Sécurité : Appareil de sécurité de courriel Cisco

Pourquoi y a-t-il des erreurs réseau quand l'ESA communique avec le serveur de Syslog ?

15 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (27 juillet 2015) | Commentaires

Introduction

Ce document décrit pourquoi l'appliance de sécurité du courrier électronique (ESA) ne peut pas envoyer des données à un serveur de Syslog.

Contribué par Enrico Werner, ingénieur TAC Cisco.

Pourquoi y a-t-il des erreurs réseau quand l'ESA communique avec le serveur de Syslog ?

L'ESA a été configuré pour pousser des abonnements de log à un serveur de Syslog. Les fichiers pourraient ou ne pourraient pas être avec succès poussés au serveur de Syslog. En tous cas, il peut y avoir des erreurs réseau dans le fichier journal de messagerie semblable à ceci :

Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server

Une capture de paquet entre l'ESA et le serveur de Syslog affiche des baisses de connexion initiées par le serveur de Syslog, qui dans cet exemple est 10.44.167.30.

Si vous suivez le flot de TCP dans la capture de paquet vous verrez ceci :

<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".

Les erreurs indiquent qu'il y a un Pare-feu ou de Système de prévention d'intrusion (IPS) qui bloque l'accès au serveur de Syslog à l'adresse IP. Si tous les périphériques ont été examinés et dans l'intervalle confirmés afin de permettre le trafic, alors ceci pourrait également signifier que le serveur de Syslog est trop occupé et a refusé les connexions. Quand l'ESA est configuré pour envoyer un fichier journal à un serveur de Syslog, alors par défaut il utilisera le port 514 de Syslog d'UDP à moins que configuré pour utiliser le TCP. Une fois que l'appliance est configurée, la seule chose qui cause la connexion d'être répertoriée en tant que refusé est si elle reçoit les paquets qui ferment la connexion quand ils sont ouverts.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 119199