Retard dans les journaux envoyés depuis CDL au serveur syslog
12149
Created On 03/20/23 18:48 PM - Last Modified 06/13/23 17:49 PM
Question
Pourquoi mon serveur Syslog ne reçoit-il pas les derniers journaux ?
Environment
Expéditeur: Data Lake
Receiver: Cortex Tous les récepteurs Syslog comme syslog-ng, Splunk, QRadar, Sentinel entre autres.
Answer
Cortex Data Lake (CDL) commencera à envoyer les journaux disponibles au récepteur Syslog configuré dans le profil de transfert de journal une fois que vous aurez configuré les filtres et enregistré le profil.
Parfois, vous pouvez voir que les journaux reçus dans le serveur Syslog peuvent ne pas être les plus récents, obtenant des journaux des heures ou même des jours précédents.
Ceci est généralement lié à une sorte de limitation sur le serveur Syslog qui l’empêche de gérer le volume de journaux CDL envoyés.
Certaines causes courantes sont:
- Max Log Rate: Selon le fournisseur / l'application que vous utilisez sur votre serveur, il existe certaines spécifications liées au débit de log maximum que le serveur peut gérer, vous devez donc vérifier et configurer les paramètres de votre serveur pour accepter une taille de lot de 500 journaux, ou 2,25 (500 journaux x 4500B / log = 2,25 MB Mo). Cela ne s’applique pas à Google Chronicle, qui n’accepte que 1 MB donnée à la fois, ou une taille de lot de 250 journaux.
- Performances du serveur : vous devez vérifier les ressources disponibles sur le serveur (CPU, , disque, RAMetc.) et confirmer si un élément peut être à l’origine de problèmes de performances.
- Serveur incapable de gérer le trafic : souvent, le serveur ne montre aucune valeur exceptionnelle de la consommation de ressources, même s'il n'est pas en mesure de gérer le trafic. Vous pouvez vérifier si c’est votre cas en vérifiant l’état du Recv- sur votre serveur; cela peut être fait en exécutant la commande netstat comme dans l’exemple ci-dessousQ:
> netstat -an | GREP 6415
La sortie de la commande donnée ci-dessus est similaire à celle illustrée ci-dessous:
Proto Recv- Send-QQ Adresse locale Adresse étrangère (état)
tcp4 3223 0 11.10.32.24.8002 11.10.32.12.64672ESTABLISHED
La valeur de Recv- doit être 0, sinon, votre serveur met en mémoire tampon le trafic dans le Recv-Q ,Q ce qui signifie que votre serveur n’est pas en mesure de gérer tout le trafic reçu. Si la mémoire tampon du Recv- est épuisée, le serveur syslog entraînera une augmentation du côté Send- on Data Lake et finira par arrêter l’envoi de trafic jusqu’à ce que le serveur récepteur Recv-QQQ on Cortex syslog soit effacé.