Este documento descreve por que o ESA (Email Security Appliance) não consegue enviar dados a um Servidor syslog.
O ESA foi configurado para enviar inscrições de log para um Servidor syslog. Os arquivos podem ou não ser enviados com êxito para o Servidor syslog. Em qualquer caso, pode haver erros de rede no arquivo de registro de e-mail semelhantes a este:
Log Error: Subscription Mail_Log: Network error while sending log data
to syslog server
Uma captura de pacote entre o ESA e o Servidor syslog mostra quedas de conexão iniciadas pelo Servidor syslog, que neste exemplo é 10.44.167.30.
Se você seguir o fluxo TCP na captura de pacotes, verá o seguinte:
<22>Jun 25 08:50:03 example.com: Info: Begin Logfile
<22>Jun 25 08:50:03 example.com: Info: Version: 8.0.1-023 SN: A4BADB4712A9-511AA1E
<22>Jun 25 08:50:03 example.com: Info: Time offset from UTC: 7200 seconds
<22>Jun 25 08:50:03 example.com: Info: A System/Critical alert was sent to
alerts@ironport.com with subject "Critical <System> mail.example.com: Log Error:
Subscription Mail_Log: Network error while sending l...".
Os erros indicam que há um firewall ou um Sistema de prevenção de intrusão (IPS) que bloqueia o acesso ao Servidor syslog no Endereço IP. Se todos os dispositivos intermediários foram examinados e confirmados para permitir o tráfego, isso também pode significar que o Servidor syslog está muito ocupado e recusou as conexões. Quando o ESA é configurado para enviar um arquivo de registro a um Servidor syslog, por padrão, ele usará a porta 514 do Syslog UDP, a menos que esteja configurado para usar TCP. Uma vez configurado o dispositivo, a única coisa que faz com que a conexão seja listada como recusada é se ela receber pacotes que fecham a conexão quando ela é aberta.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
27-Jul-2015 |
Versão inicial |