Cortex 数据湖-为什么我的Syslog服务器没有收到任何来自数据湖的日志 Cortex ?
10925
Created On 12/28/20 22:13 PM - Last Modified 07/19/21 21:57 PM
Question
为什么我的Syslog服务器没有收到任何来自数据湖的日志 Cortex ?
Environment
- Cortex 数据湖 ( CDL )
- 帕洛阿尔托防火墙发送日志到 CDL
- CDL 配置为将日志转发到多个外部Syslog服务器。
Cortex 数据湖 Syslog 转发:
- 配置了 3 台不同的系统日志服务器,所有服务器都向不同的服务器发送相同类型的日志
- 其中一个 Sylogs 服务器无法正常工作
Answer
方案1:
如果配置了不同的 Syslog 服务器配置文件以转发相同类型的日志,并且其中一个日志无法访问,则为转发相同类型的日志,则无法访问其中一个日志。如果配置了不同的 Syslog 服务器配置文件,则无法转发其中一个日志。它们都不起作用(日志转发被阻止,直到您删除不工作的服务器)。 一 DEVOPS 旦问题得到解决或服务器配置文件被删除,则需要重新启动转发作业。
场景2:
如果您已配置了 Syslog 服务器的"x"号,并且它们都被配置为转发不同类型的日志(即一个威胁,一个用于系统日志的流量另一个),则其他 2 个服务器将继续转发日志,因为有不同的工作线程在不同的主题上工作以转发日志。