日志记录缓冲

客户应保留每个日志记录到服务器已经承认(ack)消息的接收;理想这个ACK应该包括一个散列或签名,发送方可以验证消息是正确的。

3.2.4 1.2.2批处理日志记录缓冲

客户应保留每一批的日志记录,直到服务器ack批处理消息的接收;理想这个ACK应该包括一个散列或签名,发送方可以验证消息是正确的。

3.2.5 1.2.3启用和禁用开关

解释水平理论协议应当有一个开关,启用和禁用发送端缓冲。

3.2.6 1.3登录有限的网络环境

解释水平理论协议应当能够重新排序事件最重要的消息传输队列,以便接收优先级。许多环境中利用网络地址转换(NAT)。解释水平理论协议应当能够正常的环境。

3.2.7 1.3.1传输优先级

事件的优先级重传队列可设置的应用程序。

3.2.8 1.3.2网络地址转换(NAT)

此时此地协议应当能够交流的网络地址转换(NAT)环境。

3.3一致性二级-登录攻击者的存在

3.3.1 2.1支持活体供体协议级别2

实现必须支持至少此时此地的一致性级别2协议。

3.4一致性三级-安全与当地政府的攻击

3.4.1 3.1支持活体供体协议3级

实现必须支持至少此时此地的一致性级别3协议。

3.4.2 3.2安全与当地政府的攻击

此时此地协议应当平均1秒内传输事件记录事件记录创建。

3.4.3 3.3事件源通道绑定

应用程序发送事件在此时此地协议应当能够绑定事件记录此时协议通道。

3.4.4 3.4事件目标通道绑定

应用程序接收事件在此时此地协议通道能重建完整的事件记录基于之前交换频道的频道内容和元数据。

3.4.5 3.5通道配置文件

应用程序应能够绑定一个或多个事件概要文件注册通道。

3.4.6 3.6连续操作

此时此地协议应当能够支持负载平衡和优雅当主丢失故障转移到备份服务器。

4传输映射

传输映射指定标准的互操作性中东欧和流行的日志传输协议之间的映射。之间的映射定义中东欧和以下协议:

Syslog:一致性级别0

看到每个映射信息相关的附录。

5附录1:中东欧通过Syslog传输映射

5.1介绍

因为Syslog的事实上的标准日志传输协议支持的众多产品,中东欧提供了一种通过Syslog发送中东欧事件数据。本文档定义了一个标准过程进行编码中东欧事件使用中东欧日志语法(CLS)编码和编码事件到Syslog消息。

5.2 Syslog

存在几种不同的格式Syslog的消息。在这个文档中,他们将被分为两组:遗产和RFC5424。而传输中东欧事件的基本过程都是相同的Syslog组,周围有一些细微差别遗留的使用Syslog实现者必须了解的。

5.2.1遗留Syslog

大多数人都熟悉遗留Syslog。遗留Syslog的特点是其时间戳格式今年失踪的事件消息只包含一个非结构化的文本。各种格式的遗留Syslog中确定消息RFC3164。

除了消息格式的差异,并不是所有的遗产Syslog实现可以处理8位字符集。也就是说,有些实现只使用每个字节的低7位。这导致问题在尝试发送二进制数据或扩展字符集(例如,扩展ASCII, utf - 8),依靠“8位清洁”处理。

5.2.2 RFC5424 Syslog

Syslog规范更新与发布2009年3月RFC5424。这个更新给城市带来了许多需要改进,包括标准化的时间戳,包括今年,Unicode支持(utf - 8),和提供更多的结构化内容Syslog的消息。

的一个较小的公认的改进是使整个Syslog协议和RFC5424实现8位干净。这个步骤是必要的,以实现完整的Unicode支持。

虽然RFC5424 Syslog优于遗留版本,仍有许多环境和平台,建立在遗留的Syslog的实现。所有Syslog实现支持中东欧应该RFC5424-compatible。

5.3解释水平理论Syslog映射

本文档定义了一个活体供体映射,对于中东欧和通过包含Syslog规范CLS JSON (Javascript对象表示法)编码的事件Syslog中消息。

Syslog头

必须使用标准的Syslog头。Syslog头的实际格式依赖于Syslog基于实现协议版本,可能会有所不同。无论如何,这些报头值Syslog协议和独立于中东欧。Syslog头值不应该用来添加或修改任何值在一个封闭的中东欧事件。

Syslog的身体

中东欧的事件必须使用CLS编码来表示。为符合此规范,中东欧事件必须代表使用CLS JSON编码。

与第二部分RFC4627,JSON编码适合Syslog运输必须不包含无关紧要的空格之前或之后的任何六JSON结构特点。

中东欧事件标志

编码的开始中东欧事件必须被中东欧事件标志。在Syslog,中东欧事件标志@cee:(ABNF % x40.63.63.65.3A)。

中东欧事件标志可能紧随其后的是一个空间(“,ABNF % x20)字符。

CLS JSON编码的中东欧事件必须立即出现在中东欧事件标志。其他non-CEE non-JSON内容不得出现在中东欧事件后Syslog身体国旗。Syslog消息不能包含多个中东欧事件标志。

字符编码

所有CLS编码,包括CLS JSON编码,假设一个8位清洁的环境。因此,重要的是,事件生产者了解Syslog格式这将使用,尤其是是否实现是一个7位或8位清洁的实现。

如果Syslog实现8位清洁,那么实现支持utf - 8和不需要额外的编码之外的要求JSON CLS规范。然而,如果实现只有7位,那么所有字符的ASCII字符集(ABNF % x00-7F)必须另外逃脱了。

当使用7位Syslog实现或有7位Syslog兼容性要求,那么所有utf - 8编码的字符,不能使用低7位的一个8位字节表示必须转义。这些人物应该逃脱了使用JSON转义序列RFC4627,特别是Unicode逃脱:\ u紧随其后的是四(4)十六进制数字(ABNF % x5C。75 4 hexdig)。

5.3.1传输

Syslog消息包含一个中东欧事件应该能够使用任何Syslog-based传输传输机制。由于潜在的优先级或某些事件记录的敏感性,建议必要的传输协议提供机密性和完整性措施事件内容和操作环境。

最初的Syslog明文在UDP协议发送事件记录。这并不提供任何安全控制。一种选择是传输Syslog使用传输层安全的消息,中指定RFC5425。

5.3.2例子

例1 -有效

一个有效的中东欧JSON嵌入在一个事件记录RFC5424Syslog运输:

< 165 > 1 2011 - 12 - 20 - t12:38:06z 10.10.0.1过程——example-event-1 @cee: {“pname”:“身份验证”、“主机”:“system.example.com”,“时间”:“2011 - 12 - 20 - t12:38:05.123456凌晨”}

例2 -有效

一个有效的中东欧JSON事件记录使用“遗留”Syslog运输:

< 0 > 12月20 12:42:20 syslog-relay过程[35]:@cee:{“暴击”:123年,“id”:“abc”,“浏览器名称”:“应用程序”,“pname”:“身份验证”、“pid”: 123年,“主机”:“system.example.com”,“革命制度党”:10日“时间”:“2011 - 12 - 20 - t12:38:05.123456凌晨”、“行动”:“登录”,“域”:“应用程序”,“对象”:“账户”,“服务”:“网络”,“状态”:“成功”}

回到顶部

页面最后更新:09年8月,2012年