이 문서에서는 ESA(Email Security Appliance)에서 syslog 서버로 데이터를 보낼 수 없는 이유를 설명합니다.
ESA는 syslog 서버에 로그 서브스크립션을 푸시하도록 구성되었습니다. 파일이 syslog 서버로 푸시될 수도 있고 푸시되지 않을 수도 있습니다. 어떤 경우든 메일 로그 파일에 다음과 유사한 네트워크 오류가 있을 수 있습니다.
Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server
ESA와 syslog 서버 간의 패킷 캡처는 syslog 서버에서 시작된 연결 삭제를 보여줍니다. 이 예에서는 10.44.167.30입니다.
패킷 캡처에서 TCP 스트림을 따를 경우 다음과 같이 표시됩니다.
<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".
이 오류는 IP 주소의 syslog 서버에 대한 액세스를 차단하는 방화벽 또는 IPS(Intrusion Prevention System)가 있음을 나타냅니다. 트래픽을 허용하기 위해 그 사이에 있는 모든 디바이스를 검사하고 확인한 경우, syslog 서버가 너무 사용 중이어서 연결을 거부했음을 의미할 수도 있습니다. ESA가 syslog 서버에 로그 파일을 전송하도록 구성된 경우, TCP를 사용하도록 구성되지 않는 한 기본적으로 UDP syslog 포트 514를 사용합니다. 어플라이언스가 구성되면 연결이 거부됨으로 나열되는 유일한 이유는 열릴 때 연결을 닫는 패킷을 수신하는 경우입니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
27-Jul-2015 |
최초 릴리스 |