SDN场景下网络设备syslog优化指导

lovet

需求背景：

SDN场景下，由于控制器需要周期性登录纳管设备，导致被纳管的设备syslog大量的SSH登录日志，该日志占到了70%以上。当被纳管的设备配置了syslog上送网管时，导致网管syslog日志过大，很多网管对数据库最大显示的日志数量做了限制，导致网管存在以下两点问题：
（1）只能记录最近1至2天的日志。
（2）记录的日志中无效日志占比过大。
现急需要对该场景下，网管日志记录能力不足问题进行优化。

优化方法：
经过对网络设备（以交换机为例）的logbuffer进行了分析，发现在SDN场景下，logbuffer中的70%日志为SSHS模块的登录认证日志。由于SHELL模块已经记录了设备登入的日志信息，包含登录IP，登录时间。所以SSHS模块产生的日志价值不大，可以将该模块在loghost通道的日志发送能力关闭。
关闭方法如下：
# info-center source SSHS loghost deny


方法缺陷：
1. 由于SSHS模块记录的日志中包括SSH登录失败的日志，且该日志中会记录登录的源ip，便于排查攻击源。
2. 该方法目前只适用于对登录失败日志频率及访问源等信息不关注的场景，例如数据中心内网设备，通常会对源地址做了过滤限制，公网黑客不具备直接访问该设备的能力。
3. 对登录失败信息比较敏感的场景，建议通过前方增加防火墙过滤或本地接口下采用packet-filter包过滤来控制SSH登录失败日志的产生。