[发明专利]一种根据syslog日志关联NAT前后会话的方法及系统

说明书

本发明提供一种根据syslog日志关联NAT前后会话的方法及系统，所述方法包括：S1，F5设备前后均设置流量采集探针；S2，流量采集探针将采集的流量信息发送至分析系统；S3，F5设备将NAT前后的syslog日志推送至分析系统；S4，分析系统根据已知的格式定义解析字段；S5，根据解析字段从syslog日志中解析出NAT前后TCP会话；S6，分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析。本发明将F5设备的流量信息和NAT前后的syslog日志结合分析，实现了NAT前后会话关联。

技术领域

本发明涉及网络管理、网络统计领域，具体而言，涉及一种根据syslog日志关联NAT前后会话的方法及系统。

背景技术

F5设备是一种负载均衡、流量转发的设备。F5设备的BIG-IP系统提供NAT和SNAT两种地址转换机制，都可以通过地址转换访问外部网络。作用是在当私网IP访问公网的时候将私网IP转换成公网的IP，访问这个公网IP可以直接访问到所映射的私网服务器。NAT在F5设备中是一对一地址映射关系。即一个公网IP地址只和一个私网IP地址映射。

F5设备的负载均衡日志可以通过syslog协议进行采集，仅需配置设备中的syslog相关配置，即可采集NAT日志信息。

Syslog日志：syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储，或者解析其中的内容做相应的处理。完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或Level)、时间、主机名或IP、进程名、进程ID和消息体，而消息体正是我们所重点关注信息的对象。

已知F5设备的负载均衡日志可以通过syslog协议进行采集，自动发送到远程的集中日志分析中心，便于集中式的日志存储和管理，提高IP运维与分析的效率。然而拿到syslog的NAT前后日志后，还没有能够对syslog的NAT前后日志进行关联会话关联分析并应用于流量分析场景的方法。

发明内容

本发明旨在提供一种根据syslog日志关联NAT前后会话的方法及系统。

本发明提供的一种根据syslog日志关联NAT前后会话的方法，所述方法包括如下步骤：

S1，F5设备前后均设置流量采集探针；

S2，流量采集探针将采集的流量信息发送至分析系统；

S3，F5设备将NAT前后的syslog日志推送至分析系统；

S4，分析系统根据已知的格式定义解析字段；

S5，根据解析字段从syslog日志中解析出NAT前后TCP会话；

S6，分析系统将解析出的NAT前后TCP会话结合流量采集探针采集的流量信息进行关联会话分析。

2.根据权利要求1所述的根据syslog日志关联NAT前后会话的方法，其特征在于，步骤S4中分析系统根据已知的格式定义的解析字段为：

(1)将CLIENT_IP/CLIENT_PORT/SERVER_IP/SERVER_PORT定义为NAT前服务器IP/端口/客户端IP/端口；

(2)将SNAT_IP/SNAT_PORT/VIRTUAL_IP/VIRTUAL_PORT定义为NAT后服务器IP/端口/客户端IP/端口；

(3)将其他字段定义为占位符，非解析字段；

(4)定义syslog日志的分隔符。

进一步的，步骤S5中解析出的NAT前后TCP会话为四元组信息。