arcsight的cef syslog配置差异原始tcp和udp

gcuhipw9  于 2021-06-04  发布在  Flume
关注(0)|答案(1)|浏览(514)

arcsight的cef syslog配置在原始tcp和udp之间有什么区别?
是否有可能udp系统日志发送时没有结束行例如 \n 从arcsight向flumes发送系统日志的可能性有多大 syslogtcp 将其读取为syslog

ztigrdn8

ztigrdn81#

区别

raw syslog通过tcp协议发送信息,“raw”只是通过tcp将cef负载作为原始数据(没有规范化)发送给 \n 结束

CEF:0.......
CEF:0.......

udp syslog通过udp协议发送信息,“raw”只是通过tcp发送cef负载,而不需要 \n 结尾-看起来像小溪

CEF:0.......CEF:0.......

在我的测试中,arcsight版本 6.9.1 不按应该的格式发送系统日志
应该是:

Sep 10 15:19:01 host CEF:0|.............

实际上:

CEF:0|..........

根据https://activate.lab1.semplicityinc.com/foswiki/pub/arcsightactivate/plinuxosconnectorinstallation/syslogngdaemonconfig.pdf 以及https://www.protect724.hpe.com
选择syslog守护进程时,使用原始tcp,连接将保持空闲,处于关闭等待状态,直到应用程序显式关闭。
更多参考:https://www.hpe.com/h20195/v2/getpdf.aspx/4aa6-8664enw.pdf?ver=1.0

ApacheFlume

最佳实践 ArcSight version 6.9.1 Flume是:
在arcsight中使用 CEF Syslog 以及 RAW Tcp flume应该使用netcat源代码并解析它
好好享受!

相关问题