In questo documento viene descritto il motivo per cui Email Security Appliance (ESA) non è in grado di inviare dati a un server syslog.
ESA è stato configurato per eseguire il push delle sottoscrizioni dei log in un server syslog. È possibile che il push dei file nel server syslog non sia riuscito. In ogni caso, possono esserci errori di rete nel file di log di posta simili a quanto riportato di seguito:
Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server
L'acquisizione di un pacchetto tra l'ESA e il server syslog mostra le interruzioni di connessione inizializzate dal server syslog, che nell'esempio riportato è 10.44.167.30.
Se si segue il flusso TCP nell'acquisizione dei pacchetti, viene visualizzato quanto segue:
<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".
Gli errori indicano la presenza di un firewall o di un sistema di prevenzione delle intrusioni (IPS) che blocca l'accesso al server syslog all'indirizzo IP. Se tutti i dispositivi intermedi sono stati esaminati e confermati per autorizzare il traffico, il server syslog potrebbe essere troppo occupato e le connessioni potrebbero essere rifiutate. Quando l'ESA è configurata per inviare un file di log a un server syslog, per impostazione predefinita utilizzerà la porta syslog UDP 514 a meno che non sia configurata per utilizzare il protocollo TCP. Dopo aver configurato l'accessorio, l'unico motivo per cui la connessione viene indicata come rifiutata è la ricezione di pacchetti che chiudono la connessione quando questa viene aperta.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
27-Jul-2015 |
Versione iniziale |