从 CDL 到 Splunk 的日志转发停止或间歇性流动
4533
Created On 02/02/24 21:34 PM - Last Modified 01/03/25 13:45 PM
Symptom
- Splunk 未收到来自 CDL 的日志的间歇性问题
- 用于日志转发的 CDL指示板显示不完整或间歇性的流程
Environment
- 防火墙
- 日志转发
- 计算机应用专业证书
- Splunk
Cause
一个或多个原因导致日志转发偶尔停止的问题。
- CDL 和 Splunk 服务器之间的TCP连接不稳定
- 由于证书过期或 CDL 与 Splunksyslog服务器之间的SSL协商失败而导致的SSL/TLS问题
- CDL 后端是否存在任何潜在问题,从而影响“日志转发机制”?
Resolution
有许多问题可能会影响日志转发。调查 Splunk 和 CDL 的问题以维护稳定的连接非常重要。以下是一些示例的列表
- 确保 Splunk 和 CDL 之间有稳定的 TCP/ SSL连接。不稳定的连接会导致数据丢失,因为机制可能无法重新发送丢失的syslog消息。
- 确保证书有效
- 网络连接测试将规则一个数据点