我正在将通用CEF日志转发到Azure Sentinel,并且遇到了类似此处所述的类似问题:
https://github.com/MicrosoftDocs/azure-docs/issues/28909
[我相信我已经正确配置了rsyslog,当我在端口514上侦听时,我看到了CEF日志,但是Azure代理看不到任何东西触及其侦听端口。重新启动rsyslog时,我确实看到了Azure代理上的本地syslog通信。
我关注了以下文章:
https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format
使用rsyslog转发配置如下:
local4.debug @127.0.0.1:25226
假定其功能级别,但是我无法在syslog客户端上更改它,我添加了一些其他功能,例如syslog,用户,但无济于事。
有人知道解决方法吗?
在/ etc / rsyslog.d / security-config-omsagent.conf中添加以下内容:
。 @ 127.0.0.1:25226
:rawmsg,regex,“ CEF \ | ASA”〜
还有来自Azure的脚本,用于同时测试rsyslog / syslog-ng和oms代理:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>