ArcSight在RAW TCP和UDP之间的CEF Syslog配置有何不同?
Udp syslog是否可能在没有终点的情况下发送,例如\n
如何从ArcSight发送syslog,Flumes syslogtcp会将其作为syslog读取
答案 0 :(得分:1)
RAW系统日志 - 通过 TCP协议发送信息," RAW"只是通过TCP发送CEF有效负载作为原始数据(没有规范化),\n结束
CEF:0.......
CEF:0.......
UDP syslog - 通过 UDP协议发送信息," RAW"只是通过TCP 发送CEF有效负载而没有 \n结束 - 看起来像流
CEF:0.......CEF:0.......
在我的测试中,ArcSight版本6.9.1 不发送Syslog格式
应该是:
Sep 10 15:19:01 host CEF:0|.............
Actualy:
CEF:0|..........
根据https://activate.lab1.semplicityinc.com/foswiki/pub/ArcSightActivate/PLinuxOSConnectorInstallation/SyslogNGDaemonConfig.pdf和https://www.protect724.hpe.com
使用Raw TCP选择Syslog守护程序时,连接在CLOSE_WAIT状态下保持空闲状态,直到 由应用程序明确关闭。
更多参考: https://www.hpe.com/h20195/v2/getpdf.aspx/4AA6-8664ENW.pdf?ver=1.0
ArcSight version 6.9.1和Flume的最佳做法是:
CEF Syslog和RAW Tcp 享受!