Este documento describe por qué el dispositivo de seguridad Email Security Appliance (ESA) no puede enviar datos a un servidor syslog.
El ESA se ha configurado para enviar suscripciones de registro a un servidor syslog. Los archivos pueden o no ser enviados con éxito al servidor syslog. En cualquier caso, puede haber errores de red en el archivo de registro de correo similares a este:
Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server
Una captura de paquetes entre el ESA y el servidor syslog muestra caídas de conexión iniciadas por el servidor syslog, que en este ejemplo es 10.44.167.30.
Si sigue el flujo TCP en la captura de paquetes verá esto:
<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".
Los errores indican que hay un firewall o un sistema de prevención de intrusiones (IPS) que bloquea el acceso al servidor syslog en la dirección IP. Si todos los dispositivos intermedios han sido examinados y confirmados para permitir el tráfico, esto también podría significar que el servidor syslog está demasiado ocupado y rechazó las conexiones. Cuando el ESA está configurado para enviar un archivo de registro a un servidor syslog, utilizará de forma predeterminada el puerto 514 de syslog UDP a menos que esté configurado para utilizar TCP. Una vez configurado el dispositivo, lo único que hace que la conexión aparezca como rechazada es si recibe paquetes que cierran la conexión cuando se abre.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
27-Jul-2015 |
Versión inicial |