我需要编写一个 bash 脚本，他的第一项工作是从 arcsight ESM 中导出一个包。之后它需要将导出的档案移动到连接器服务器，但我还没有到达那个部分。我的问题是这样的：根据 arcsight ESM 手册，导出包的命令如下：

该命令只需要从arcsightESM 服务器上的主目录运行，否则 bash 无法识别arcsight为命令。我这样做了，该命令似乎运行良好，因为它确实设法登录到 ESM，返回说它正在导出包，但后来我明白了

标志 '' 无法识别

它停止了。它没有完成导出包，因为运行命令后目标文件夹中没有“packagebundle.arb”文件。所以我想问一下是否有人知道这个错误是什么以及如何解决它。直到现在还没有找到太多关于它的信息。ArcSight 版本为 6.9，Linux 版本为 RHEL 5.5。

ArcSight 的 CEF Syslog 配置在 RAW TCP 和 UDP 之间有什么区别？

Udp syslog 是否有可能在没有端行的情况下发送，例如\n

如何从 ArcSight 发送系统日志，Flumessyslogtcp会将其读取为系统日志

我正在编写一个以通用事件格式 (CEF) 输出日志的程序，同时参考此文档，该文档分解了 CEF 的组成方式。但是，我对在这个特定部分中“版本”的含义感到困惑：

CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展

这是他们展示的例子：

9 月 19 日 08:26:10 主机 CEF:0|security|threatmanager|1.0|100|蠕虫成功停止|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

“Sep 19 08:26:10 host”是标题的一部分，而不是我感到困惑的东西。在上面的示例中，版本为 0。

该文档指出，“版本是一个整数并标识 CEF 格式的版本。事件消费者使用此信息来确定以下字段代表什么”。我将其解释为版本由事件消费者和生产者定义，并用作某种标识符。但是，我不确定这是否正确，即使正确，我也找不到具体的真实生活示例来说明它是如何使用的。这个示例日志和我在搜索示例时发现的所有 CEF 日志都使用零。

有谁知道我的解释是否正确和/或有使用它的真实例子？

我想在 ArcSight ESM 中创建一个自定义仪表板来显示视频。

我花了几个小时寻找解决方案，但没有运气。请任何人都可以指导我如何完成这项任务。

提前致谢。

我想通过 C# 将日志发送到 ArcSight - Logger。

在 google 上搜索时，发现一篇有趣的文章Check devices are not logged in ArcSight Logger via C# - Hakan Ungan。

我花了几个小时通过 C# 搜索“如何将日志发送到 ArcSight Logger”，但找不到任何合适的解决方案。

请有人指导我如何通过 C# 将日志发送到 ArcSight Logger。

我试图解析日志文件并且很难尝试忽略令牌中的字符串。

我试图解析的部分日志：

我想为日期创建一个令牌，在该日期应该忽略第二年之后的任何值，如下所示：

我的正则表达式字符串现在看起来像这样：

目标：获取 CSV 文件中的所有行（至少 1 行及更多行），添加修复字符串并使用 JSON 数组中的变量。

对不起，如果问题不相关。我不确定要问什么正确的问题。

我希望“entryList”格式如下所示，以便成功发布 JSON 对象。

但是，以下方法均无效。

转储 JSON（完整格式）：

方法 1 - 字符串格式化

问题：JSON 转储仅显示 1 个 entryList 值。我无法获得正确的方法来逃避 {}，因此它会导致不想要的 JSON 对象

方法 2 - + 连接

这里也有太多问题。必要时提供建议

我需要为 Kafka Consumer 的客户端身份验证提供证书，但是，它总是失败并出现以下异常（Failed to load SSL keystore）：

我已经尝试了所有可能的选项：

• JKS 和 PKCS12 密钥库
• Java 默认密钥库（/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts）和我自己的密钥库（例如，在 /etc/logstash/keystore.jks 中）
• 以 logstash 用户等身份检查所有权限。

在 Logstash ArcSight 模块中，密钥库设置指定如下（在 logstash.yml 中）：

您知道为什么 KafkaConsumer 拒绝加载任何密钥库吗？

我的目标是将 ArcSight CEF 消息从 ArcSight Transformation Hub 以解析的形式传输到 Elasticsearch。但是，Elastic Stack 提供的所有输入选项都不起作用：

1. Logstash ArcSight 模块根本无法通过 SSL 与 Transformation Hub 工作：Kafka Consumer Failed to load SSL keystore (Logstash ArcSight module) for any keystore type and path

2. Logstash with Kafka Plugin 确实可以使用 SSL 从 ArcSight Transofration Hub 读取数据，但是它只读取大约 50% 的数据，因此无论我尝试哪种设置（我也尝试过 9 Logstash 实例，每个读取 9 个 Transformation Hub / Kafka 管道中的 1 个，但仍获得与单个 Logstash 实例相同数量的事件）：

   • https://discuss.elastic.co/t/logstash-slow-input-for-tcp-cef-codec/199808
   • https://discuss.elastic.co/t/never-possible-to-ingest-more-than-2-5k-with-cef-codec-enabled/152496

3. Filebeat 还通过带有客户端证书身份验证的 SSL 与 ArcSight Transformation Hub 配合使用。但是，它使用 decode_cef 处理器。如果没有修改过的 filebeat 管道，它就无法解析一些 Windows 事件并且具有最大 5k EPS（我需要 50k EPS）。使用自定义管道，它可能可以解析所有内容，但几乎没有事件进入 Elasticsearch（每小时 5000 个事件，而不是每秒 50,000 个事件）。

所以问题是如果 Elastic 提供的 3 个“标准”选项都不起作用，如何将数据从 ArcSight 获取到 Elasticsearch？

我们使用 Kafka 将消息从 ArcSight 发送到 StreamSets 管道。我们在解析管道中来自 Kafka 的消息时遇到了问题。从 ArcSight 发送的数据有时会被分割成块，这意味着一个巨大的脚本将被切割成小块并分成多条消息。发生这种情况时，StreamSets 管道中使用的 Kafka Consumer 无法正确解析数据。

有什么帮助吗？