我正在尝试将系统日志从身份验证平台发送到系统日志服务器。身份验证平台只能配置为在 UDP/514 上发送系统日志。
日志源以我以前从未遇到过的方式发送事件。我执行了 tcpdump 并在 wireshark 中查看了传入的数据。Wireshark 看到各种系统日志以及它识别为 RSH 协议的内容。事件似乎通过 TCP 和不同的源端口通过 RSH 协议发送。然后我看到事件通过不同的源端口上的 UDP 514 发送。此数据包包含两行之间的所有事件数据,内容类似于 *事件发生通知开始/结束然后将先前的日志的每一部分作为新的数据包再次发送。
我的接收系统日志服务器不知道如何处理所有这些,并且我每发送一个事件就会收到 10 个事件。
想知道是否有某些众所周知的原因导致发送这样的日志。
谢谢。
