是否有人使用 FluentD 代表 OMSagent 在特定端口上处理 TLS 握手?我在 omsagent 文件夹中的 FluentD conf 如下所示:
<source>
type tcp
format none
port 12345
bind 0.0.0.0
delimiter "\n"
tag oms.api.AAP
</source>
<match oms.api.AAP>
type out_oms_api
log_level info
num_threads 5
omsadmin_conf_path /etc/opt/microsoft/omsagent/workspace_id/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.key
...
</match>
这会捕获 TCP 上到达端口 12345 的数据,并通过 OMSagent 将其发送到 Sentinel SIEM。但是,这不处理 TLS 协商,因此握手失败,只有 TCP 握手数据进入 Sentinel。例如,当 Client 发送 Hello 时,没有 TLS Server Hello,因为 OMSagent 无法处理 TLS。有 Syn Ack Fin 和 Rst。
有没有办法使用 FluentD 处理 TLS 协商?
示例 FluentD conf ,不起作用:
<source>
type forward
port 12345
<transport tls>
version TLSv1_2
ciphers ALL:!aNULL:!eNULL:!SSLv2
insecure false
omsadmin_conf_path /etc/opt/microsoft/omsagent/workspace_id/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.key
client_cert_auth false
</transport>
</source>