In diesem Dokument wird beschrieben, warum die E-Mail Security Appliance (ESA) keine Daten an einen Syslog-Server senden kann.
Die ESA wurde so konfiguriert, dass Protokollabonnements per Push an einen Syslog-Server übertragen werden. Möglicherweise wurden die Dateien erfolgreich an den Syslog-Server übertragen. In jedem Fall kann es in der Mail-Protokolldatei zu Netzwerkfehlern kommen, ähnlich wie hier:
Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server
Eine Paketerfassung zwischen der ESA und dem Syslog-Server zeigt Verbindungsverluste, die vom Syslog-Server initiiert wurden, in diesem Beispiel 10.44.167.30.
Wenn Sie den TCP-Stream in der Paketerfassung verfolgen, sehen Sie Folgendes:
<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".
Die Fehler weisen darauf hin, dass entweder eine Firewall oder ein Intrusion Prevention System (IPS) vorhanden ist, das den Zugriff auf den Syslog-Server an der IP-Adresse blockiert. Wenn alle zwischengeschalteten Geräte überprüft und bestätigt wurden, um den Datenverkehr zuzulassen, kann dies auch bedeuten, dass der Syslog-Server zu ausgelastet ist und die Verbindungen abgelehnt wurden. Wenn die ESA so konfiguriert ist, dass sie eine Protokolldatei an einen Syslog-Server sendet, wird standardmäßig der UDP-Syslog-Port 514 verwendet, sofern dieser nicht für die Verwendung von TCP konfiguriert ist. Nach der Konfiguration der Appliance wird die Verbindung nur dann als abgelehnt aufgeführt, wenn sie Pakete empfängt, die die Verbindung beim Öffnen schließen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
27-Jul-2015 |
Erstveröffentlichung |