Cortex Data Lake - Pourquoi mon serveur Syslog ne reçoit-il pas de journaux de Cortex Data Lake ?
10949
Created On 12/28/20 22:13 PM - Last Modified 07/19/21 21:57 PM
Question
Pourquoi mon serveur Syslog ne reçoit-il pas de journaux de Cortex Data Lake ?
Environment
- Cortex Data Lake ( CDL )
- Pare-feu de Palo Alto envoyant des journaux à CDL
- CDL configurés pour transmettre des journaux vers plusieurs serveurs Syslog externes.
Cortex Data Lake Syslog forwarding:
- 3 serveurs syslog différents configurés, tous envoyant le même type de journaux aux différents serveurs
- L’un des serveurs Sylogs ne fonctionne pas
Answer
Scénario1:
Si différents profils de serveur Syslog sont configurés pour transmettre le même type de journaux et que l’un d’eux n’est pas accessible, alors; aucun d’entre eux ne fonctionnera (l’adage journal est bloqué jusqu’à ce que vous supprimez le serveur qui ne fonctionne pas). Le travail de forwarding doit être redémarré DEVOPS une fois que le problème est réglé ou que le profil du serveur est supprimé.
Scénario2:
Si vous avez le nombre « x » de serveurs Syslog configurés et qu’ils sont tous configurés pour transmettre différents types de journaux (c’est-à-dire une menace, une autre pour le trafic pour les journaux système), les 2 autres serveurs continueront à transmettre les journaux, car il existe différents threads de travail pour travailler sur différents sujets pour transmettre les journaux.