CN112671949B - 一种根据syslog日志关联NAT前后会话的方法及系统 - Google Patents
一种根据syslog日志关联NAT前后会话的方法及系统 Download PDFInfo
- Publication number
- CN112671949B CN112671949B CN202011590700.2A CN202011590700A CN112671949B CN 112671949 B CN112671949 B CN 112671949B CN 202011590700 A CN202011590700 A CN 202011590700A CN 112671949 B CN112671949 B CN 112671949B
- Authority
- CN
- China
- Prior art keywords
- nat
- port
- syslog
- session
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种根据syslog日志关联NAT前后会话的方法及系统,所述方法包括:S1,F5设备前后均设置流量采集探针;S2,流量采集探针将采集的流量信息发送至分析系统;S3,F5设备将NAT前后的syslog日志推送至分析系统;S4,分析系统根据已知的格式定义解析字段;S5,根据解析字段从syslog日志中解析出NAT前后TCP会话;S6,分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析。本发明将F5设备的流量信息和NAT前后的syslog日志结合分析,实现了NAT前后会话关联。
Description
技术领域
本发明涉及网络管理、网络统计领域,具体而言,涉及一种根据syslog日志关联NAT前后会话的方法及系统。
背景技术
F5设备是一种负载均衡、流量转发的设备。F5设备的BIG-IP系统提供NAT和SNAT两种地址转换机制,都可以通过地址转换访问外部网络。作用是在当私网IP访问公网的时候将私网IP转换成公网的IP,访问这个公网IP可以直接访问到所映射的私网服务器。NAT在F5设备中是一对一地址映射关系。即一个公网IP地址只和一个私网IP地址映射。
F5设备的负载均衡日志可以通过syslog协议进行采集,仅需配置设备中的syslog相关配置,即可采集NAT日志信息。
Syslog日志:syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或Level)、时间、主机名或IP、进程名、进程ID和消息体,而消息体正是我们所重点关注信息的对象。
已知F5设备的负载均衡日志可以通过syslog协议进行采集,自动发送到远程的集中日志分析中心,便于集中式的日志存储和管理,提高IP运维与分析的效率。然而拿到syslog的NAT前后日志后,还没有能够对syslog的NAT前后日志进行关联会话关联分析并应用于流量分析场景的方法。
发明内容
本发明旨在提供一种根据syslog日志关联NAT前后会话的方法及系统。
本发明提供的一种根据syslog日志关联NAT前后会话的方法,所述方法包括如下步骤:
S1,F5设备前后均设置流量采集探针;
S2,流量采集探针将采集的流量信息发送至分析系统;
S3,F5设备将NAT前后的syslog日志推送至分析系统;
S4,分析系统根据已知的格式定义解析字段;
S5,根据解析字段从syslog日志中解析出NAT前后TCP会话;
S6,分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析。
2.根据权利要求1所述的根据syslog日志关联NAT前后会话的方法,其特征在于,步骤S4中分析系统根据已知的格式定义的解析字段为:
(1)将CLIENT_IP/CLIENT_PORT/SERVER_IP/SERVER_PORT定义为NAT前服务器IP/端口/客户端IP/端口;
(2)将SNAT_IP/SNAT_PORT/VIRTUAL_IP/VIRTUAL_PORT定义为NAT后服务器IP/端口/客户端IP/端口;
(3)将其他字段定义为占位符,非解析字段;
(4)定义syslog日志的分隔符。
进一步的,步骤S5中解析出的NAT前后TCP会话为四元组信息。
进一步的,步骤S5中解析出的NAT前后TCP会话需要进行存储。
进一步的,步骤S6的方法为:
(1)对于一个流量采集探针采集的流量信息,若在步骤S3~S5进行syslog日志推送并解析成功后的时间内,该流量信息中有CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话,那么选择该TCP会话进行关联会话分析,则能够关联到SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话;
(2)对于一个流量采集探针采集的流量信息,若在步骤S3~S5进行syslog日志推送并解析成功后的时间内,该流量信息中有SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话,那么选择该TCP会话进行关联会话分析,则能够关联到CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话。
进一步的,若从syslog日志中新解析出的NAT后TCP会话有变,则以最新的syslog日志记录为准。
进一步的,步骤S3中F5设备将NAT前后的syslog日志定期推送至分析系统。
本发明还提供了一种根据syslog日志关联NAT前后会话的系统,所述根据syslog日志关联NAT前后会话的系统包括:F5设备、流量采集探针和分析系统;所述F5设备、流量采集探针和分析系统按照上述的根据syslog日志关联NAT前后会话的方法执行。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、本发明将F5设备的流量信息和NAT前后的syslog日志结合分析,实现了NAT前后会话关联,能够用于流量分析、网络分析和故障分析等场景。
2、本发明将F5设备的流量中TCP会话,结合存储的syslog日志中NAT前后会话进行前后会话关联分析,能够保证会话请求的连贯性,追溯性强。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例的根据syslog日志关联NAT前后会话的网络拓扑图。
图2为本发明实施例的根据syslog日志关联NAT前后会话的流程图。
图3为本发明实施例的syslog日志格式示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例提出一种根据syslog日志关联NAT前后会话的方法,如图1所示,所述方法的设计思路为:在F5设备前后均设置流量采集探针来采集流量信息,将采集的流量信息汇总至分析系统,同时,F5设备将syslog日志推送至分析系统,分析系统将其信息进行解析,再整合流量采集探针采集会话进行分析。由此如图2所示,所述方法包括如下步骤:
S1,F5设备前后均设置流量采集探针;如附图1中所示的探针A和探针B;
S2,流量采集探针将采集的流量信息发送至分析系统;
S3,F5设备将NAT前后的syslog日志推送至分析系统;本实施例中,F5设备将NAT前后的syslog日志定期推送至分析系统;
S4,分析系统根据已知的格式定义解析字段;如图3所示,例如:
(1)将CLIENT_IP/CLIENT_PORT/SERVER_IP/SERVER_PORT定义为NAT前服务器IP/端口/客户端IP/端口;
(2)将SNAT_IP/SNAT_PORT/VIRTUAL_IP/VIRTUAL_PORT定义为NAT后服务器IP/端口/客户端IP/端口;
(3)将其他字段定义为占位符,非解析字段(不相关字段,才可正确解析syslog日志);
(4)定义syslog日志的分隔符。
syslog日志示例:
http||$BIGIP_HOSTNAME||${Host}||$CLIENT_IP||$CLIENT_PORT||$D ATE_HTTP||$VIRTUAL_IP||$VIRTUAL_PORT||$SERVER_IP||$SERVER_PO RT||$SNAT_IP||$SNAT_PORT||$HTTP_STATCODE||${Content-Type}||$TIME_USECS。
S5,根据解析字段从syslog日志中解析出NAT前后TCP会话;其中,解析出的NAT前后TCP会话为四元组信息。为了便于后续的TCP会话关联分析,解析出的NAT前后TCP会话需要进行存储。
S6,分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析:
(1)对于一个流量采集探针,如探针A采集的流量信息,若在步骤S3~S5进行syslog日志推送并解析成功后的时间内,该流量信息中有CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话,那么选择该TCP会话进行关联会话分析,则能够关联到SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话;
(2)对于一个流量采集探针,如探针B采集的流量信息,若在步骤S3~S5进行syslog日志推送并解析成功后的时间内,该流量信息中有SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话,那么选择该TCP会话进行关联会话分析,则能够关联到CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话。进一步的,若从syslog日志中新解析出的NAT后TCP会话有变,则以最新的syslog日志记录为准。
实施例2
本实施例实现一种根据syslog日志关联NAT前后会话的系统,如图1所示,所述根据syslog日志关联NAT前后会话的系统包括:F5设备、流量采集探针和分析系统;所述F5设备、流量采集探针和分析系统按照实施例1所述的根据syslog日志关联NAT前后会话的方法执行。具体执行过程参照实施例1,在此不再赘述。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种根据syslog日志关联NAT前后会话的方法,其特征在于,所述方法包括如下步骤:
S1,F5设备前后均设置流量采集探针;
S2,流量采集探针将采集的流量信息发送至分析系统;
S3,F5设备将NAT前后的syslog日志推送至分析系统;
S4,分析系统根据已知的格式定义解析字段;
S5,根据解析字段从syslog日志中解析出NAT前后TCP会话;
S6,分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析;
步骤S4中分析系统根据已知的格式定义的解析字段为:
(1)将CLIENT_IP/CLIENT_PORT/SERVER_IP/SERVER_PORT定义为NAT前服务器IP/端口/客户端IP/端口;
(2)将SNAT_IP/SNAT_PORT/VIRTUAL_IP/VIRTUAL_PORT定义为NAT后服务器IP/端口/客户端IP/端口;
(3)将其他字段定义为占位符,非解析字段;
(4)定义syslog日志的分隔符;
步骤S6的方法为:
(1)对于一个流量采集探针采集的流量信息,若在步骤S3~S5进行syslog日志推送并解析成功后的时间内,该流量信息中有CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话,那么选择该TCP会话进行关联会话分析,则能够关联到SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话;
(2)对于一个流量采集探针采集的流量信息,若在步骤S3~S5进行syslog日志推送并解析成功后的时间内,该流量信息中有SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话,那么选择该TCP会话进行关联会话分析,则能够关联到CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话。
2.根据权利要求1所述的根据syslog日志关联NAT前后会话的方法,其特征在于,步骤S5中解析出的NAT前后TCP会话为四元组信息。
3.根据权利要求2所述的根据syslog日志关联NAT前后会话的方法,其特征在于,步骤S5中解析出的NAT前后TCP会话需要进行存储。
4.根据权利要求3所述的根据syslog日志关联NAT前后会话的方法,其特征在于,若从syslog日志中新解析出的NAT后TCP会话有变,则以最新的syslog日志记录为准。
5.根据权利要求4所述的根据syslog日志关联NAT前后会话的方法,其特征在于,步骤S3中F5设备将NAT前后的syslog日志定期推送至分析系统。
6.一种根据syslog日志关联NAT前后会话的系统,其特征在于,所述根据syslog日志关联NAT前后会话的系统包括:F5设备、流量采集探针和分析系统;所述F5设备、流量采集探针和分析系统按照权利要求1-5任一项所述的根据syslog日志关联NAT前后会话的方法执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011590700.2A CN112671949B (zh) | 2020-12-29 | 2020-12-29 | 一种根据syslog日志关联NAT前后会话的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011590700.2A CN112671949B (zh) | 2020-12-29 | 2020-12-29 | 一种根据syslog日志关联NAT前后会话的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671949A CN112671949A (zh) | 2021-04-16 |
| CN112671949B true CN112671949B (zh) | 2023-05-12 |
Family
ID=75411722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011590700.2A Active CN112671949B (zh) | 2020-12-29 | 2020-12-29 | 一种根据syslog日志关联NAT前后会话的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671949B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389792B (zh) * | 2022-03-22 | 2022-06-10 | 合肥全息网御科技有限公司 | 一种web日志nat前后关联方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8180892B2 (en) * | 2008-12-22 | 2012-05-15 | Kindsight Inc. | Apparatus and method for multi-user NAT session identification and tracking |
| GB201211323D0 (en) * | 2012-06-26 | 2012-08-08 | Bae Systems Plc | Resolution of address translations |
| CN102739820B (zh) * | 2012-06-28 | 2015-06-03 | 杭州华三通信技术有限公司 | 报文的网络地址转换处理方法和网络设备 |
| CN106067880B (zh) * | 2016-06-13 | 2019-05-31 | 国家计算机网络与信息安全管理中心 | 一种基于4g网络的ip地址的溯源方法 |
-
2020
- 2020-12-29 CN CN202011590700.2A patent/CN112671949B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| IPv6背景下运营商用户溯源方案的探讨;程烨,等;《电信科学》;全文 * |
| Tongqing Qiu;等.What happened in my network: mining network events from router syslogs.《IMC '10: Proceedings of the 10th ACM SIGCOMM conference on Internet measuremen》.2010,第472-484页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671949A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107623611B (zh) | 一种云平台虚拟机的流量监控系统 | |
| CN108400909B (zh) | 一种流量统计方法、装置、终端设备和存储介质 | |
| CN107508722B (zh) | 一种业务监控方法和装置 | |
| CN110659109B (zh) | 一种openstack集群虚拟机监控系统及方法 | |
| US20150074260A1 (en) | Auto discovery and topology rendering in substation networks | |
| CN103546343B (zh) | 网络流量分析系统的网络流量展示方法和系统 | |
| CN106209920B (zh) | 一种dns服务器的安全防护方法以及装置 | |
| CN106850318A (zh) | Ims信令流程可视化展现系统、方法及服务器 | |
| CN106655502B (zh) | 获取配电网设备运行状态数据的方法和装置 | |
| CN105025025A (zh) | 一种基于云平台的域名主动检测方法和系统 | |
| WO2018214928A1 (zh) | 一种定位解析故障的方法和装置及其计算机可读存储介质和计算机设备 | |
| EP4084415A1 (en) | Data management method and system, associated subsystem and computer readable medium | |
| CN112350854B (zh) | 一种流量故障定位方法、装置、设备及存储介质 | |
| CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
| CN114389792B (zh) | 一种web日志nat前后关联方法及系统 | |
| CN112671949B (zh) | 一种根据syslog日志关联NAT前后会话的方法及系统 | |
| WO2016070633A1 (zh) | 上网日志生成方法和装置 | |
| KR20220124271A (ko) | 라이브 트래픽의 고장 검측 방법, 장치, 전자 기기 및 판독 가능 저장 매체 | |
| CN113347258A (zh) | 云流量下的数据采集监控分析的方法及系统 | |
| WO2020258982A1 (zh) | 一种分析基站安全日志的方法、系统及计算机可读存储介质 | |
| CN113259467A (zh) | 一种基于大数据的网页资产指纹标签识别与发现方法 | |
| CN105515825B (zh) | 一种用于网管容量测试的snmp模拟器及其测试方法 | |
| CN111177281B (zh) | 一种访问管控方法、装置、设备及存储介质 | |
| CN108696398A (zh) | 一种通讯网络中的通讯环回故障检测方法和装置 | |
| CN113778709B (zh) | 接口调用方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 610041 12th, 13th and 14th floors, unit 1, building 4, No. 966, north section of Tianfu Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan Applicant after: Kelai Network Technology Co.,Ltd. Address before: 41401-41406, 14th floor, unit 1, building 4, No. 966, north section of Tianfu Avenue, Chengdu hi tech Zone, Chengdu Free Trade Zone, Sichuan 610041 Applicant before: Chengdu Kelai Network Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |