如何为暹罗收集日志？

它包含基本日志、时间、源系统和消息。例如，当我们在Ubuntu服务器上查看“/var/log/auth.log”文件的内容时，我们可以看到源代码、时间和消息信息。

我们创建了用于调查暹罗警报的在线实验室。如果您感兴趣，可以在app.letsdument.io上免费试用。

为了实现这种方法，需要一个日志代理软件。代理通常具有解析、日志轮换、缓冲、日志完整性、加密和转换功能。换句话说，此代理软件可以在将收集的日志转发到目标之前对其执行操作。

例如，在代理软件中，我们可以将带有“用户名：LetsDefend；帐户：管理员”的日志分成两部分，然后转发为：

它是一种非常流行的日志传输网络协议。它既可以与UDP一起使用，也可以与TCP一起使用，并且可以选择使用TLS进行加密。一些支持syslog的设备：交换机、路由器、入侵检测系统、防火墙、Linux、Mac、Windows设备可以通过其他软件成为受支持的syslog。

如果要使用syslog转发日志，则需要以syslog格式进行解析。

此外，可以使用系统日志UDP发送的最大数据包大小为1024字节。对于TCP，它是4096字节。

大多数SIEM产品都有自己的代理软件。第三方代理因其支持的功能而比Syslog具有更多功能。一些代理：

他们通常是舒适地提供基本需求的代理人。然而，它可能不如暹罗产品本身的代理那么有效。(易于安装、集成、附加功能等)。

由于没有安装和更新成本，因此有时首选无代理日志发送过程。通常，通过SSH或WMI连接到目标来发送日志。

这种方法需要日志服务器的用户名和密码，因此存在密码被盗的风险。

比代理方法更易于准备和管理。然而，它的功能有限，凭证被打包在网络中。

有时，您无法使用现有代理软件收集日志。例如，如果您无法使用代理读取基于云的应用程序的日志，则可能需要编写自己的脚本。

如您所见，收集日志的方式有多种。这些是代理和无代理。如果市场上的代理不够用，您应该编写自己的脚本。