ArcSight 的 CEF Syslog 配置在 RAW TCP 和 UDP 之间有什么区别?
Udp syslog 是否有可能在没有端行的情况下发送,例如\n
如何从 ArcSight 发送系统日志,Flumessyslogtcp会将其读取为系统日志
问问题
656 次
1 回答
1
区别
RAW syslog - 通过 TCP 协议发送信息,“ RAW”只是通过 TCP 发送 CEF 有效负载作为原始数据(没有规范化)并以\n结尾
CEF:0.......
CEF:0.......
UDP syslog - 通过 UDP 协议发送信息,“ RAW”只是通过 TCP 发送 CEF 有效负载而没有 \n结束 - 看起来像流
CEF:0.......CEF:0.......
在我的测试中,ArcSight 版本6.9.1 未按应有的方式发送 Syslog 格式
应该:
Sep 10 15:19:01 host CEF:0|.............
实际上:
CEF:0|..........
根据https://activate.lab1.semplicityinc.com/foswiki/pub/ArcSightActivate/PLinuxOSConnectorInstallation/SyslogNGDaemonConfig.pdf和https://www.protect724.hpe.com
选择Syslog守护程序时,使用RAW TCP,连接保持在近距离状态,直到应用程序明确关闭。
更多参考: https ://www.hpe.com/h20195/v2/getpdf.aspx/4AA6-8664ENW.pdf?ver=1.0
阿帕奇水槽
ArcSight version 6.9.1Flume的最佳实践是:
- 在 ArcSight 中使用
CEF Syslog和RAW Tcp - Flume 应该使用 NetCat 源并解析它
享受 !
于 2017-05-15T10:10:57.337 回答