CLIP als BS2000-Subsystem versorgt über das Syslog-Protokoll z.B. externe SIEM-Systeme bei der Auswertung, Konsolidierung und Speicherung von Ereignissen aus mehreren angeschlossenen BS2000-Systemen. Dafür muss das Subsystem CLIP auf jedem der zu überwachenden BS2000 Systeme aktiv und passend konfiguriert sein.

CLIP besteht aus zwei Teilen:

• TPR-Teil: das CLIP-Subsystem gesteuert über DSSM, zur zentralen Verarbeitung der BS2000-Ereignisse
• TU-Teil: der TU-Batch-Job zur Weiterleitung der BS2000-Ereignisse an einen externen Syslog-Server via Sockets

TPR-Teil: CLIP-Subsystem

CLIP wird erstmals auf Basis BS2000 V21.0B bereitgestellt. In einem ersten Schritt werden ausschließlich SAT-Ereignisse unterstützt. Eine Erweiterung auf weitere Systemkomponenten ist geplant.

In der Abbildung wird schematisch die aktuelle CLIP-Einbindung für SAT dargestellt.

Der TPR-Teil von CLIP nimmt die SAT-Daten entgegen und überträgt sie an seinen TU-Teil.

TU-Teil: CLIP-Batch-Job 

Der CLIP-Batch-Job im TU-Teil baut eine TCP-Verbindung zum Syslog-Server auf, wartet auf Ereignisse vom TPR-Teil, analysiert diese und setzt sie in das Syslog-Format um. Nach erfolgreichem Parsing werden die Ereignisse via Socket-Schnittstelle an den in der CLIP-Konfigurationsdatei konfigurierten, externen Server gesendet. Auf dem externen Server muss an dem in CLIP konfigurierten Port ein Syslog daemon laufen. Dieser empfängt und filtert die empfangenen Daten und speichert sie in den Systemprotokollen des Servers.

In der Abbildung wird schematisch der aktuelle CLIP-Ablauf in TPR und TU am Beispiel von SAT dargestellt.

Wenn die Verbindung zum Syslog-Server verloren geht, versucht der Batch-Job beim nächsten zu versendenden Ereignis, das mindestens eine Sekunde nach dem Verbindungsverlust auftritt, zyklisch die Verbindung wieder herzustellen. Dies wird solange wiederholt, bis es zu einem Timeout kommt oder der interne Pufferspeicher voll ist.