Ce document explique pourquoi l'appliance de sécurité de la messagerie (ESA) ne parvient pas à envoyer des données à un serveur Syslog.
L'ESA a été configuré pour transmettre les abonnements au journal à un serveur Syslog. Les fichiers peuvent ou ne peuvent pas être envoyés avec succès au serveur Syslog. Dans tous les cas, il peut y avoir des erreurs réseau dans le fichier journal de messagerie, comme ceci :
Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server
Une capture de paquets entre l'ESA et le serveur Syslog indique les abandons de connexion initiés par le serveur Syslog, qui dans cet exemple est 10.44.167.30.
Si vous suivez le flux TCP dans la capture de paquets, vous verrez ceci :
<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".
Les erreurs indiquent qu'un pare-feu ou un système de prévention des intrusions (IPS) bloque l'accès au serveur Syslog à l'adresse IP. Si tous les périphériques intermédiaires ont été examinés et confirmés afin d'autoriser le trafic, cela peut également signifier que le serveur Syslog est trop occupé et a refusé les connexions. Lorsque l'ESA est configuré pour envoyer un fichier journal à un serveur syslog, il utilise par défaut le port syslog UDP 514, sauf s'il est configuré pour utiliser TCP. Une fois la solution matérielle-logicielle configurée, la seule chose qui entraîne le refus de la connexion est la réception de paquets qui ferment la connexion lors de son ouverture.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
27-Jul-2015 |
Première publication |