尝试将通用CEF日志转发到Azure Sentinel

时间:2019-10-22 23:23:14

标签: logging chromium-embedded azure-sentinel

我正在将通用CEF日志转发到Azure Sentinel,并且遇到了类似此处所述的类似问题:

https://github.com/MicrosoftDocs/azure-docs/issues/28909

我相信我已经正确配置了rsyslog,当我在端口514上侦听时,我看到CEF日志,但是Azure代理看不到任何东西触及其侦听端口。重新启动rsyslog时,我确实看到了Azure代理上的本地syslog通信。

我关注了以下文章:

https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format

rsyslog转发配置如下:

local4.debug @127.0.0.1:25226

假定它的功能级别,但是我无法在syslog客户端上更改它,我添加了一些其他功能,例如syslog,用户,但无济于事。

有人知道解决方法吗?

1 个答案:

答案 0 :(得分:0)

/etc/rsyslog.d/security-config-omsagent.conf 中添加以下内容:

@ 127.0.0.1:25226

:rawmsg,正则表达式,“ CEF \ | ASA”〜

Azure还提供了一个脚本,用于测试rsyslog / syslog-ng和oms代理:

wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>
相关问题
最新问题