から送信されたログの遅延CDLsyslog サーバーへ
12135
Created On 03/20/23 18:48 PM - Last Modified 06/13/23 17:49 PM
Question
Syslog サーバーが最新のログを受信していないのはなぜですか?
Environment
送信者:Cortexデータレイク
レシーバー: syslog-ng、Splunk、QRadar、Sentinel などの Syslog レシーバー。
Answer
Cortex データレイク (CDL ) は、フィルタの構成とプロファイルの保存が完了すると、ログ転送プロファイルで構成された Syslog レシーバーに使用可能なログの送信を開始します。
場合によっては、Syslog サーバーで受信したログが最新のものではない可能性があり、数時間前または数日前からログを取得していることがあります。
これは通常、Syslog サーバーでのログのボリュームの処理を妨げる何らかの制限に関連しています。CDL送信しています。
いくつかの一般的な原因は次のとおりです。
- 最大ログ率: サーバーで使用しているベンダー/アプリケーションによっては、サーバーが処理できる最大ログ レートに関連するいくつかの仕様があるため、500 ログのバッチ サイズを受け入れるようにサーバーのパラメーターを確認して構成する必要があります。 、または 2.25MB (500 ログ x 4500B/ログ = 2.25MB)。 これは、Google Chronicle には適用されません。MB一度に 250 個のログのバッチ サイズ。
- サーバーのパフォーマンス: サーバーで利用可能なリソースを確認する必要があります (CPU 、RAM 、ディスクなど)、何らかの要素がパフォーマンスの問題を引き起こしている可能性があるかどうかを確認します。
- サーバーがトラフィックを処理できません: 多くの場合、サーバーは、トラフィックを処理できなくても、リソース消費から顕著な値を示しません。 これがあなたのケースであるかどうかは、Recv-Qサーバー上で;これは、実行することで実行できますネットスタット以下の例のようにコマンドを実行します。
> netstat -an | grep 6415
上記のコマンドの出力は、次のようになります。
プロトレックQ送信-Qローカルアドレス 外国の住所 (州)
tcp4 3223 0 11.10.32.24.8002 11.10.32.12.64672ESTABLISHED
Recv- の値Q0 にする必要があります。そうでない場合、サーバーは Recv-Qこれは、サーバーが受信したすべてのトラフィックを処理できないことを意味します。 Recv-Q使い果たされると、syslog サーバーは Send-Qの上Cortexデータ レイク側が増加し、最終的には Recv-Q syslog レシーバー サーバーのログがクリアされます。