“当前已有100+用户参与分享,共计发放奖励50000+“
【项目背景及IP介绍】: 某企业(单位)有硬件EDR和网御星云第三方日志审计。17.54是EDR,17.55是日志审计。 EDR版本3.2.21,之前版本无syslog功能。
故障现象:
第三方设备是网御星云的日志审计中心,客户想让EDR把日志传输到该设日志审计中心上。但是日志审计中心一直没有显示。
图上没有出现EDR设备的ip:17.54 正常情况会出现一条设备信息,IP是EDR的
【处理过程】:
1、先在EDR中进行连接测试,提示可以正常连接。(没有相关截图)
2、但是网御星云没有相关显示,开始在EDR上进行抓包,查看是否有发包;在日志审计抓包查看,是否能接收到。 这里使用tcpdump抓包,EDR一直在向17.55发送length 0 的包。 日志审计也收到来自17.54的包 一直在发length 0的包,是因为EDR在发送syslog数据包前判断网络连通性。一直发是因为一直没有连通。
3、基于EDR一直在发送length 0的包,怀疑日志审计的tcp 514端口未开放。由于EDR使用tcp 514 端口传输syslog日志,如果不通的话就无法进行syslog。于是telent进行排查: 结果是telnet 17.55的tcp 514 端口不通。
4、协调网御星云工程师得知,该日志中心使用UDP 514接收syslog日志。 和某公司研发沟通后,将EDR传输syslog的端口改为使用UDP 514。
在EDR上抓包发现有syslog的数据包了 在网御星云的日志审计上也显示了相关的syslog数据
此时故障处理完成!
【注意事项】:
1、被采设备需要与采集器的UDP:514(syslog)端口通讯; 2、EDR使用TCP 514发送syslog 3、善用抓包 |