ArcSight 的 CEF Syslog 配置区别 RAW TCP 和 UDP
ArcSight's CEF Syslog configuration difference RAW TCP and UDP
ArcSight 的 CEF Syslog 配置在 RAW TCP 和 UDP 之间有何不同?
Udp 系统日志是否可能在没有结束行的情况下发送,例如 \n
如何从 ArcSight 发送系统日志,Flumes syslogtcp 将其读取为系统日志
区别
RAW 系统日志 - 通过 TCP 协议 发送信息,"RAW" 只是通过 TCP 发送 CEF 负载\n 结尾
的原始数据(未标准化)
CEF:0.......
CEF:0.......
UDP 系统日志 - 通过 UDP 协议 发送信息,"RAW" 只是通过 TCP 没有 \n结尾-看起来像流
CEF:0.......CEF:0.......
在我的测试中,ArcSight 版本 6.9.1 不 发送 Syslog 格式应该
应该是:
Sep 10 15:19:01 host CEF:0|.............
实际:
CEF:0|..........
根据https://activate.lab1.semplicityinc.com/foswiki/pub/ArcSightActivate/PLinuxOSConnectorInstallation/SyslogNGDaemonConfig.pdf and https://www.protect724.hpe.com
When selecting Syslog Daemon, with Raw TCP, connections remain idle in a CLOSE_WAIT state until
closed explicitly by the application.
更多参考:
https://www.hpe.com/h20195/v2/getpdf.aspx/4AA6-8664ENW.pdf?ver=1.0
阿帕奇 Flume
ArcSight version 6.9.1 和 Flume 的最佳实践是:
- 在 ArcSight 中使用
CEF Syslog 和 RAW Tcp
- Flume 应该使用 NetCat 源并解析它
尽情享受吧!
ArcSight 的 CEF Syslog 配置在 RAW TCP 和 UDP 之间有何不同?
Udp 系统日志是否可能在没有结束行的情况下发送,例如 \n
如何从 ArcSight 发送系统日志,Flumes syslogtcp 将其读取为系统日志
区别
RAW 系统日志 - 通过 TCP 协议 发送信息,"RAW" 只是通过 TCP 发送 CEF 负载\n 结尾
CEF:0.......
CEF:0.......
UDP 系统日志 - 通过 UDP 协议 发送信息,"RAW" 只是通过 TCP 没有 \n结尾-看起来像流
CEF:0.......CEF:0.......
在我的测试中,ArcSight 版本 6.9.1 不 发送 Syslog 格式应该
应该是:
Sep 10 15:19:01 host CEF:0|.............
实际:
CEF:0|..........
根据https://activate.lab1.semplicityinc.com/foswiki/pub/ArcSightActivate/PLinuxOSConnectorInstallation/SyslogNGDaemonConfig.pdf and https://www.protect724.hpe.com
When selecting Syslog Daemon, with Raw TCP, connections remain idle in a CLOSE_WAIT state until closed explicitly by the application.
更多参考: https://www.hpe.com/h20195/v2/getpdf.aspx/4AA6-8664ENW.pdf?ver=1.0
阿帕奇 Flume
ArcSight version 6.9.1 和 Flume 的最佳实践是:
- 在 ArcSight 中使用
CEF Syslog和RAW Tcp - Flume 应该使用 NetCat 源并解析它
尽情享受吧!