我有一台 ASA5520,它被设置为将日志发送到 splunk syslog 服务器。该设置可以运行一段时间,通常大约 24 小时左右,但随后会停止,直到重新配置日志记录(调整端口)或重新启动 ASA。
我应该注意什么来解决这个问题?我不确定是 splunk syslog 守护进程忽略了连接还是 ASA 出现问题并停止发送。
我想启用“不进行日志记录就不传递流量”选项,但如果没有与 syslog 的稳定连接,那就无法启动。
到目前为止尝试过:TCP 和 UDP、不同的端口、更改日志记录级别
答案1
在 Splunk 主机上放置一个数据包嗅探器,设置一个捕获过滤器以仅捕获来自 ASA 的数据包,开始捕获,当 Splunk 停止“查看”来自 ASA 的数据时,查看捕获并查看流量是否仍然来自 ASA,如果是,则问题出在 Splunk 上,如果不是,则问题出在 ASA 或两者之间的网络上。