Попытка переслать общие журналы CEF в Azure Sentinel

Question

Я пересылаю общие журналы CEF в Azure Sentinel и сталкиваюсь с подобной проблемой, как отмечалось здесь:

https://github.com/MicrosoftDocs/azure-docs/issues/28909

Я считаю, что rsyslog настроен правильно, когдаЯ прослушиваю порт 514. Я вижу журналы CEF, однако агент Azure не видит ничего, попавшего в порт прослушивания. При перезапуске rsyslog я вижу локальный трафик системного журнала на агенте Azure.

Я следовал следующей статье:

https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format

С конфигурацией пересылки rsyslog следующим образом:

local4.debug @127.0.0.1:25226

Предполагая, что это средствоОднако я не могу изменить этот уровень на клиенте syslog, я добавил несколько дополнительных средств, таких как syslog, user, но безрезультатно.

Кто-нибудь знает об обходных путях?

Answer 1

В / etc / rsyslog.d / security-config-omsagent.conf добавьте следующее:

. @ 127.0.0.1: 25226

: rawmsg, regex, "CEF \ | ASA" ~

Был также сценарий от Azure для тестирования как rsyslog / syslog-ng, так и агента oms:

wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py && sudo python cef_troubleshoot.py <workspace_id>