尝试将通用 CEF 日志转发到 Azure Sentinel
Attempting to forward generic CEF logs to Azure Sentinel
我正在将通用 CEF 日志转发到 Azure Sentinel,我 运行 遇到了类似的问题,如下所述:
https://github.com/MicrosoftDocs/azure-docs/issues/28909
我相信我已经正确配置了 rsyslog,当我在端口 514 上侦听时,我看到了 CEF 日志,但是 Azure 代理没有看到任何访问其侦听端口的内容。当我重新启动 rsyslog 时,我确实看到了 Azure 代理上的本地系统日志流量。
我关注了以下文章:
https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format
使用rsyslog转发配置如下:
local4.debug @127.0.0.1:25226
假设它是设施级别,但我无法在系统日志客户端上更改它,我添加了几个额外的设施,例如系统日志、用户,但无济于事。
有人知道解决方法吗?
在/etc/rsyslog.d/security-config-omsagent.conf中添加以下内容:
. @127.0.0.1:25226
:rawmsg, 正则表达式, "CEF\|ASA" ~
还有一个来自 Azure 的脚本用于测试 rsyslog/syslog-ng 和 oms 代理:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>
我正在将通用 CEF 日志转发到 Azure Sentinel,我 运行 遇到了类似的问题,如下所述:
https://github.com/MicrosoftDocs/azure-docs/issues/28909
我相信我已经正确配置了 rsyslog,当我在端口 514 上侦听时,我看到了 CEF 日志,但是 Azure 代理没有看到任何访问其侦听端口的内容。当我重新启动 rsyslog 时,我确实看到了 Azure 代理上的本地系统日志流量。
我关注了以下文章:
https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format
使用rsyslog转发配置如下:
local4.debug @127.0.0.1:25226
假设它是设施级别,但我无法在系统日志客户端上更改它,我添加了几个额外的设施,例如系统日志、用户,但无济于事。
有人知道解决方法吗?
在/etc/rsyslog.d/security-config-omsagent.conf中添加以下内容:
. @127.0.0.1:25226
:rawmsg, 正则表达式, "CEF\|ASA" ~
还有一个来自 Azure 的脚本用于测试 rsyslog/syslog-ng 和 oms 代理:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>