0

我安装了一个全新的 QRadar 社区,并配置了一个 syslog 事件源。

但是 QRadar 没有监听 514 端口(没有 TCP 和 UDP)

你有什么主意吗 ?

这是 netstat 的输出:

[root@localhost ~]# netstat -nlp|grep 514
tcp6       0      0 :::1514                 :::*                    LISTEN      24177/syslog-ng
udp6       0      0 :::1514                 :::*                                24177/syslog-ng

非常感谢您的帮助 !

4

1 回答 1

3

我在新安装的 QRadar CE 7.3.3 中遇到了同样的问题。Syslog 未在端口 514 上侦听,并且实时流中未显示其他日志事件。

/var/log/qradar.log以下消息中出现:

Apr 10 08:48:43 ::ffff:X.X.X.X [masterdaemon.masterdaemon] [Thread-70] com.eventgnosis.ecs: [INFO] [NOT:0000006000][X.X.X.X/- -] [-/- -]Waiting for valid license...

最后,我在 IBM 的支持页面上找到了这篇支持文章。按照文章中所述更新许可证文件后,一切正常。

于 2021-04-10T07:20:51.073 回答