0

当我将日志从 pfsense 发送到 splunk 时,我遇到了问题。

目前的配置是:

Pfsense 192.168.1.128 Splunk 192.168.1.129

(是 2 个不同的虚拟机)

所以 Pfsense 的配置是将远程登录发送到端口 514 中的 spunk 的 IP。

在 Splunk 中,我添加了服务 UDP 514:

Input Type
UDP Port
Port Number
514
Source name override
N/A
Restrict to Host
N/A
Source Type
syslog
App Context
search
Host
(IP address of the remote server)
Index
default

如果我在 splunk 中执行 tcpdump:

tcpdump -anni ens33 host 192.168.1.128 and port 514

我可以从 pfsense 看到系统日志

14:54:30.489541 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 279
14:54:30.798702 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 461
14:54:31.578176 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 290
14:54:32.575437 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 290
14:54:33.801049 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 461
14:54:33.803128 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 290
14:54:34.579268 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 290
14:54:35.578575 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 290
14:54:36.465434 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG local5.info, length: 294
14:54:36.931271 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG ntp.info, length: 69
14:54:36.931530 IP 192.168.1.128.514 > 192.168.1.129.514: SYSLOG ntp.info, length: 69

但是如果我签入 Screach 和报告,我可以在数据摘要中看到任何信息。

你能给我一点光明吗

谢谢

4

1 回答 1

0

您是否在搜索正确的索引?

如果您运行它,它将快速搜索元数据以查看它是否在 Splunk 中。根据需要调整您的时间范围

| metasearch index=*

于 2018-04-14T13:24:28.663 回答