我已将 Ubuntu 20.04 配置为我的系统日志服务器,以接收来自 Cisco Meraki 的日志。然后将其发送到 Microsoft Sentinel SIEM。
我的问题是 Rsyslog 没有监听 UDP 端口 514 或任何其他 UDP 端口。它只监听 TCP。我无法使用 TCP,因为防火墙(Cisco Meraki)只能以 UDP 形式发送 Syslog。
我已将 /etc/rsyslog.conf 文件配置如下:
#################
#### MODULES ####
#################
module(load="imuxsock") # provides support for local system logging
#module(load="immark") # provides --MARK-- message capability
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
# provides kernel logging support and enable non-kernel klog messages
module(load="imklog" permitnonkernelfacility="on")
当我运行此命令 netstat -tupln | grep LISTEN
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 562/systemd-resolve
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 1377/rsyslogd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 682/sshd: /usr/sbin
tcp 0 0 0.0.0.0:22033 0.0.0.0:* LISTEN 794/ruby
tcp6 0 0 :::514 :::* LISTEN 1377/rsyslogd
tcp6 0 0 :::22 :::* LISTEN 682/sshd: /usr/sbin
你能帮我解决这个问题吗?