我们目前有 RSyslog 服务器(在 Linux Ubuntu 18.04 VM LTA 上,大小:标准 D4s v3 4 vcpus,16 GiB 内存)从 ZScaler 代理和 FortiGate 防火墙接收日志并将其提取到 Azure Sentinel 中。
问题是,几分钟/几小时后,CPU 开始达到最大值 100%,并且与每个防火墙的 netstat 连接卡在 ESTABLISHED 状态,最终停止处理日志。以下是示例输出:
需要重新启动 RSyslog 服务才能恢复流量。防火墙和 Syslog(TCP 514)之间的流量使用 TLS 1.2 加密,证书在此 Syslog 服务器上本地生成并分发到防火墙上。
另一个重要的观察结果是,在 CPU 最大负载阶段,CPU 核心之间的负载并不相等,并且仅显示一个过度利用,如下面的屏幕截图所示:
根据最近的建议,我们尝试将 RSyslog 版本升级到最新的 rsyslogd 8.2202.0(又名 2021.12),但问题仍然存在。
如果有人能告知可能存在什么问题以及如何解决,那就太好了?
谢谢,