我已经开始将帕洛阿尔托日志发送到 Graylog,并且流规则通过在“标签”字段中匹配“帕洛阿尔托”来挑选它们(这就是我所有的流规则的方式;前端 Logstash 实例在之前进行标记运送到 Graylog)。
我知道 Graylog 节点正在网络接口上接收这些事件:
并且流显示它正在获取事件(注意“22 条消息/秒”):
然而,当我单击流(或搜索 --> 标签:“Palo Alto”)时,找不到任何事件。
我在网上看到的唯一常见问题是时区设置将这些事件置于未来,但我们的帕洛阿尔托全景发送器上的时间是正确的 (PST),并且在未来一天尝试绝对时间搜索什么也没有发现。
版本信息:
Graylog 2.2.2+691b4b7,代号 Stiegl
弹性搜索 2.4.4
Lucene 5.5.2
我还没有回答这个问题,即搜索功能无法正常工作以查找实际到达的事件。我怀疑它有任何关系,但为了完整起见,我会在这里包括它。
在整个网络上,我找到了 (1) rsyslog 到远程服务器或 (2) 带有模板的 rsyslog 的示例,但从来没有两者兼而有之。当我在我的 Mac 上有这个 /etc/rsyslog.conf 时,它会很好地发送到远程服务器:
*.* @10.1.38.223
但是当我更改为这个时,没有网络流量被发送到远程服务器(使用 tcpdump 验证):
$template MyTemplate, "MacOSX %msg%"
*.* @10.1.38.223;MyTemplate
是否不可能将这样的额外文本附加到远程记录的消息中?
我的 Windows 服务器上有 nxlog,将日志发送到 Logstash(JSON 格式)。我想将安全事件克隆到 SIEM,因此我添加了捕获某些 Windows 事件 ID 的逻辑:
即使应用了“Windows 事件日志”标签(通过“add_tag”),也从未添加过“Windows 安全事件”,即使我查看日志并找到像 4624 这样的 EventID。
以下是完整的纯文本 logstash.conf 供参考:
input {tcp{port=>1514}}
filter {
if "im_msvistalog" in [message] {
json {source => "message"}
mutate {add_tag => "Windows Event Log"}
if [EventID]=="4688" or [EventID]=="592" or [EventID]=="4624" or [EventID]=="528" or [EventID]=="540" or [EventID]=="5140" or [EventID]=="560" or [EventID]==5156 or [EventID]=="7045" or [EventID]=="601" or [EventID]=="4663" or [EventID]=="567" {
mutate {add_tag => "Windows Security Event"}
}
}
}
output {stdout{codec=>rubydebug}}
编辑:这是输出的样子:
我创建了一个这样的 Docker 容器:
$sudo docker build -t "logstash-collector" ~/logging/logstash/
$sudo docker run -d \
--user=root \
--name="logstash-collector-01" \
--net=logging \
--cap-add=NET_ADMIN \
logstash-collector
从那里我可以将其默认网关更改为 nginx 容器(用于透明负载平衡):
$sudo docker exec -it logstash-collector-01 ip route delete default
$sudo docker exec -it logstash-collector-01 ip route add default via 172.18.0.10
它有效,一切都很好:
$sudo docker exec -it logstash-collector-01 ip route
default via 172.18.0.10 dev eth0
172.18.0.0/16 dev eth0 proto kernel scope link src 172.18.0.3
但是当我尝试通过将这些命令放在我的 ~/logging/logstash/Dockerfile 中来自动执行此操作时,例如:
FROM logstash
COPY logstash.conf /usr/local/share
CMD ["-f", "/usr/local/share/logstash.conf", "--config.reload.automatic"]
CMD ["ip", "route", "delete", "default"]
CMD ["ip", "route", "add", "default", "via", "172.18.0.10"]
我看到它们在构建过程中被执行:
但是容器无法启动。 sudo docker logs logstash-collector-01告诉我:
RTNETLINK 答案:文件存在
如果我发出第二个ip route命令而不发出第一个命令,则会发生该错误(如果一个路由已经在其活动路由表中,Linux 将不会添加路由)。但这怎么可能呢?我的 Dockerfile 的 CMD 命令处理是否乱序?
这是因为我忘记了开关。仅当您非常无聊时才继续阅读
SonicWALL NSA 3500 连接到 Cisco Catalyst 3850。SonicWALL 具有“子接口”(VLAN) V2、V800 和 V802。2 和 802 一直运行良好,我现在正在尝试添加 800,但没有流量通过主干。请参阅我的配置的图像。我无法使用要连接的设备获得下游“switchport access vlan 800”端口,并且在交换机上我无法 ping 172.16.16.7,这是 SonicWALL 子接口 IP,而我可以 ping VLAN 的 IP 802。
编辑- 由于使用“ip classless”配置 Cisco,我能够让生成树摆脱“BKN”状态,并且 VLAN 800 现在在“ sh int gi1/0/2 trunk ”中显示为未修剪的 VLAN但我无法通过流量或连接该 VLAN 上的访问设备的主要问题仍然存在。
这是图像的链接,以防它太小而无法在这里看到:http: //oi60.tinypic.com/15cllp1.jpg
编辑
开关# sh span summ
Switch is in pvst mode
Root bridge for: VLAN0800
Extended system ID is enabled
Portfast Default is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
VLAN0001 0 0 0 9 9
VLAN0002 0 0 0 14 14
VLAN0003 0 0 0 9 9
VLAN0004 0 0 0 10 10
VLAN0005 0 0 0 10 10
VLAN0006 0 0 0 9 9
VLAN0007 0 0 0 9 9
VLAN0008 0 0 0 9 9
VLAN0009 0 0 0 9 9
Name Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
VLAN0010 0 0 0 9 9
VLAN0011 0 0 0 9 9
VLAN0012 0 0 0 10 10
VLAN0013 0 0 0 9 9
VLAN0014 0 0 0 9 9
VLAN0015 0 0 0 11 11
VLAN0016 0 0 0 9 9
VLAN0017 0 0 0 9 9
VLAN0018 0 0 0 11 11
VLAN0103 0 0 0 9 9
VLAN0104 0 0 0 10 10
VLAN0105 0 0 0 10 10
VLAN0106 0 0 0 9 9
VLAN0107 0 0 0 9 9
VLAN0111 0 0 0 9 9
VLAN0800 0 0 0 9 9
VLAN0802 0 0 0 10 10
VLAN0803 0 0 0 9 9
---------------------- -------- --------- -------- ---------- ----------
27 vlans 0 0 0 258 258
交换机# sh span vlan 800
VLAN0800
Spanning tree enabled protocol ieee
Root ID Priority 4896
Address dca5.f433.4980
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 4896 (priority 4096 sys-id-ext 800)
Address dca5.f433.4980
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2 Desg FWD 19 128.2 P2p
Gi1/0/14 Desg FWD 4 128.14 P2p
Gi1/0/15 Desg FWD 4 128.15 P2p
Gi1/0/16 Desg FWD 4 128.16 P2p
Gi1/0/17 Desg FWD 4 128.17 P2p
Te1/1/3 Desg FWD 4 128.55 P2p
Te1/1/4 Desg FWD 4 128.56 P2p
Po1 Desg FWD 3 128.2027 P2p
Po2 Desg FWD 3 128.2028 P2p
Switch# sh int gi1/0/2 switchport
Name: Gi1/0/2
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
*请参阅我的顶部编辑 - VLAN 800 现在作为未修剪的 VLAN 显示在“ sh int gi1/0/2 trunk”中,但这并没有改变我无法在该 VLAN 上连接任何东西的问题,我仍然不能平 172.16.16.7
我正在使用此查询来检查我的 Windows 2008 R2 AD 主服务器上的某些 Exchange 帐户更改:
wevtutil qe Security /q:"*[System/EventID=5136]" /f:text /rd:true /c:1
我正在制作一个批处理文件,以便使用任务计划程序通过电子邮件将活动内容作为附件发送,如本文所述:http: //blogs.technet.com/b/jhoward/archive/2010/ 06/16/getting-event-log-contents-by-email-on-an-event-log-trigger.aspx
问题:我可以wevtutil qe System整天做,但如果我确实wevtutil qe Security需要,我需要在提升的命令提示符下(相同的域管理员用户凭据,只是 CMD 以管理员身份运行)。因此,当我的计划任务调用批处理文件时,即使该任务在 SYSTEM 帐户下将选项设置为“以最高权限运行”,它也无法在提升的提示符下运行,这意味着它会遇到错误:“无法打开事件查询。访问被拒绝。”
所以这些事情中的任何一个都可以解决我的问题:
以某种方式打开安全日志,使其类似于系统日志,您不需要提升提示即可使用 wevtutil 访问其内容
以某种方式在提升的提示中运行计划任务操作
第三件事我没有想到
我们一直遇到 DNS 记录丢失的问题。通常它来自 DHCP 保留,如打印机。昨天是我们的两台主服务器,也是 DHCP 保留的。现在我正在查看一台普通的 DHCP(非保留)计算机,它无法通过名称或 nslookup 进行 ping,因为 A 记录不存在,但“ping -a IP_Addr”解析名称成功,因为 PTR 记录存在于反向查找区域中。两台 DNS 服务器上的记录匹配。
顺便说一下,这些是 Windows DNS 服务器。Primary 我认为是 2003,而 Secondary 肯定是 2008 R2。
清除期:在主 DNS 服务器上为 4 天,在辅助 DNS 服务器上禁用
无刷新间隔:正向查找区 12 小时,反向查找区 1 天,在两台服务器上
刷新间隔:正向和反向均为 7 天,对于两台服务器
DHCP 租用时间:大多数子网(包括当前遇到问题的 PC)为 2 天,服务器为 1 天(如昨天遇到问题的那些)
我昨天的解决方法是手动添加 A 记录。由于它们现在显示为没有时间戳的静态条目,因此我认为它们永远不会被清除(进一步假设清除是我的问题?),但是正如您所看到的,这种情况在我的网络上越来越多地发生,我需要弄清楚是什么导致这些 DNS 记录丢失。
任何指针?我现在不打算将 A 记录添加到这台有问题的 PC 中,因此如果需要,我可以执行故障排除步骤来解决这个问题。
编辑:昨晚某个时候,那台电脑的 A 记录回来了,所以我无法特别解决它。但是存在根本问题,我担心服务器或打印机随机停止为我的用户工作的呼叫。这是怎么回事?
我有两个用户几个月前更改了他们的姓氏。最近,我正在解决为什么它们没有出现在全局地址列表中的问题。原因是他们的“邮件”的 ADSI 属性仍然有他们的旧别名。我在其他几个字段中四处寻找,但我很确定我将所有内容都设置正确(减去 Mail 字段,我认为其中有一个名为“legacy”的字段)。
顺便说一下,自从我开始在这里工作以来,名称更改的过程是创建一个全新的 AD 和 Exchange 用户,以及导出/导入数据和 .PST 文件,所以我们不会遇到这样的事情。我将其视为这些用户的最后手段。
从那时起,每当其他用户尝试从 Outlook 向这些人发送电子邮件时,他们都会收到如下无法送达的消息:
Delivery has failed to these recipients or distribution lists:
Barbara NewLastName
The recipient's e-mail address was not found in the recipient's e-mail system. Microsoft Exchange will not try to redeliver this message for you. Please check the e-mail address and try resending this message, or provide the following diagnostic text to your system administrator.
_____
Sent by Microsoft Exchange Server 2007
Diagnostic information for administrators:
Generating server: mail.MyDomain.com
IMCEAEX-_O=MyDomain_OU=First+20Administrative+20Group_cn=Recipients_cn=bOldLastName@nbutexas.com
#550 5.1.1 RESOLVER.ADR.ExRecipNotFound; not found ##
Original message headers:
Received: from mail.MyDomain.com ([192.168.200.3]) by mail
([192.168.200.3]) with mapi; Mon, 11 Mar 2013 10:56:14 -0500
Content-Type: application/ms-tnef; name="winmail.dat"
Content-Transfer-Encoding: binary
From: Sarah Sender <[email protected]>
To: Barbara NewLastName
<IMCEAEX-_O=MYDOMAIN_OU=First+20Administrative+20Group_cn=Recipients_cn=bOldLastName@MyDomain.com>
CC: Daniel SomeoneElse <[email protected]>
Date: Mon, 11 Mar 2013 10:56:13 -0500
Subject: FW: The Subject
Thread-Topic: The Subject
Thread-Index: Ac4cTWKfaQjD6MaWTUOOIrrWlcn91AAAdmEwAIhri+A=
Message-ID: <3A90EE12812EA74ABCAF358A8B0C4264040724A0EA@proteus>
References: <[email protected]>
In-Reply-To: <[email protected]>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator: <3A90EE12812EA74ABCAF358A8B0C4264040724A0EA@proteus>
MIME-Version: 1.0
请注意,旧名称仍然出现在该错误消息的某个位置。
真正的问题在于:如果发件人通过 OWA 发送,则一切顺利。如果我关闭发件人的 Outlook,然后返回到缓存 Exchange 模式,并且我为有问题的收件人删除了旧的自动填充条目,那么它就会为他们解决问题。
问题在于,绕过公司并对 230 多个人的 Outlook 执行此操作是不切实际的。我想知道服务器上仍在发生什么导致出现此问题。
我使用了更新脱机通讯簿的 cmdlet,但显然没有用。问题已经持续了四五天了。
我正在尝试用新的 Cisco 3750X 替换旧的 Cisco Catalyst 2950。不幸的是,这些 SFP 非常昂贵,我正在尝试使用现有的东西。请注意图表以查看我有哪些连接。核心交换机是 SX,它运行的旧交换机也是如此。当我将一根电缆 [必须是不同的末端连接器以适应新的 SFP,所以它实际上是一根不同的电缆,但连接到同一个接线端口] 到新交换机时,没有任何反应,它报告线路已断开 [物理层错误]。这个端口报告它是一个 1000BaseLX,据我所知是单模光纤,而不是像该网络的其他部分那样的多模光纤。
对光纤几乎一无所知,您会建议什么是补救这种情况的最简单方法,即连接到新交换机?我听说在短距离内,单模连接可以在多模电缆上工作——这是真的吗?
提前感谢您的想法。
编辑:当然我忘记了图表:
我需要一个有经验的人来指导我完成这个小项目:-)
我们有一个具有 Active Directory 证书服务角色的域控制器 [Win2k8 R2]。我们称它为 ServerOne.OurDomain.com。
我有第二台 Windows 2008 R2 服务器 ServerTwo.OurDomain.com,它运行 Apache Tomcat Web 服务器。我们正在为所有需要与 OAuth 服务器建立 SSL 连接的用户设置 Outlook 插件。我摸索着将 OAuth 模块添加到 Tomcat 并在端口 8443 [Tomcat 的默认 SSL 端口] 上使用 SSL 启用连接器的说明。
但现在我不知道如何“将 2 和 2 放在一起”——如何从我们的内部 CA 生成证书,以便在连接到 ServerTwo.OurDomain.com 时没有 SSL 证书错误?到目前为止,我使用 JRE“keytool.exe”程序在 ServerTwo 上制作了“keystore”文件,当然证书显示它[就像,当您单击浏览器中的锁定图标时]作为没有 CA 的自签名证书链。
非常感谢这方面的任何帮助。