0

是否有人使用 FluentD 代表 OMSagent 在特定端口上处理 TLS 握手?我在 omsagent 文件夹中的 FluentD conf 如下所示:

<source>
  type tcp
  format none
  port 12345
  bind 0.0.0.0
  delimiter "\n"
  tag oms.api.AAP
</source>

<match oms.api.AAP>
  type out_oms_api
  log_level info
  num_threads 5
  omsadmin_conf_path /etc/opt/microsoft/omsagent/workspace_id/conf/omsadmin.conf
  cert_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.crt
  key_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.key
  ...
</match>

这会捕获 TCP 上到达端口 12345 的数据,并通过 OMSagent 将其发送到 Sentinel SIEM。但是,这不处理 TLS 协商,因此握手失败,只有 TCP 握手数据进入 Sentinel。例如,当 Client 发送 Hello 时,没有 TLS Server Hello,因为 OMSagent 无法处理 TLS。有 Syn Ack Fin 和 Rst。

有没有办法使用 FluentD 处理 TLS 协商?

示例 FluentD conf ,不起作用:

<source>
type forward
port 12345
<transport tls>
version TLSv1_2
ciphers ALL:!aNULL:!eNULL:!SSLv2
insecure false
omsadmin_conf_path /etc/opt/microsoft/omsagent/workspace_id/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/workspace_id/certs/oms.key
client_cert_auth false
</transport>
</source>
4

0 回答 0