Syslog可以作为故障排查的有效工具，在需要对设备问题进行排查时使用，虽然可以实时收取，但通常用于快速的历史事件查看。Trap提供实时的报文信息发送，基于设备上事件的发生来产生相应事件报文，原始的Trap报文不便于直观查看，需要解析后才能使用。

       Syslog使用UDP作为传输协议，通过端口514(也可定义其他端口号)，将日志发送至Syslog日志服务器。共分三部分：发送Syslog日志的设备、Syslog日志收集转发中继、收集并存储Syslog日志服务器。Syslog日志记录着系统中的任何事件，管理者可以通过查看系统记录，随时掌握系统状况。每个日志的格式包括时间戳，主机IP地址，事件消息，严重性，诊断等，但是不存在身份验证机制。

      Trap使用简单网络管理协议（SNMP协议），通过端口162进行信息传输。完整的Trap信息处理共两部分：生成Trap信息的设备、接收并解析Trap信息的服务器。Trap报文是基于事件驱动的，只有在事件生成时才会触发Trap生成并发送。

下图是设备上报的Trap信息

      Trap的解析需要使用到MIB库，因为设备存在公共MIB和私有MIB，这就需要与设备厂商紧密合作，尽可能全面的获取MIB库。解析服务器通过现有的MIB，对Trap报文进行解析。因为Trap是基于事件驱动的，所以可以用来进行实时告警管理和监控，Snmp协议虽然可以使用团体字进行身份验证，但是v3之前的版本都是明文传输，仍然存在一定的风险。