Retraso en los registros enviados desde el servidor syslog CDL
12131
Created On 03/20/23 18:48 PM - Last Modified 06/13/23 17:49 PM
Question
¿Por qué mi servidor Syslog no recibe los registros más recientes?
Environment
Remitente: Data Lake
Receiver: Cortex Cualquier receptor de Syslog como syslog-ng, Splunk, QRadar, Sentinel entre otros.
Answer
Cortex Data Lake (CDL) comenzará a enviar los registros disponibles al receptor de Syslog configurado en el perfil de reenvío de registros una vez que complete la configuración de los filtros y guarde el perfil.
A veces puede ver que los registros recibidos en el servidor Syslog pueden no ser los más recientes, obteniendo registros de horas anteriores o incluso días.
Esto generalmente está relacionado con algún tipo de limitación en el servidor Syslog que le impide manejar el volumen de registros CDL que se envían.
Algunas causas comunes son:
- Velocidad de registro máxima: Dependiendo del proveedor / aplicación que esté utilizando en su servidor, hay algunas especificaciones relacionadas con la velocidad de registro máxima que el servidor puede manejar, por lo que debe verificar y configurar los parámetros en su servidor para aceptar un tamaño de lote de 500 registros, o 2.25 MB (500 registros x 4500B / log = 2.25MB). Esto no se aplica a Google Chronicle, que acepta solo 1 MB de datos a la vez, o un tamaño de lote de 250 registros.
- Rendimiento del servidor: Debe verificar los recursos disponibles en el servidor (CPU, , disco, RAMetc.) y confirmar si algún elemento podría estar causando problemas de rendimiento.
- Servidor incapaz de manejar el tráfico: Muchas veces, el servidor no muestra ningún valor sobresaliente del consumo de recursos, aunque no sea capaz de manejar el tráfico. Puede verificar si este es su caso verificando el estado del Recv-Q en su servidor; esto se puede hacer ejecutando el comando netstat como en el siguiente ejemplo:
> netstat -an | GREP 6415
La salida del comando dado anteriormente es similar a la que se muestra a continuación:
Proto Recv- Enviar-QQ Dirección local Dirección extranjera (estado)
tcp4 3223 0 11.10.32.24.8002 11.10.32.12.64672ESTABLISHED
El valor para el Recv- debe ser 0, de lo contrario, su servidor está almacenando en búfer el tráfico en el Recv-QQ lo que significa que su servidor no puede manejar todo el tráfico recibido. Si el búfer para el Recv- se agota, el servidor syslog hará que el lado de Send- on Data Lake aumente y, finalmente, deje de enviar tráfico hasta que se borre el servidor receptor de Recv-QQQ on Cortex syslog.