#原创分享# EDR和第三方设备(网御星云日志审计中心)对接syslog
  

陈璨 1609

{{ttag.title}}
“当前已有100+用户参与分享,共计发放奖励50000+“


项目背景及IP介绍】:
某企业(单位)有硬件EDR和网御星云第三方日志审计。17.54是EDR,17.55是日志审计。
EDR版本3.2.21,之前版本无syslog功能。

故障现象:

第三方设备是网御星云的日志审计中心,客户想让EDR把日志传输到该设日志审计中心上。但是日志审计中心一直没有显示。

网御星云无现象.png

图上没有出现EDR设备的ip:17.54
正常情况会出现一条设备信息,IP是EDR的

【处理过程】:

1、先在EDR中进行连接测试,提示可以正常连接。(没有相关截图)

2、但是网御星云没有相关显示,开始在EDR上进行抓包,查看是否有发包;在日志审计抓包查看,是否能接收到。
EDR发包.png
这里使用tcpdump抓包,EDR一直在向17.55发送length 0 的包。
网御星云收包.png
日志审计也收到来自17.54的包
一直在发length 0的包,是因为EDR在发送syslog数据包前判断网络连通性。一直发是因为一直没有连通。


3、基于EDR一直在发送length 0的包,怀疑日志审计的tcp 514端口未开放。由于EDR使用tcp 514 端口传输syslog日志,如果不通的话就无法进行syslog。于是telent进行排查:
telnet不通.png
结果是telnet 17.55的tcp 514 端口不通。

4、协调网御星云工程师得知,该日志中心使用UDP 514接收syslog日志。
和某公司研发沟通后,将EDR传输syslog的端口改为使用UDP 514。

2.png
在EDR上抓包发现有syslog的数据包了
1.png
在网御星云的日志审计上也显示了相关的syslog数据

此时故障处理完成!




【注意事项】:

1、被采设备需要与采集器的UDP:514(syslog)端口通讯;
2、EDR使用TCP 514发送syslog
3、善用抓包

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2020-7-24 14:10
  
您好,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
点击查看本季原创内容要求及奖励规则:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=113795

新手229660 发表于 2020-7-24 17:32
  
感谢分享
小猪要上树 发表于 2020-7-24 17:57
  
感谢楼主的分享
近期发现几起EDR对外输送syslog日志,都是因为udp的原因导致的,整体文章思路清晰,在排错上能提供一个很好的思路
再次感谢您,期待您更多的分享
新手780102 发表于 2020-7-25 19:27
  
感谢分享
JM 发表于 2020-7-25 19:34
  

感谢分享
司马缸砸了光 发表于 2020-7-25 19:42
  
感谢分享
Jean_Zhj 发表于 2020-7-25 21:03
  
感谢分享。
新手727241 发表于 2020-7-26 14:49
  
感谢分享
新手780102 发表于 2020-7-26 18:32
  
感谢分享         
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
技术咨询
在线直播
新版本体验
专家分享
功能体验
答题自测
技术圆桌
原创分享
安装部署配置
SANGFOR资讯
排障笔记本
安全攻防
每日一记
SDP百科
畅聊IT
专家问答
问题分析处理
VPN 对接
上网策略
日志审计
标准化排查
设备维护
产品预警公告
MVP
网络基础知识
升级
测试报告
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术

本版版主

204
123
130

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人