感谢您的时间和帮助。我在将 Cisco ASA 引入 CommonSecurityLog 数据表时遇到了很多问题。我认为这源于我如何通过 syslog 接收消息以及我对 omsagent 架构的理解以及它如何区分 CEF 和 Syslog。目前,我们没有任何内容写入任何系统日志设施。我正在将我的 cisco asa 消息写入每天生成的自定义文件。它在 TCP/1470 上发送,因为 cisco asa 不支持 TCP/514。日志已成功流向机器,所以我没有 conf 语法问题。尽管现在我似乎找不到任何有助于将其放入 Sentinel 的方法,因为它位于我的系统日志服务器上,而不是创建一个没有字段映射的自定义日志。下面是我的 syslog-ng。conf 看起来像相关的来源。我还在数据连接器页面中运行了验证连接脚本,以确保代理连接到工作区时一切正常。
source s_cisco {
tcp(port(1470));
};
destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};
filter f_cisco_asa {
host(x.x.x.x);
};
log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };