注册
登录
flume
ArcSight的CEF Syslog配置差异RAW TCP和UDP
返回
ArcSight的CEF Syslog配置差异RAW TCP和UDP
作者:
离线请留言
发布时间:
2024-05-12 11:38:24 (2月前)
转自:
<p> <br/> ArcSight在RAW TCP和UDP之间的CEF Syslog配置有何不同?</p><p>Udp syslog是否可能在没有endline的情况下发送,例如\ n</p><p>怎么可能从…发送系统日志<br/> <br/></p>
收藏
举报
2 条回复
0#
回复此人
v-star*위위
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <H1> 区别 </H1> <P> 该 的<strong> RAW系统日志 </强> - 发送信息 的<strong> TCP协议 </强> ,“RAW”只是通过TCP发送CEF有效载荷作为原始数据(没有规范化) <code> \n </code> 结尾 </p> <pre> <code> CEF:0....... CEF:0....... </code> </pre> <P> 该 的<strong> UDP系统日志 </强> - 发送信息 的<strong> UDP协议 </强> ,“RAW”只是通过TCP发送CEF有效载荷 的<strong> 无 </强> <code> \n </code> 结束 - 看起来像流 </p> <pre> <code> CEF:0.......CEF:0....... </code> </pre> <P> 在我的测试中,ArcSight版本 <code> 6.9.1 </code> 的<strong> 不 </强> 按原样发送Syslog格式 </p> <P> 应该: </p> <pre> <code> Sep 10 15:19:01 host CEF:0|............. </code> </pre> <P> Actualy: </p> <pre> <code> CEF:0|.......... </code> </pre> <P> 根据 <a href="https://activate.lab1.semplicityinc.com/foswiki/pub/ArcSightActivate/PLinuxOSConnectorInstallation/SyslogNGDaemonConfig.pdf" rel="nofollow noreferrer"> https://activate.lab1.semplicityinc.com/foswiki/pub/ArcSightActivate/PLinuxOSConnectorInstallation/SyslogNGDaemonConfig.pdf </A> 和 <a href="https://www.protect724.hpe.com" rel="nofollow noreferrer"> https://www.protect724.hpe.com </A> </p> <BLOCKQUOTE> <P> 使用Raw TCP选择Syslog守护程序时,连接在CLOSE_WAIT状态下保持空闲状态,直到 由应用程序明确关闭。 </p> </BLOCKQUOTE> <P> 更多参考: <a href="https://www.hpe.com/h20195/v2/getpdf.aspx/4AA6-8664ENW.pdf?ver=1.0" rel="nofollow noreferrer"> https://www.hpe.com/h20195/v2/getpdf.aspx/4AA6-8664ENW.pdf?ver=1.0 </A> </p> <H1> Apache Flume </H1> <P> 最好的做法 <code> ArcSight version 6.9.1 </code> 和Flume是: </p> <OL> <LI> 在ArcSight中使用 <code> CEF Syslog </code> 和 <code> RAW Tcp </code> </LI> <LI> Flume应该使用NetCat源并解析它 </LI> </醇> <P> 请享用 ! </p> </DIV>
编辑
登录
后才能参与评论
