1

我正在将通用 CEF 日志转发到 Azure Sentinel,并且遇到了类似的问题,如此处所述:

https://github.com/MicrosoftDocs/azure-docs/issues/28909

我相信我已经正确配置了 rsyslog,当我在端口 514 上监听时,我看到了 CEF 日志,但是 Azure 代理没有看到任何访问其监听端口的东西。当我重新启动 rsyslog 时,我确实在 Azure 代理上看到了本地 syslog 流量。

我关注了以下文章:

https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format

用rsyslog转发配置如下:

local4.debug @127.0.0.1:25226

假设它是设施级别,但是我无法在 syslog 客户端上更改它,我添加了几个额外的设施,例如 syslog、user 但无济于事。

有人知道解决方法吗?

4

1 回答 1

1

/etc/rsyslog.d/security-config-omsagent.conf添加以下内容:

. @127.0.0.1:25226

:rawmsg, 正则表达式, "CEF\|ASA" ~

Azure 还提供了一个脚本,用于测试 rsyslog/syslog-ng 和 oms 代理:

wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>
于 2019-10-30T14:37:53.593 回答