[发明专利]一种根据syslog日志关联NAT前后会话的方法及系统

权利要求书

1.一种根据syslog日志关联NAT前后会话的方法，其特征在于，所述方法包括如下步骤：

S1，F5设备前后均设置流量采集探针；

S2，流量采集探针将采集的流量信息发送至分析系统；

S3，F5设备将NAT前后的syslog日志推送至分析系统；

S4，分析系统根据已知的格式定义解析字段；

S5，根据解析字段从syslog日志中解析出NAT前后TCP会话；

S6，分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析；

步骤S4中分析系统根据已知的格式定义的解析字段为：

(1)将CLIENT_IP/CLIENT_PORT/SERVER_IP/SERVER_PORT定义为NAT前服务器IP/端口/客户端IP/端口；

(2)将SNAT_IP/SNAT_PORT/VIRTUAL_IP/VIRTUAL_PORT定义为NAT后服务器IP/端口/客户端IP/端口；

(3)将其他字段定义为占位符，非解析字段；

(4)定义syslog日志的分隔符；

步骤S6的方法为：

(1)对于一个流量采集探针采集的流量信息，若在步骤S3～S5进行syslog日志推送并解析成功后的时间内，该流量信息中有CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话，那么选择该TCP会话进行关联会话分析，则能够关联到SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话；

(2)对于一个流量采集探针采集的流量信息，若在步骤S3～S5进行syslog日志推送并解析成功后的时间内，该流量信息中有SNAT_IP:SNAT_PORT到VIRTUAL_IP:VIRTUAL_PORT的NAT后TCP会话，那么选择该TCP会话进行关联会话分析，则能够关联到CLIENT_IP:CLIENT_PORT到SERVER_IP:SERVER_PORT的NAT前TCP会话。

2.根据权利要求1所述的根据syslog日志关联NAT前后会话的方法，其特征在于，步骤S5中解析出的NAT前后TCP会话为四元组信息。

3.根据权利要求2所述的根据syslog日志关联NAT前后会话的方法，其特征在于，步骤S5中解析出的NAT前后TCP会话需要进行存储。

4.根据权利要求3所述的根据syslog日志关联NAT前后会话的方法，其特征在于，若从syslog日志中新解析出的NAT后TCP会话有变，则以最新的syslog日志记录为准。

5.根据权利要求4所述的根据syslog日志关联NAT前后会话的方法，其特征在于，步骤S3中F5设备将NAT前后的syslog日志定期推送至分析系统。

6.一种根据syslog日志关联NAT前后会话的系统，其特征在于，所述根据syslog日志关联NAT前后会话的系统包括：F5设备、流量采集探针和分析系统；所述F5设备、流量采集探针和分析系统按照权利要求1-5任一项所述的根据syslog日志关联NAT前后会话的方法执行。